This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

黑客转到爸爸站点感染用户勒索

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy用户感染破解的Go Daddy托管网站的DNS记录的罪犯管理与勒索感谢。

这不是世界上最大的域名注册商的消息表示欢迎,尤其是后不久,最近的拒绝服务攻击

要了解这些攻击的工作,很短的引物对DNS是必需的。

简单来说,DNS系统提供了一个可以参考网络上的计算机(互联网),通过用户友好的名称。这些名字被称为主机名,DNS将其转换为一个IP地址被称为什么。

DNS是一个关键特性的变化可以非常迅速和应用,使​​资源之间移动,而不会影响最终用户的机器/网络/地点。的主机名保持不变,并且DNS的IP地址资源的举动在处理任何变化。

在当前的一连串的攻击中,犯罪分子利用DNS黑客攻击的网站的DNS记录,添加一个或多个其他子域与相应的DNS条目引用恶意的IP地址(A记录)。的合法主机名被解析到的合法IP地址,但添加的子域名解析到恶意服务器。

这使得攻击者利用貌似合法的URL在他们的攻击,它可以帮助逃避安全过滤和欺骗用户,思考的内容必须是安全的。

在某些情况下,用户有几个子域,指向一个或多个恶意IP地址。

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

流氓服务器的运行漏洞利用工具包本身的酷EK。

由于上周指出 ,这其实是非常相似的黑洞开发工具包

俄罗斯血统的试剂盒是显而易见的,从管理面板的登录页面。

用户点击恶意网站遭受各种恶意文件,利用多个漏洞,以感染他们勒索。

  • 蛇。:[绝密] .info / R / L /当然,devices.php(利用登陆页面, 玛/ ExpJS的的-AV
  • 蛇[绝密] .info/r/32size_font.eot(CVE-2011-3402, Troj / DexFont-A
  • 蛇[绝密] .info / R /媒体/ file.jar的( 玛/ JavaGen的-E )
  • 蛇[绝密] .info /ř/ f.php的?K = 1&E = 0&f = 0时(勒索有效载荷,Troj /赎金-KM)

一旦运行,勒索显示熟悉的支付页面,内容,根据不同的国家的受害者。

这里是一个英国的例子,它使用的名称警方中央电子犯罪单位:

这里是锁定页面,你会看到,如果你住在说,保加利亚的类型:

请注意,在这种锁页,以模仿视频从用户的网络摄像头使用的GIF动画!这种对细节的关注是帮助说服许多用户的警告是合法的。

在写作的时候,一个很重要的问题有待回答。 攻击者能够破解这些的Go Daddy DNS记录如何?

一个可能的原因是被盗用的用户凭据(被盗或弱密码)。为了帮助确认这一点,我建议受影响的网站管理员检查他的历史登录活动。可悲的是,这似乎并没有对用户是很容易做到的。此外,响应的Go Daddy提供任何帮助,以及。

感谢您联系在线支持您的帐户。请注意,我们有安全设备和协议,以保护我们的网络和基础设施。如前所述,我们不能释放的帐户登录或活动的信息。如果你觉得有人已经登录到您的帐户,你最好的防御措施就是改变你的密码。如何做到这一点的说明,请查看我们以前的响应。

叹了口气。使用户能够查看历史登录活动是一个非常简单的方法帮助早期发现恶意活动。让我们希望转到爸爸改变他们的立场。

Go Daddy由于攻击为目的的恶意软件分布网站的流行,它是相关的服务(证券登记,托管服务提供商等)的时候,要充分考虑到安全。

用户不应该被允许使用弱密码。双因素身份验证应该是现成的,如果不执行。

随着一点点的深谋远虑,考虑到王国的钥匙迷路时会发生什么,恶意活动,可以更迅速地破坏。

转到爸爸要检查他们没有受到这些攻击的人应该检查他们的DNS配置的Go Daddy 支持页面

除了接触一些受影响的网站管理员,我们所接触的爸爸,提醒他们这些攻击。

由于回应这些攻击我的通知网站管理员,其输入是非常有帮助的,把这个帖子的内容。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.