This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

اخترق مواقع الأب الذهاب مع المستخدمين اصابة انتزاع الفدية

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy المستخدمون إصابة بفيروس بفضل انتزاع الفدية للمجرمين وتمكنت من الإختراق السجلات DNS من المواقع المستضافة الذهاب الأب.

هذا لا نرحب الأخبار لأكبر شركة في العالم للنطاق المسجل اسم، وخاصة بعد فترة قصيرة جدا في الآونة الأخيرة الحرمان من الخدمة الهجوم .

لفهم كيفية عمل هذه الهجمات، وهو أول كتاب قصير على DNS هو مطلوب.

باختصار، يوفر نظام DNS حيث يمكن الرجوع إليها أجهزة الكمبيوتر على شبكة (الإنترنت) عن طريق اسم المستخدم ودية. ومن المعروف عن هذه الأسماء أسماء المضيفين، وDNS يترجم لهم في ما يعرف عنوان IP.

ومن السمات الرئيسية لDNS هو أنه يمكن إجراء تغييرات وتطبيقها بسرعة كبيرة، مما يسمح ليتم نقل الموارد بين الأجهزة / الشبكات / المواقع دون التأثير على المستخدمين النهائيين. وتظل ثابتة أسماء المضيفين، ويعالج DNS أي تغييرات في عنوان IP وهذه الخطوة الموارد.

في هذا الموجة الحالية من الهجمات والمجرمين يستغلون DNS عن طريق القرصنة السجلات DNS من المواقع، إضافة واحد أو أكثر إضافية النطاقات الفرعية مع إدخالات DNS الموافق (A السجلات) عناوين IP الرجوع الخبيثة. ويحل اسم المضيف المشروعة إلى عنوان IP المشروعة، ولكن الميادين الفرعية المضافة إلى ملقمات حل المارقة.

وهذا يتيح للمهاجمين لاستخدام عناوين URL ذات مظهر الشرعية في هجماتهم، التي يمكن أن تساعد على التهرب من الأمن وتصفية المستخدمين إلى التفكير في خدعة المحتوى يجب أن تكون آمنة.

في بعض الحالات، كان العديد من المستخدمين النطاقات الفرعية وأضاف، مشيرا إلى واحد أو أكثر من عناوين IP الخبيثة.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

الملقمات المارقة تقوم بتشغيل عدة استغلال داعيا "EK كول" نفسها.

كما لاحظت في الأسبوع الماضي ، وهذا هو في الواقع مشابهة جدا ل استغلال بلاكهول عدة .

وأصل روسي من المجموعة هو واضح من صفحة تسجيل الدخول للوحة الادارة.

وضرب المستخدمين ضرب موقع الخبيثة مع الملفات الضارة المختلفة، واستغلال نقاط الضعف عديدة، من أجل انتزاع الفدية تصيب لهم.

  • ثعبان. [منقح] .info / ص / ل / بالتأكيد، devices.php (استغلال الصفحة المقصودة، المال / AV-ExpJS )
  • ثعبان. [منقح] .info/r/32size_font.eot (CVE-2011 حتي 3402، Troj / DexFont-A )
  • ثعبان. [منقح] .info / ص / وسائل الإعلام / file.jar ( المال / JavaGen-E )
  • ثعبان. [منقح] .info / ص / f.php؟ ك = 1 & E = 0 & F = 0 (انتزاع الفدية الحمولة، Troj / رانسوم-KM)

مرة واحدة على التوالي، وانتزاع الفدية يعرض صفحة الدفع مألوفة، مع المحتويات التي تختلف عن البلد الضحية.

فيما يلي مثال البريطانية، والذي يستخدم اسم وحدة الشرطة E-الجريمة الوسطى:

وهنا هو نوع من قفل الصفحة كنت انظر إذا كنت تعيش في، ويقول، بلغاريا:

لاحظ استخدام صورة GIF المتحركة في هذه الصفحة قفل لتقليد الفيديو من كاميرا ويب للمستخدم! هذا النوع من الاهتمام بالتفاصيل هو ما يساعد إقناع العديد من المستخدمين أن التحذير المشروعة.

في وقت كتابة هذا التقرير، سؤال مهم ينتظر الإجابة. كيف كانت المهاجمين قادرة على الإختراق هذه السجلات DNS بابا الذهاب؟

للخطر واحد السبب المحتمل أوراق اعتماد المستخدم (كلمات السر المسروقة أو ضعيفة). للمساعدة في تأكيد هذا اقترحت واحدة من المواقع المتضررة تحقق نشاطه الدخول التاريخية. للأسف، هذا لا يبدو أن من الممكن بسهولة للمستخدمين. وعلاوة على ذلك، فإن الرد من الأب الذهاب يقدم أي مساعدة أيضا.

شكرا على اتصالك على الانترنت بخصوص حسابك. يرجى ملاحظة لدينا أجهزة أمنية والبروتوكولات لحماية شبكتنا والبنية التحتية. كما ذكر سابقا، لا يمكننا اطلاق سراح المعلومات المتعلقة مرات تسجيل الدخول حساب أو نشاط. إذا كنت تشعر بأن شخص ما قد سجل دخوله إلى حسابك، وكنت أفضل دفاع هو تغيير كلمة السر الخاصة بك. الرجاء راجع ردنا السابق للحصول على إرشادات حول كيفية القيام بذلك.

تنفس الصعداء. تمكين المستخدمين من عرض التاريخية النشاط الدخول هو وسيلة بسيطة جدا للمساعدة على رصد نشاط ضار في وقت مبكر. دعونا نأمل الذهاب الأب تغيير موقفهم في هذا الشأن.

Go Daddy نظرا لانتشار الهجمات ضد المواقع على شبكة الإنترنت لغرض توزيع البرمجيات الخبيثة حان الوقت أن الخدمات المرتبطة (المسجلين، واستضافة مقدمي الخ) دفع النظر كافية للأمن.

لا ينبغي أن يسمح للمستخدمين لاستخدام كلمات المرور الضعيفة. يجب أن اثنين عامل التوثيق تكون متاحة بسهولة، إن لم يكن القسري.

مع التدبر والنظر قليلا إلى ما يحدث عندما مفاتيح للمملكة تضيع، ويمكن أن تتعطل نشاط ضار بسرعة أكبر.

يذهب الأب العملاء الذين يرغبون في التحقق من أنها لم تتأثر هذه الهجمات يجب أن تحقق لهم DNS التكوين وفقا ليذهب الأب صفحة الدعم .

وبصرف النظر عن الاتصال ببعض المواقع المتضررة من، لقد اتصلنا يذهب الأب لتنبيههم إلى هذه الهجمات.

بفضل أصحاب المواقع الذين استجابوا لبلدي الإخطارات عن هذه الهجمات، التي مدخلات كان مفيدا للغاية في تجميع المحتوى لهذا المنصب.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.