域名注册商和网站托管服务提供商Go Daddy针对少数其托管网站的DNS攻击(一家安全公司称该攻击使网络罪犯传播勒索软件)作出回应。
英国安全厂商Sophos最近发现了这个攻击。这种攻击瞄准的是网站的DNS记录,向其添加一个子域,让用户链接到恶意IP地址。“这使攻击者能够在攻击中利用看似合法的URL,以帮助逃避安全过滤,并让用户认为这是安全网站,”Sophos主要病毒研究员Fraser Howard表示,“合法主机域名解析到合法IP地址,而添加的子域名则解析到恶意服务器。”
专家称,黑客并没有使用复杂的技术。该攻击者使用偷来的登录账号来进入受害者的Go Daddy账户管理控制台,在这里,攻击者可以修改DNS设置。这种攻击属于常见的攻击技术之一,即欺骗用户,让用户相信他们在访问合法网站。DNS攻击很常见,已经被使用多年,这种攻击主要针对各种配置漏洞和协议错误。最广为人知的是DNS缓存中毒,该攻击技术通过使用其他流氓地址来替代互联网地址,以破坏互联网服务器的域名系统表。
Go Daddy:这并不是漏洞问题
Go Daddy公司的信息安全业务主管Scott Gerlach表示, Go Daddy在过去几个月一直在处理这个问题。该公司正在删除受影响网站的恶意DNS条目以及重置客户密码。在记者采访中,已有约100个网站受到影响,他敦促客户考虑使用更高强度的密码。
“经我们证实,DNS系统中没有漏洞被利用来进行这个攻击,”Gerlach表示,“DNS没有被攻击,我们的系统也没有被攻击,这些攻击者利用的是偷来的用户登录账号。”
Gerlach表示,DNS问题是安全团队面对的最少的问题。拒绝服务攻击则是一种常见问题,其次是过时的第三方内容管理系统平台(例如Wordpress和Jumilla)中的漏洞问题。攻击者利用这些平台的漏洞,注入恶意代码建立路过式攻击网站。
暴力破解密码攻击和网络钓鱼欺骗是长期存在的问题。用户可以设置高强度密码和启用双因素身份验证,来降低受到这种攻击的风险。在用户试图登录托管账户时,Go Daddy的两步验证会通过短信向用户发送验证码。然而,目前两步验证法仅对加拿大和美国的用户可用。Go Daddy正计划在全球范围内推广该服务。
Go Daddy的事件响应小组推测,这个攻击的来源可能是Cool Exploit Kit,这是一个自动攻击工具包,主要用于传播勒索软件。Go Daddy表示,受感染客户很有可能被这种工具包传播的恶意软件窃取了登录账号或者感染了计算机。
Sophos公司的Howard表示,勒索软件似乎是专门发送到受害者的具体位置。用户收到自称是来自FBI的假消息,称其计算机的IP地址被连接到儿童色情网站,只有用户支付赎金,其电脑才会被解除锁定。
Cool Exploit Kit针对各种漏洞(包括Java错误),它通过路过式攻击网站来传播。Howard表示:“流氓服务器在运行一个自称是‘Cool EK’的漏洞利用工具包,从登陆页面的管理面板来看,该工具包来自于俄罗斯。”