해킹은 ransomware로 사용자를 감염 아빠 사이트로 이동

Go Daddy 사용자는 바둑 아빠 호스팅 웹 사이트의 DNS 레코드를 해킹하기 위해 관리 범죄자에 ransomware 덕분에 감염된지고 있습니다.

특히 빨리 최근 한 후, 세계 최대의 도메인 이름 등록에 대한 뉴스를 환영 아니라 그 서비스 거부 공격 .

이러한 공격의 작동 원리 이해하기에 짧은 입문서 DNS가 필요합니다.

간단히 말해서, DNS는 네트워크에있는 컴퓨터 (인터넷)가 사용자 친화적 인 이름으로 참조 할 수있는 시스템을 제공합니다. 이 이름은 호스트로 알려져 있으며, DNS는 IP 주소로 알려져 있습니다 무엇으로 변환됩니다.

DNS의 핵심 기능은 변경하고 자원이 최종 사용자에 영향을주지 않고 컴퓨터 / 네트워크 / 위치 사이에 이동 할 수 있도록, 매우 빠르게 적용 할 수 있다는 것입니다. 호스트는 일정하게 유지하고, DNS는 자원 이동과 같은 IP 주소에 변경 사항을 처리합니다.

공격의 현재 큰물에서 범죄자들은​​ 악성 IP 주소를 참조 해당 DNS 항목 (A 레코드)과 하나 이상의 추가 하위 도메인을 추가 사이트의 DNS 레코드를 해킹하여 DNS를 활용하고 있습니다. 합법적 인 IP 주소로 합법적 인 호스트가 해결하지만, 하위 도메인 추가 된이 악성 서버로 해결합니다.

이것은 공격자가 콘텐츠가 안전해야합니다 생각으로 보안 필터링 및 도용을 피하기 위해 도울 수있는, 그들의 공격에 합법적 보이는 URL을 사용할 수 있습니다.

어떤 경우에는, 사용자는 여러 하위 도메인은 하나 이상의 악의적 인 IP 주소로 연결, 추가 왔습니다.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

악성 서버는 자체 '쿨 EK'를 호출 공격 키트를 실행하고 있습니다.

지난 주 언급 이 사실은 매우 유사합니다 키트를 이용 Blackhole .

키트의 러시아어 기원은 관리 패널에 대한 로그인 페이지에서 분명하다.

악성 사이트를 때리는 사용자는 ransomware과 함께 감염하기 위해 여러 취약점을 악용 다양한 악의적 인 파​​일을 누르 있습니다.

  • 뱀. [수정 된] .info / R / L / 확실히 – devices.php (방문 페이지 악용 말 / ExpJS-AV를 )
  • 뱀. [수정 된] .info/r/32size_font.eot (CVE-2011-3402, Troj / DexFont-A )
  • 뱀. .info / R / 미디어 / file.jar ([수정 된] 방송 / JavaGen-E )
  • 뱀. [수정 된] .info / R / f.php? K = 1 & E = 0 & F = 0 (ransomware 페이로드, Troj / 랜섬-KM)

일단 실행 ransomware는 피해자의 국가에 따라 다릅니다 내용과 함께 친숙한 결제 페이지를 표시합니다.

다음은 경찰 중앙 E-범죄 단위의 이름을 사용하는 영국의 예입니다 :

그리고 여기 당신이 불가리아, 말에 살았다면 당신이 보는 것 잠금 페이지의 유형입니다 :

사용자의 웹캠에서 동영상을 모방이 잠금 페이지에서 애니메이션 GIF의 사용을주의하라! 세심한 이런 일들이 경고이 합법적인지 많은 사용자를 설득하는 데 도움이 무엇입니다.

글을 쓰는 시점에서, 중요한 질문은 답변 할 수 남아 있습니다.이 바둑 아빠가 DNS 레코드를 해킹 할 수 공격자은 어때?

하나의 원인은 사용자 자격 증명을 (도난 또는 취약한 암호) 손상됩니다. 이를 확인하기 위해 나는 영향을받는 웹 마스터 중 하나가 자신의 역사적 로그인 활동을 확인 제안했다. 슬프게도,이 사용자를 위해 쉽게 가능하지 않습니다. 또한, 이동 아빠의 반응은뿐만 아니라 더 도움을 제공하지 않습니다.

계정에 대한 온라인 지원에 문의 해 주셔서 감사합니다. 우리는 네트워크와 인프라를 보호하기위한 보안 장치와 프로토콜을 가지고 있습니다. 앞서 기술 한 바와 같이, 우리는 계정 로그인이나 활동에 대한 정보를 공개 할 수 없습니다. 그 사람이 귀하의 계정에 로그인 한 생각하면 최선의 방어는 비밀번호를 변경하는 것입니다. 이 작업을 수행하는 방법에 대한 지침에 대한 이전 응답을 참조하십시오.

한숨. 사용자가 역사적 로그인 활동을 볼 사용하면 초기 악의적 인 활동을 파악하는 데 도움이 매우 간단한 방법입니다. 자, 아빠가이 일에 자신의 입장을 변경 이동 바랍니다.

Go Daddy 악성 코드 배포의 목적으로 웹 사이트에 대한 공격의 확산을 감안할 때이 관련 서비스 (등록, 공급 업체 등을 호스팅) 보안에 충분한 배려를 지불 높은 시간입니다.

사용자는 취약한 암호를 사용하도록 허용 할 수 없습니다. 시행하지 않을 경우 이중 인증은 쉽게 사용할 수 있습니다.

왕국의 열쇠가 분실 때 무슨 일이에 약간 사전의 고려와 배려를 통해 악성 활동이 더 빨리 중단 할 수 있습니다.

그들은 이러한 공격의 영향을받지 않은 확인하고자하는 아빠 고객은 이동 대디에 따라 DNS 설정을 확인해야합니다 이동 지원 페이지 .

이외에도 영향을받는 웹 마스터의 일부를 접촉에서, 우리는 이러한 공격에 알려드립니다 아빠, 달려 문의했습니다.

그의 입력이 게시물에 대한 내용을 함께 넣어 매우 도움이되었습니다 이러한 공격에 대한 내 알림에 응답 웹 마스터에게 감사.