GoDaddy اعتراف می کند: کلاهبرداران با بدافزار به ما ضربه می زنند، وب سایت های مشتریان را مسموم می کنند

GoDaddy اعتراف می کند: کلاهبرداران با بدافزار به ما ضربه می زنند، وب سایت های مشتریان را مسموم می کنند

تمبر زمان: 19 فوریه 2023، ساعت 8:36 بعد از ظهر
GoDaddy admits: Crooks hit us with malware, poisoned customer websites PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by پل داکلین

اواخر هفته گذشته [2023-02-16]، شرکت محبوب میزبانی وب GoDaddy اجباری خود را ثبت کرد. گزارش سالانه 10-K با کمیسیون بورس و اوراق بهادار ایالات متحده (SEC).

تحت عنوان فرعی خطرات عملیاتی، GoDaddy فاش کرد که:

در دسامبر 2022، یک شخص ثالث غیرمجاز به سرورهای میزبان cPanel ما دسترسی پیدا کرد و بدافزار را نصب کرد. این بدافزار به طور متناوب وب سایت های مشتریان تصادفی را به سایت های مخرب هدایت می کرد. ما به بررسی علت اصلی این حادثه ادامه می دهیم.

تغییر مسیر URL، همچنین به عنوان شناخته شده است ارسال URL، یکی از ویژگی های غیرقابل استثنا HTTP است ( پروتکل انتقال فرامتن، و معمولاً به دلایل مختلف استفاده می شود.

برای مثال، ممکن است تصمیم بگیرید که نام دامنه اصلی شرکت خود را تغییر دهید، اما بخواهید همه پیوندهای قدیمی خود را زنده نگه دارید. ممکن است شرکت شما خریداری شود و باید محتوای وب خود را به سرورهای مالک جدید منتقل کند. یا ممکن است به سادگی بخواهید وب سایت فعلی خود را برای نگهداری آفلاین کنید و در این مدت بازدیدکنندگان را به یک سایت موقت هدایت کنید.

یکی دیگر از کاربردهای مهم تغییر مسیر URL این است که به بازدیدکنندگانی که از طریق HTTP رمزگذاری نشده قدیمی به وب سایت شما وارد می شوند، بگویید که باید به جای آن از HTTPS (HTTP امن) بازدید کنند.

سپس، هنگامی که آنها دوباره از طریق یک اتصال رمزگذاری شده وصل شدند، می توانید یک هدر ویژه اضافه کنید تا به مرورگر خود بگویید که در آینده با HTTPS شروع کند، حتی اگر روی یک اتصال قدیمی کلیک کنند. http://... پیوند دهید یا به اشتباه وارد کنید http://... با دست.

در واقع، ریدایرکت‌ها آنقدر رایج هستند که اگر اصلاً به توسعه‌دهندگان وب سر بزنید، می‌شنوید که با کدهای عددی HTTP به آنها اشاره می‌کنند، تقریباً به همان روشی که بقیه از «دریافت 404» صحبت می‌کنند. سعی کنید از صفحه ای بازدید کنید که دیگر وجود ندارد، فقط به این دلیل 404 HTTP است Not Found کد خطا.

در واقع چندین کد تغییر مسیر مختلف وجود دارد، اما کدی که احتمالاً بیشتر با شماره به آن اشاره می شود، a است 301 تغییر مسیر، همچنین به عنوان شناخته شده است Moved Permanently. در آن زمان است که می دانید URL قدیمی بازنشسته شده است و بعید است که هرگز به عنوان یک پیوند مستقیم قابل دسترسی دوباره ظاهر شود. دیگران شامل 303 و 307 تغییر مسیرها، که معمولا به عنوان شناخته شده است See Other و Temporary Redirect، زمانی استفاده می شود که انتظار دارید URL قدیمی در نهایت به سرویس فعال بازگردد.

در اینجا دو نمونه معمولی از تغییر مسیرهای سبک 301، همانطور که در Sophos استفاده می شود، آورده شده است.

اولی به بازدیدکنندگانی که از HTTP استفاده می‌کنند می‌گوید که بلافاصله با استفاده از HTTPS دوباره متصل شوند، و دومی وجود دارد تا بتوانیم URL‌هایی را بپذیریم که فقط با آن شروع می‌شوند. sophos.com با هدایت آنها به نام وب سرور معمولی ما www.sophos.com.

در هر مورد، ورودی هدر برچسب گذاری شده است Location: به کلاینت وب می گوید که در مرحله بعد به کجا برود، کاری که مرورگرها معمولاً به طور خودکار انجام می دهند:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://sophos.com/ <-- دوباره به اینجا متصل شوید (همان مکان، اما با استفاده از TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://www.sophos.com/ <--Redirect به وب سرور ما برای واقعی محتوا سختگیرانه-حمل و نقل-امنیت: . . . <-- دفعه بعد، لطفاً از HTTPS برای شروع استفاده کنید. . .

گزینه خط فرمان -D - بالا می گوید curl برنامه ای برای چاپ هدرهای HTTP در پاسخ ها، که در اینجا مهم است. هر دوی این پاسخ‌ها تغییر مسیرهای ساده هستند، به این معنی که محتوایی از خود برای ارسال ندارند، که با ورودی هدر نشان داده می‌شوند. Content-Length: 0. توجه داشته باشید که مرورگرها معمولاً محدودیت‌های داخلی برای تعداد تغییر مسیرهایی که از هر URL شروعی دنبال می‌کنند دارند، به عنوان یک اقدام احتیاطی ساده در برابر گرفتار شدن در یک آدرس بی‌پایان. چرخه تغییر مسیر.

کنترل تغییر مسیر مضر در نظر گرفته می شود

همانطور که می توانید تصور کنید، داشتن دسترسی داخلی به تنظیمات تغییر مسیر وب یک شرکت به طور موثر به این معنی است که می توانید وب سرورهای آنها را بدون تغییر مستقیم محتوای آن سرورها هک کنید.

درعوض، می‌توانید به‌طور یواشکی آن درخواست‌های سرور را به محتوایی که در جای دیگری تنظیم کرده‌اید هدایت کنید و داده‌های سرور را بدون تغییر باقی بگذارید.

هر کسی که دسترسی و گزارش‌های آپلود خود را برای شواهدی مبنی بر ورود غیرمجاز یا تغییرات غیرمنتظره در فایل‌های HTML، CS، PHP و جاوا اسکریپت که محتوای رسمی سایتشان را تشکیل می‌دهند، بررسی می‌کند…

... هیچ چیز ناخوشایندی نخواهند دید، زیرا داده های خود آنها در واقع لمس نمی شوند.

بدتر از آن، اگر مهاجمان فقط هر از چند گاهی تغییر مسیرهای مخرب را راه اندازی کنند، تشخیص مخرب کار دشواری است.

با توجه به اینکه این شرکت در a بیانیه در سایت خودش که:

در اوایل دسامبر 2022، ما شروع به دریافت تعداد کمی از شکایات مشتریان در مورد تغییر مسیر متناوب وب‌سایت‌هایشان کردیم. پس از دریافت این شکایات، ما بررسی کردیم و متوجه شدیم که تغییر مسیرهای متناوب در وب‌سایت‌های ظاهراً تصادفی که روی سرورهای میزبانی مشترک cPanel ما میزبانی شده‌اند اتفاق می‌افتد و به راحتی توسط GoDaddy حتی در همان وب‌سایت قابل تکرار نیستند.

پیگیری تصاحب گذرا

این همان مشکلی است که محققان امنیت سایبری هنگام برخورد با تبلیغات اینترنتی مسموم ارائه شده توسط سرورهای تبلیغاتی شخص ثالث با آن مواجه می‌شوند – چیزی که در اصطلاح به آن معروف است. موزیک.

بدیهی است که محتوای مخربی که فقط به صورت متناوب ظاهر می شود، هر بار که از یک سایت آسیب دیده بازدید می کنید نشان داده نمی شود، به طوری که حتی تازه کردن صفحه ای که از آن مطمئن نیستید احتمالاً شواهد را از بین می برد.

حتی ممکن است کاملاً منطقی بپذیرید که چیزی که دیدید یک حمله تلاشی نبود، بلکه صرفاً یک خطای گذرا بود.

این عدم قطعیت و تکرار ناپذیری معمولاً اولین گزارش مشکل را به تاخیر می اندازد، که به دست کلاهبرداران بازی می کند.

به همین ترتیب، محققانی که گزارش‌های مربوط به «بدخواهی متناوب» را دنبال می‌کنند، نمی‌توانند مطمئن باشند که می‌توانند نسخه‌ای از چیزهای بد را نیز بگیرند، حتی اگر بدانند کجا را نگاه کنند.

در واقع، زمانی که مجرمان از بدافزار سمت سرور برای تغییر رفتار خدمات وب به صورت پویا (ایجاد تغییرات) استفاده می‌کنند. در زمان اجرابرای استفاده از اصطلاح اصطلاحی)، آنها می توانند از طیف وسیعی از عوامل خارجی برای سردرگمی بیشتر محققان استفاده کنند.

به عنوان مثال، آنها می توانند تغییر مسیرهای خود را تغییر دهند، یا حتی آنها را به طور کامل سرکوب کنند، بر اساس زمان روز، کشوری که از آن بازدید می کنید، چه در لپ تاپ یا تلفن، چه مرورگری که استفاده می کنید…

... و آیا آنها فکر می کنم شما یک محقق امنیت سایبری هستید یا نه.

چه کاری انجام دهید؟

متأسفانه، GoDaddy تقریباً گرفت سه ماه برای اطلاع رسانی به جهان در مورد این نقض، و حتی در حال حاضر چیز زیادی برای ادامه دادن وجود ندارد.

چه یک کاربر وب باشید که از دسامبر 2022 از یک سایت میزبانی شده توسط GoDaddy بازدید کرده اید (که احتمالاً اکثر ما را شامل می شود، چه متوجه شویم یا نه)، یا یک اپراتور وب سایت که از GoDaddy به عنوان یک شرکت میزبانی استفاده می کند…

... ما از هیچکدام مطلع نیستیم شاخص های سازش (IoC)، یا «نشانه‌های حمله» که ممکن است در آن زمان متوجه آن شده باشید یا می‌توانیم به شما توصیه کنیم که اکنون جستجو کنید.

بدتر از آن، حتی اگر GoDaddy نقض را در وب سایت خود تحت عنوان توضیح می دهد بیانیه در مورد مسائل اخیر تغییر مسیر وب سایت، در آن آمده است بایگانی 10-K که این ممکن است یک حمله بسیار طولانی تر از آنچه که کلمه "اخیرا" دلالت می کند باشد:

بر اساس تحقیقات ما، ما معتقدیم [که این و حوادث دیگر حداقل به مارس 2020 باز می‌گردد] بخشی از یک کمپین چند ساله توسط یک گروه تهدیدکننده پیچیده است که، از جمله، بدافزار را بر روی سیستم‌های ما نصب کرده و قطعاتی از آن را به دست آورده است. کد مربوط به برخی از خدمات در GoDaddy.

همانطور که در بالا ذکر شد، GoDaddy به SEC اطمینان داده است که "ما به بررسی علت اصلی حادثه ادامه می دهیم".

بیایید امیدوار باشیم که سه ماه دیگر طول نکشید تا این شرکت به ما بگوید که در جریان این تحقیقات چه چیزی را کشف می کند، که به نظر می رسد به سه سال یا بیشتر بازگردد…

تمبر زمان:

بیشتر از امنیت برهنه