GoDaddy의 인정: 사기꾼이 맬웨어, 중독된 고객 웹사이트로 우리를 때렸습니다.

지난 주 말 [2023-02-16], 인기 웹 호스팅 회사 GoDaddy에서 강제 등록을 신청했습니다. 연간 10-K 보고서 미국 증권 거래위원회 (SEC)와

소제목 아래 운영 위험, GoDaddy는 다음과 같이 밝혔습니다.

2022년 XNUMX월에 승인되지 않은 제XNUMX자가 cPanel 호스팅 서버에 액세스하여 멀웨어를 설치했습니다. 이 악성코드는 임의의 고객 웹사이트를 악성 사이트로 간헐적으로 리디렉션했습니다. 우리는 사건의 근본 원인을 계속 조사하고 있습니다.

URL 리디렉션이라고도 함 URL 전달, HTTP의 예외적인 기능입니다( 하이퍼 텍스트 전송 프로토콜), 일반적으로 다양한 이유로 사용됩니다.

예를 들어 회사의 기본 도메인 이름을 변경하기로 결정했지만 이전 링크는 모두 유지하고 싶을 수 있습니다. 회사가 인수되어 웹 콘텐츠를 새 소유자의 서버로 옮겨야 할 수도 있습니다. 또는 유지 관리를 위해 현재 웹 사이트를 오프라인으로 전환하고 그 동안 방문자를 임시 사이트로 리디렉션할 수 있습니다.

URL 리디렉션의 또 다른 중요한 용도는 암호화되지 않은 일반 HTTP를 통해 웹사이트에 도착하는 방문자에게 대신 HTTPS(보안 HTTP)를 사용하여 방문해야 한다고 알리는 것입니다.

그런 다음 암호화된 연결을 통해 다시 연결되면 이전 연결을 클릭하더라도 나중에 HTTPS로 시작하도록 브라우저에 알리는 특수 헤더를 포함할 수 있습니다. http://... 링크하거나 실수로 입력 http://... 손으로.

사실 리다이렉트는 너무 흔해서 웹 개발자 주변에 있으면 숫자 HTTP 코드로 리다이렉트를 언급하는 것을 들을 수 있습니다. 더 이상 존재하지 않는 페이지를 방문하려고 합니다. 404 HTTP의 Not Found 에러 코드.

실제로 여러 리디렉션 코드가 있지만 번호로 가장 자주 언급되는 코드는 301 리디렉션이라고도 함 Moved Permanently. 이때 이전 URL이 폐기되었으며 직접 연결할 수 있는 링크로 다시 나타나지 않을 것입니다. 기타 포함 303 및 307 일반적으로 알려진 리디렉션 See Other 및 Temporary Redirect, 이전 URL이 궁극적으로 다시 활성화될 것으로 예상할 때 사용됩니다.

다음은 Sophos에서 사용되는 301 스타일 리디렉션의 두 가지 일반적인 예입니다.

첫 번째는 HTTP를 사용하는 방문자에게 대신 HTTPS를 사용하여 바로 다시 연결하도록 알려주고 두 번째는 단지로 시작하는 URL을 허용할 수 있도록 존재합니다. sophos.com 보다 일반적인 웹 서버 이름으로 리디렉션하여 www.sophos.com.

각각의 경우에 레이블이 지정된 헤더 항목은 Location: 웹 클라이언트에게 다음으로 이동할 위치를 알려주며 일반적으로 브라우저는 자동으로 수행합니다.

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 영구적으로 이동됨 Content-Length: 0 위치: https://sophos.com/ <--reconnect here(동일한 위치지만 TLS 사용) ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 영구적으로 이동됨 Content-Length: 0 Location: https://www.sophos.com/ <--실제 웹 서버로 리디렉션 콘텐츠 Strict-Transport-Security: . . . <--다음에는 HTTPS를 사용하여 로 시작하십시오. . .

명령줄 옵션 -D - 위의 말 curl 답장에 있는 HTTP 헤더를 출력하는 프로그램입니다. 여기서 중요한 사항입니다. 이 두 응답은 모두 단순한 리디렉션입니다. 즉, 다시 보낼 자체 콘텐츠가 없으며 헤더 항목으로 표시됩니다. Content-Length: 0. 브라우저에는 일반적으로 시작 URL에서 따를 리디렉션 수에 대한 제한이 내장되어 있습니다. 리디렉션 주기.

유해한 것으로 간주되는 리디렉션 제어

상상할 수 있듯이 회사의 웹 리디렉션 설정에 대한 내부 액세스 권한이 있다는 것은 해당 서버의 콘텐츠를 직접 수정하지 않고도 웹 서버를 해킹할 수 있음을 의미합니다.

대신 서버 요청을 다른 곳에 설정한 콘텐츠로 몰래 리디렉션하여 서버 데이터 자체를 변경하지 않고 그대로 둘 수 있습니다.

자신의 사이트의 공식 콘텐츠를 구성하는 HTML, CS, PHP 및 JavaScript 파일에 대한 무단 로그인 또는 예기치 않은 변경의 증거를 위해 자신의 액세스 및 업로드 로그를 확인하는 사람…

... 자신의 데이터가 실제로 건드리지 않았기 때문에 아무런 문제가 발생하지 않습니다.

설상가상으로, 공격자가 때때로 악의적인 리디렉션을 트리거하는 경우 속임수를 발견하기 어려울 수 있습니다.

GoDaddy에서 일어난 일인 것 같습니다. 성명서 자체 사이트에서 다음을 수행합니다.

2022년 XNUMX월 초에 웹사이트가 간헐적으로 리디렉션된다는 고객 불만이 소수 접수되기 시작했습니다. 이러한 불만 사항을 접수한 후 조사한 결과 간헐적인 리디렉션이 cPanel 공유 호스팅 서버에서 호스팅되는 겉보기에 무작위로 보이는 웹사이트에서 발생하고 있으며 동일한 웹사이트에서도 GoDaddy에서 쉽게 재현할 수 없는 것으로 나타났습니다.

일시적 인수 추적

이것은 사이버 보안 연구원이 타사 광고 서버에서 제공하는 중독된 인터넷 광고를 처리할 때 직면하는 것과 동일한 종류의 문제입니다. 악의적 인.

---

---

분명히 간헐적으로만 나타나는 악성 콘텐츠는 영향을 받는 사이트를 방문할 때마다 표시되지 않으므로 확실하지 않은 페이지를 새로고침하는 것만으로도 증거가 파괴될 수 있습니다.

방금 본 것이 공격 시도가 아니라 일시적인 오류라는 사실을 완전히 합리적으로 받아들일 수도 있습니다.

이러한 불확실성과 재현 불가능성은 일반적으로 사기꾼의 손에 들어가는 문제의 첫 번째 보고를 지연시킵니다.

마찬가지로, "간헐적인 악의" 보고서에 대한 후속 조치를 취하는 연구원들은 그들이 어디를 봐야 하는지 알고 있더라도 나쁜 것의 사본을 얻을 수 있을지 확신할 수 없습니다.

실제로 범죄자가 서버 측 멀웨어를 사용하여 웹 서비스의 동작을 동적으로 변경(변경 런타임에, 전문 용어 사용), 광범위한 외부 요인을 사용하여 연구원을 더욱 혼란스럽게 할 수 있습니다.

예를 들어, 하루 중 시간, 방문하는 국가, 랩톱 또는 전화 사용 여부, 사용 중인 브라우저에 따라 리디렉션을 변경하거나 완전히 억제할 수도 있습니다.

... 그리고 그들이 생각 당신은 사이버 보안 연구원인지 아닌지.

---

---

무엇을해야 하는가?

불행하게도 GoDaddy는 거의 삼 개월 이 위반에 대해 세상에 알리고 지금도 계속할 일이 많지 않습니다.

2022년 XNUMX월 이후로 GoDaddy에서 호스팅하는 사이트를 방문한 웹 사용자(우리가 인지하고 있는지 여부에 관계없이 대부분의 사용자가 포함됨)이거나 GoDaddy를 호스팅 회사로 사용하는 웹사이트 운영자이건…

...우리는 아무것도 모른다 타협의 지표 (IoC) 또는 "공격의 징후"는 당시 알아차렸을 수 있거나 지금 검색하도록 조언할 수 있습니다.

더 나쁜 것은 GoDaddy가 자사 웹사이트의 제목 아래 위반 사항을 설명했음에도 불구하고 말입니다. 최근 웹사이트 리디렉션 문제에 대한 설명, 그것은 그것의 진술 10-K 출원 이것은 "최근"이라는 단어가 의미하는 것보다 훨씬 더 오래 지속되는 맹공격일 수 있습니다.

우리의 조사에 따르면 [이 사건과 적어도 2020년 XNUMX월로 거슬러 올라가는 다른 사건]은 무엇보다도 우리 시스템에 맬웨어를 설치하고 GoDaddy 내의 일부 서비스와 관련된 코드입니다.

위에서 언급한 바와 같이 GoDaddy는 SEC에 "사건의 근본 원인을 계속 조사 중"이라고 확신했습니다.

XNUMX년 이상 전으로 거슬러 올라가는 이 조사 과정에서 회사가 밝혀낸 사실을 알려주는 데 XNUMX개월이 더 걸리지 않기를 바랍니다.

---

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/