This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

해킹은 ransomware로 사용자를 감염 아빠 사이트로 이동

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy 사용자는 바둑 아빠 호스팅 웹 사이트의 DNS 레코드를 해킹하기 위해 관리 범죄자에 ransomware 덕분에 감염된지고 있습니다.

특히 빨리 최근 한 후, 세계 최대의 도메인 이름 등록에 대한 뉴스를 환영 아니라 그 서비스 거부 공격 .

이러한 공격의 작동 원리 이해하기에 짧은 입문서 DNS가 필요합니다.

간단히 말해서, DNS는 네트워크에있는 컴퓨터 (인터넷)가 사용자 친화적 인 이름으로 참조 할 수있는 시스템을 제공합니다. 이 이름은 호스트로 알려져 있으며, DNS는 IP 주소로 알려져 있습니다 무엇으로 변환됩니다.

DNS의 핵심 기능은 변경하고 자원이 최종 사용자에 영향을주지 않고 컴퓨터 / 네트워크 / 위치 사이에 이동 할 수 있도록, 매우 빠르게 적용 할 수 있다는 것입니다. 호스트는 일정하게 유지하고, DNS는 자원 이동과 같은 IP 주소에 변경 사항을 처리합니다.

공격의 현재 큰물에서 범죄자들은​​ 악성 IP 주소를 참조 해당 DNS 항목 (A 레코드)과 하나 이상의 추가 하위 도메인을 추가 사이트의 DNS 레코드를 해킹하여 DNS를 활용하고 있습니다. 합법적 인 IP 주소로 합법적 인 호스트가 해결하지만, 하위 도메인 추가 된이 악성 서버로 해결합니다.

이것은 공격자가 콘텐츠가 안전해야합니다 생각으로 보안 필터링 및 도용을 피하기 위해 도울 수있는, 그들의 공격에 합법적 보이는 URL을 사용할 수 있습니다.

어떤 경우에는, 사용자는 여러 하위 도메인은 하나 이상의 악의적 인 IP 주소로 연결, 추가 왔습니다.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

악성 서버는 자체 '쿨 EK'를 호출 공격 키트를 실행하고 있습니다.

지난 주 언급 이 사실은 매우 유사합니다 키트를 이용 Blackhole .

키트의 러시아어 기원은 관리 패널에 대한 로그인 페이지에서 분명하다.

악성 사이트를 때리는 사용자는 ransomware과 함께 감염하기 위해 여러 취약점을 악용 다양한 악의적 인 파​​일을 누르 있습니다.

  • 뱀. [수정 된] .info / R / L / 확실히 - devices.php (방문 페이지 악용 말 / ExpJS-AV를 )
  • 뱀. [수정 된] .info/r/32size_font.eot (CVE-2011-3402, Troj / DexFont-A )
  • 뱀. .info / R / 미디어 / file.jar ([수정 된] 방송 / JavaGen-E )
  • 뱀. [수정 된] .info / R / f.php? K = 1 & E = 0 & F = 0 (ransomware 페이로드, Troj / 랜섬-KM)

일단 실행 ransomware는 피해자의 국가에 따라 다릅니다 내용과 함께 친숙한 결제 페이지를 표시합니다.

다음은 경찰 중앙 E-범죄 단위의 이름을 사용하는 영국의 예입니다 :

그리고 여기 당신이 불가리아, 말에 살았다면 당신이 보는 것 잠금 페이지의 유형입니다 :

사용자의 웹캠에서 동영상을 모방이 잠금 페이지에서 애니메이션 GIF의 사용을주의하라! 세심한 이런 일들이 경고이 합법적인지 많은 사용자를 설득하는 데 도움이 무엇입니다.

글을 쓰는 시점에서, 중요한 질문은 답변 할 수 남아 있습니다.이 바둑 아빠가 DNS 레코드를 해킹 할 수 공격자은 어때?

하나의 원인은 사용자 자격 증명을 (도난 또는 취약한 암호) 손상됩니다. 이를 확인하기 위해 나는 영향을받는 웹 마스터 중 하나가 자신의 역사적 로그인 활동을 확인 제안했다. 슬프게도,이 사용자를 위해 쉽게 가능하지 않습니다. 또한, 이동 아빠의 반응은뿐만 아니라 더 도움을 제공하지 않습니다.

계정에 대한 온라인 지원에 문의 해 주셔서 감사합니다. 우리는 네트워크와 인프라를 보호하기위한 보안 장치와 프로토콜을 가지고 있습니다. 앞서 기술 한 바와 같이, 우리는 계정 로그인이나 활동에 대한 정보를 공개 할 수 없습니다. 그 사람이 귀하의 계정에 로그인 한 생각하면 최선의 방어는 비밀번호를 변경하는 것입니다. 이 작업을 수행하는 방법에 대한 지침에 대한 이전 응답을 참조하십시오.

한숨. 사용자가 역사적 로그인 활동을 볼 사용하면 초기 악의적 인 활동을 파악하는 데 도움이 매우 간단한 방법입니다. 자, 아빠가이 일에 자신의 입장을 변경 이동 바랍니다.

Go Daddy 악성 코드 배포의 목적으로 웹 사이트에 대한 공격의 확산을 감안할 때이 관련 서비스 (등록, 공급 업체 등을 호스팅) 보안에 충분한 배려를 지불 높은 시간입니다.

사용자는 취약한 암호를 사용하도록 허용 할 수 없습니다. 시행하지 않을 경우 이중 인증은 쉽게 사용할 수 있습니다.

왕국의 열쇠가 분실 때 무슨 일이에 약간 사전의 고려와 배려를 통해 악성 활동이 더 빨리 중단 할 수 있습니다.

그들은 이러한 공격의 영향을받지 않은 확인하고자하는 아빠 고객은 이동 대디에 따라 DNS 설정을 확인해야합니다 이동 지원 페이지 .

이외에도 영향을받는 웹 마스터의 일부를 접촉에서, 우리는 이러한 공격에 알려드립니다 아빠, 달려 문의했습니다.

그의 입력이 게시물에 대한 내용을 함께 넣어 매우 도움이되었습니다 이러한 공격에 대한 내 알림에 응답 웹 마스터에게 감사.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.