GoDaddy ยอมรับ: พวกมิจฉาชีพโจมตีเราด้วยมัลแวร์ โจมตีเว็บไซต์ของลูกค้า

ปลายสัปดาห์ที่แล้ว [2023-02-16] บริษัทเว็บโฮสติ้งยอดนิยม GoDaddy ได้ยื่นฟ้องต่อศาล รายงานประจำปี 10-K กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์แห่งสหรัฐอเมริกา (ก.ล.ต.)

ภายใต้หัวข้อย่อย ความเสี่ยงในการดำเนินงานGoDaddy เปิดเผยว่า:

ในเดือนธันวาคม 2022 บุคคลที่สามที่ไม่ได้รับอนุญาตเข้าถึงและติดตั้งมัลแวร์บนเซิร์ฟเวอร์โฮสติ้ง cPanel ของเรา มัลแวร์เปลี่ยนเส้นทางเว็บไซต์ของลูกค้าแบบสุ่มไปยังไซต์ที่เป็นอันตรายเป็นระยะๆ เรายังคงตรวจสอบสาเหตุของเหตุการณ์ต่อไป

การเปลี่ยนเส้นทาง URL หรือที่เรียกว่า การส่งต่อ URLเป็นคุณสมบัติที่ยกเว้นไม่ได้ของ HTTP (the โปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์) และมักใช้ด้วยเหตุผลหลายประการ

ตัวอย่างเช่น คุณอาจตัดสินใจเปลี่ยนชื่อโดเมนหลักของบริษัท แต่ต้องการให้ลิงก์เก่าทั้งหมดของคุณยังคงอยู่ บริษัทของคุณอาจถูกซื้อกิจการและจำเป็นต้องย้ายเนื้อหาเว็บไปยังเซิร์ฟเวอร์ของเจ้าของรายใหม่ หรือคุณอาจต้องการทำให้เว็บไซต์ปัจจุบันของคุณออฟไลน์เพื่อการบำรุงรักษา และเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ชั่วคราวในระหว่างนี้

การใช้การเปลี่ยนเส้นทาง URL ที่สำคัญอีกประการหนึ่งคือการบอกผู้เยี่ยมชมที่มาถึงเว็บไซต์ของคุณผ่าน HTTP แบบเก่าที่ไม่ได้เข้ารหัสว่าควรเข้าชมโดยใช้ HTTPS (HTTP ที่ปลอดภัย) แทน

จากนั้น เมื่อพวกเขาเชื่อมต่อใหม่ผ่านการเชื่อมต่อที่เข้ารหัสแล้ว คุณสามารถใส่ส่วนหัวพิเศษเพื่อบอกให้เบราว์เซอร์ของพวกเขาเริ่มต้นด้วย HTTPS ในอนาคต แม้ว่าพวกเขาจะคลิกที่ข้อความเก่า http://... ลิงค์หรือพิมพ์ผิด http://... ด้วยมือ.

ในความเป็นจริง การเปลี่ยนเส้นทางเป็นเรื่องปกติมาก จนหากคุณไปไหนมาไหนกับนักพัฒนาเว็บ คุณจะได้ยินพวกเขาอ้างถึงพวกเขาด้วยรหัส HTTP ที่เป็นตัวเลข ในลักษณะเดียวกับที่พวกเราที่เหลือพูดถึง "การได้รับ 404" เมื่อเรา ลองไปที่หน้าที่ไม่มีอยู่อีกต่อไป เพียงเพราะว่า 404 เป็น HTTP ของ Not Found รหัสข้อผิดพลาด

จริงๆ แล้วมีรหัสการเปลี่ยนเส้นทางที่แตกต่างกันหลายรหัส แต่รหัสที่คุณอาจได้ยินบ่อยที่สุดคือรหัสเปลี่ยนเส้นทางคือ a 301 เปลี่ยนเส้นทางหรือที่เรียกว่า Moved Permanently. นั่นคือเมื่อคุณรู้ว่า URL เก่าถูกยกเลิกแล้วและไม่น่าจะปรากฏขึ้นอีกเป็นลิงก์ที่เข้าถึงได้โดยตรง อื่นๆ ได้แก่ 303 และ 307 การเปลี่ยนเส้นทางหรือที่เรียกกันทั่วไปว่า See Other และ Temporary Redirectใช้เมื่อคุณคาดว่า URL เก่าจะกลับมาใช้งานในท้ายที่สุด

ต่อไปนี้คือสองตัวอย่างทั่วไปของการเปลี่ยนเส้นทางแบบ 301 ซึ่งใช้ใน Sophos

แบบแรกบอกให้ผู้เยี่ยมชมใช้ HTTP เพื่อเชื่อมต่อใหม่ทันทีโดยใช้ HTTPS แทน และแบบที่สองมีอยู่เพื่อให้เราสามารถยอมรับ URL ที่ขึ้นต้นด้วย sophos.com โดยเปลี่ยนเส้นทางไปยังชื่อเว็บเซิร์ฟเวอร์ทั่วไปของเรา www.sophos.com.

ในแต่ละกรณี รายการส่วนหัวจะมีป้ายกำกับ Location: บอกเว็บไคลเอ็นต์ว่าจะไปที่ไหนต่อไป ซึ่งโดยทั่วไปแล้วเบราว์เซอร์ใดจะทำโดยอัตโนมัติ:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 ย้ายอย่างถาวร ความยาวเนื้อหา: 0 ตำแหน่ง: https://sophos.com/ <--เชื่อมต่อใหม่ที่นี่ (ที่เดิม แต่ใช้ TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 ย้ายอย่างถาวร ความยาวเนื้อหา: 0 ตำแหน่ง: https://www.sophos.com/ <--เปลี่ยนเส้นทางไปยังเว็บเซิร์ฟเวอร์ของเราตามจริง เนื้อหา เข้มงวด-ขนส่ง-รักษาความปลอดภัย: . . . <-- ครั้งต่อไป โปรดใช้ HTTPS เพื่อขึ้นต้นด้วย . . .

ตัวเลือกบรรทัดคำสั่ง -D - ด้านบนบอก curl โปรแกรมพิมพ์ส่วนหัว HTTP ในการตอบกลับ ซึ่งเป็นสิ่งสำคัญที่นี่ การตอบกลับทั้งสองนี้เป็นการเปลี่ยนเส้นทางอย่างง่าย หมายความว่าพวกเขาไม่มีเนื้อหาของตนเองที่จะส่งกลับ ซึ่งพวกเขาแสดงด้วยรายการส่วนหัว Content-Length: 0. โปรดทราบว่าโดยทั่วไปแล้วเบราว์เซอร์มีขีดจำกัดในตัวว่าจะมีการเปลี่ยนเส้นทางกี่ครั้งที่พวกเขาจะติดตามจาก URL เริ่มต้น เพื่อเป็นการป้องกันง่ายๆ รอบการเปลี่ยนเส้นทาง.

การควบคุมการเปลี่ยนเส้นทางถือว่าเป็นอันตราย

อย่างที่คุณสามารถจินตนาการได้ การมีบุคคลวงในเข้าถึงการตั้งค่าการเปลี่ยนเส้นทางเว็บของบริษัทได้อย่างมีประสิทธิภาพ หมายความว่าคุณสามารถแฮ็กเว็บเซิร์ฟเวอร์ของพวกเขาโดยไม่ต้องแก้ไขเนื้อหาของเซิร์ฟเวอร์เหล่านั้นโดยตรง

คุณสามารถแอบเปลี่ยนเส้นทางคำขอของเซิร์ฟเวอร์เหล่านั้นไปยังเนื้อหาที่คุณตั้งค่าไว้ที่อื่นได้ โดยปล่อยให้ข้อมูลเซิร์ฟเวอร์ไม่เปลี่ยนแปลง

ใครก็ตามที่ตรวจสอบการเข้าถึงและอัปโหลดบันทึกเพื่อหาหลักฐานการเข้าสู่ระบบที่ไม่ได้รับอนุญาตหรือการเปลี่ยนแปลงที่ไม่คาดคิดกับไฟล์ HTML, CS , PHP และ JavaScript ที่ประกอบขึ้นเป็นเนื้อหาทางการของเว็บไซต์...

…จะไม่เห็นอะไรที่ไม่ดี เพราะข้อมูลของตัวเองจะไม่ถูกแตะต้อง

ยิ่งไปกว่านั้น หากผู้โจมตีเรียกใช้การเปลี่ยนเส้นทางที่เป็นอันตรายเป็นระยะๆ เท่านั้น กลอุบายนี้อาจตรวจจับได้ยาก

ดูเหมือนว่าจะเป็นสิ่งที่เกิดขึ้นกับ GoDaddy เนื่องจากบริษัทได้เขียนไว้ใน คำสั่ง บนเว็บไซต์ของตนเองว่า:

ในช่วงต้นเดือนธันวาคม 2022 เราเริ่มได้รับการร้องเรียนจากลูกค้าจำนวนเล็กน้อยเกี่ยวกับการเปลี่ยนเส้นทางเว็บไซต์ของพวกเขาเป็นระยะๆ เมื่อได้รับข้อร้องเรียนเหล่านี้ เราได้ตรวจสอบและพบว่าการเปลี่ยนเส้นทางเป็นระยะๆ เกิดขึ้นบนเว็บไซต์ที่ดูเหมือนจะสุ่มที่โฮสต์บนเซิร์ฟเวอร์โฮสติ้งที่ใช้ร่วมกันของ cPanel และ GoDaddy ไม่สามารถทำซ้ำได้ง่ายๆ แม้แต่บนเว็บไซต์เดียวกัน

ติดตามการครอบครองชั่วคราว

นี่เป็นปัญหาประเภทเดียวกับที่นักวิจัยด้านความปลอดภัยทางไซเบอร์พบเมื่อต้องรับมือกับโฆษณาทางอินเทอร์เน็ตที่เป็นพิษซึ่งแสดงโดยเซิร์ฟเวอร์โฆษณาของบุคคลที่สาม ซึ่งเรียกว่าศัพท์แสง มัลแวร์โฆษณา.

---

---

เห็นได้ชัดว่า เนื้อหาที่เป็นอันตรายซึ่งปรากฏขึ้นเป็นระยะๆ ไม่ได้ปรากฏขึ้นทุกครั้งที่คุณเยี่ยมชมไซต์ที่ได้รับผลกระทบ ดังนั้นแม้แต่การรีเฟรชหน้าเว็บที่คุณไม่แน่ใจก็มีแนวโน้มที่จะทำลายหลักฐานได้

คุณอาจยอมรับได้อย่างสมเหตุสมผลว่าสิ่งที่คุณเพิ่งเห็นไม่ใช่การพยายามโจมตี แต่เป็นเพียงข้อผิดพลาดชั่วคราว

ความไม่แน่นอนและการผลิตซ้ำไม่ได้นี้มักทำให้การรายงานปัญหาครั้งแรกล่าช้า ซึ่งมักตกอยู่ในมือของมิจฉาชีพ

ในทำนองเดียวกัน นักวิจัยที่ติดตามรายงานเกี่ยวกับ "ความมุ่งร้ายชั่วขณะ" ไม่สามารถแน่ใจได้ว่าพวกเขาจะสามารถคว้าสำเนาของสิ่งที่ไม่ดีได้ แม้ว่าพวกเขาจะรู้ว่าควรหาจากที่ใด

เมื่ออาชญากรใช้มัลแวร์ฝั่งเซิร์ฟเวอร์เพื่อเปลี่ยนแปลงพฤติกรรมของบริการบนเว็บแบบไดนามิก (ทำการเปลี่ยนแปลง ที่รันไทม์เพื่อใช้ศัพท์เฉพาะ) พวกเขาสามารถใช้ปัจจัยภายนอกที่หลากหลายเพื่อสร้างความสับสนให้กับนักวิจัยมากยิ่งขึ้น

ตัวอย่างเช่น พวกเขาสามารถเปลี่ยนการเปลี่ยนเส้นทาง หรือแม้แต่ระงับทั้งหมด โดยขึ้นอยู่กับช่วงเวลาของวัน ประเทศที่คุณไปเยี่ยมชม ไม่ว่าคุณจะใช้แล็ปท็อปหรือโทรศัพท์ เบราว์เซอร์ใดที่คุณใช้...

…และไม่ว่าพวกเขาจะ คิด คุณเป็นนักวิจัยด้านความปลอดภัยในโลกไซเบอร์หรือไม่

---

---

จะทำอย่างไร?

น่าเสียดายที่ GoDaddy ใช้เวลาเกือบ สามเดือน เพื่อบอกให้โลกรู้เกี่ยวกับการละเมิดนี้ และถึงตอนนี้ก็ยังไม่มีอะไรต้องดำเนินการมากนัก

ไม่ว่าคุณจะเป็นผู้ใช้เว็บที่เข้าชมไซต์ที่โฮสต์โดย GoDaddy ตั้งแต่เดือนธันวาคม 2022 (ซึ่งอาจรวมถึงพวกเราส่วนใหญ่ด้วย ไม่ว่าเราจะทราบหรือไม่ก็ตาม) หรือผู้ดำเนินการเว็บไซต์ที่ใช้ GoDaddy เป็นบริษัทโฮสติ้ง...

…เราไม่รู้อะไรเลย ตัวชี้วัดของการประนีประนอม (IoCs) หรือ “สัญญาณของการโจมตี” ที่คุณอาจสังเกตเห็นในขณะนั้น หรือที่เราแนะนำให้คุณค้นหาในตอนนี้

ยิ่งไปกว่านั้น แม้ว่า GoDaddy จะอธิบายถึงการละเมิดบนเว็บไซต์ภายใต้บรรทัดแรก คำชี้แจงเกี่ยวกับปัญหาการเปลี่ยนเส้นทางเว็บไซต์ล่าสุดมันระบุไว้ในของมัน การยื่น 10-K ว่านี่อาจเป็นการโจมตีที่กินเวลานานกว่าคำว่า "ล่าสุด" ดูเหมือนจะหมายถึง:

จากการสืบสวนของเรา เราเชื่อว่า [เหตุการณ์นี้และเหตุการณ์อื่นๆ ย้อนหลังไปถึงอย่างน้อยเดือนมีนาคม 2000] เป็นส่วนหนึ่งของการรณรงค์หลายปีโดยกลุ่มผู้คุกคามที่มีความซับซ้อน ซึ่งเหนือสิ่งอื่นใด ติดตั้งมัลแวร์บนระบบของเรา และได้รับชิ้นส่วนของ รหัสที่เกี่ยวข้องกับบริการบางอย่างภายใน GoDaddy

ตามที่กล่าวไว้ข้างต้น GoDaddy ให้ความมั่นใจกับ ก.ล.ต. ว่า “เราจะดำเนินการตรวจสอบสาเหตุของเหตุการณ์ต่อไป”

หวังว่าบริษัทจะไม่ใช้เวลาอีกสามเดือนในการบอกเราว่าเปิดเผยอะไรในระหว่างการสืบสวนนี้ ซึ่งดูเหมือนจะยืดเยื้อไปถึงสามปีหรือมากกว่านั้น...

---

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/