英國安全廠商Sophos最近發(fā)現(xiàn)了這個攻擊。這種攻擊瞄準的是網(wǎng)站的DNS記錄��,向其添加一個子域����,讓用戶鏈接到惡意IP地址。“這使攻擊者能夠在攻擊中利用看似合法的URL��,以幫助逃避安全過濾����,并讓用戶認為這是安全網(wǎng)站��,”Sophos主要病毒研究員Fraser Howard表示����,“合法主機域名解析到合法IP地址����,而添加的子域名則解析到惡意服務器�。”
專家稱,黑客并沒有使用復雜的技術����。該攻擊者使用偷來的登錄賬號來進入受害者的Go Daddy賬戶管理控制臺,在這里��,攻擊者可以修改DNS設置��。這種攻擊屬于常見的攻擊技術之一���,即欺騙用戶����,讓用戶相信他們在訪問合法網(wǎng)站�。DNS攻擊很常見,已經(jīng)被使用多年�����,這種攻擊主要針對各種配置漏洞和協(xié)議錯誤。最廣為人知的是DNS緩存中毒�,該攻擊技術通過使用其他流氓地址來替代互聯(lián)網(wǎng)地址,以破壞互聯(lián)網(wǎng)服務器的域名系統(tǒng)表��。
Go Daddy:這并不是漏洞問題
Go Daddy公司的信息安全業(yè)務主管Scott Gerlach表示����, Go Daddy在過去幾個月一直在處理這個問題。該公司正在刪除受影響網(wǎng)站的惡意DNS條目以及重置客戶密碼����。在記者采訪中,已有約100個網(wǎng)站受到影響���,他敦促客戶考慮使用更高強度的密碼�。
“經(jīng)我們證實���,DNS系統(tǒng)中沒有漏洞被利用來進行這個攻擊���,”Gerlach表示,“DNS沒有被攻擊�,我們的系統(tǒng)也沒有被攻擊����,這些攻擊者利用的是偷來的用戶登錄賬號�����。”
Gerlach表示�����,DNS問題是安全團隊面對的最少的問題��。拒絕服務攻擊則是一種常見問題����,其次是過時的第三方內(nèi)容管理系統(tǒng)平臺(例如Wordpress和Jumilla)中的漏洞問題��。攻擊者利用這些平臺的漏洞�,注入惡意代碼建立路過式攻擊網(wǎng)站。
暴力破解密碼攻擊和網(wǎng)絡釣魚欺騙是長期存在的問題��。用戶可以設置高強度密碼和啟用雙因素身份驗證�����,來降低受到這種攻擊的風險�。在用戶試圖登錄托管賬戶時��,Go Daddy的兩步驗證會通過短信向用戶發(fā)送驗證碼����。然而���,目前兩步驗證法僅對加拿大和美國的用戶可用�����。Go Daddy正計劃在全球范圍內(nèi)推廣該服務�。
Go Daddy的事件響應小組推測���,這個攻擊的來源可能是Cool Exploit Kit��,這是一個自動攻擊工具包�,主要用于傳播勒索軟件����。Go Daddy表示,受感染客戶很有可能被這種工具包傳播的惡意軟件竊取了登錄賬號或者感染了計算機��。
Sophos公司的Howard表示��,勒索軟件似乎是專門發(fā)送到受害者的具體位置。用戶收到自稱是來自FBI的假消息�����,稱其計算機的IP地址被連接到兒童色情網(wǎng)站����,只有用戶支付贖金�,其電腦才會被解除鎖定。
Cool Exploit Kit針對各種漏洞(包括Java錯誤)�����,它通過路過式攻擊網(wǎng)站來傳播�。Howard表示:“流氓服務器在運行一個自稱是‘Cool EK’的漏洞利用工具包,從登陸頁面的管理面板來看���,該工具包來自于俄羅斯����。”
