Comodo Secure DNS вёл россиян на фишинговые сайты - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
A.

Comodo Secure DNS вёл россиян на фишинговые сайты

Recommended Posts

A.

перепечатка с Вебпланеты http://webplanet.ru/news/security/2011/11/...secure_dns.html

--

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

следующий шаг это когда комодо вместо обновлений начнет малварь качать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И подписывать малварь и выписывать сертификаты сайтам с приватной информацией. WAIT... OH, SHI~

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

этожжжж неспроста, еще пара таких ляпов и банкрот как diginotar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo) :lol::lol::lol: она обкуреная походу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
еще пара таких ляпов и банкрот

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

C другой стороны какие богатые возможности к накрутке репутации открываются :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Разницу между пользователями и посетителями сайта андестенд ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Разницу между пользователями и посетителями сайта андестенд ? :)

Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Для тугих, еще раз:

1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

да ладно, все равно из общей серии - компания занимающаяся безопасностью позволяет каким-либо способом заразиться юзерам.

если у одной строительной компании рухнет строящийся мост, а у другой рядом с офисом упадет плита с крыши на крыльцо с посетителями, то эффект сравним, особенно если жертвы будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
3. У ЛК никогда не было проблем с главными серверами и сервисами.

А как же взлом американского сайта касперского в 2009 году? тоже с серверами все ништяк?

"Американское зеркало веб-сайта «Лаборатории Касперского», известного российского производителя антивирусов, был взломан неизвестными злоумышленниками. В течение 3,5 часов официальный интернет-ресурс компании предлагал посетителям скачать вредоносные программы под видом ПО для защиты компьютера.

Как сообщает ресурс PC World, страницы с описанием продуктов от «Лаборатории» автоматически перенаправляли пользователей на мошеннические сайты, которые показывали им всплывающие окна с сообщениями об обнаруженных вирусах и об острой необходимости скачивания новейших «лекарств». Естественно, вместо защитных программ посетителям предлагалось загрузить опасные вирусы."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Для нелепо оправдывающихся, еще раз:

1. Пользователи/посетители USA сайта KL попадали на сайт, впаривающий им Fake AV.

2. Вы позволите мне не комментировать эту нелепую ахинею, а просто сделать скриншот на память ?

3. Редирект с сайта компании по безопасности на вредоносный сайт это сущая безделица, понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

http://dev.recursive.dns.com/

перепечатка с Вебпланеты

--

...продвинутые пользователи...

...в качестве DNS-серверов указаны "левые"...

8.26.56.26

8.20.247.20

...mail.ru, yandex.ru и другие...

...ЖЖ...

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Раньше адреса DNS-серверов были другие: 156.154.70.22 и 156.154.71.22. © продвинутый пользователь из ЖуЖучки

A., спасибо, улыбнуло, перепечатайте ещё что-нибудь (из ЖЖ или Одноклассничков)

Предпочитаемый DNS: 156.154.70.25

Альтернативный DNS: 156.154.71.25

(с) online HELP

"продвинутый пользователь" наверняка поиск майл.ру пользует :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl

A., думаю, что лучше всё-таки читать мануалы, а не желтушные изданьица. А в мануалах вполне явно написано, что:

Primary DNS : 156.154.70.22

Secondary DNS : 156.154.71.22

для англоязычных пользователей и

Preferred DNS : 156.154.70.25

Alternate DNS : 156.154.71.25

для остальных. Это во-первых.

Во-вторых, 8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

В-третьих, 174.129.145.134 - это сервер, который показывает алерт Secure DNS.

http://help.comodo.com/topic-72-1-284-3002...NS-Service.html

http://dev.recursive.dns.com/switch/

ЗЫ. Очень повеселил "компетентный" камент от "главы пресс-службы Mail.Ru Group Валерии Комиссаровой". Стоило бы ей напомнить, что не так уж и давно mail.ru абсолютно по-настоящему и месяцами распространял самую натуральную малварь через свой кривой редирект, а их саппорт и слышать ничего не хотел про это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

тогда объясните что это было. почему редиректили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
тогда объясните что это было. почему редиректили?

priv8v, мне, если честно, сложно понять, "что это было", поскольку вся приведённая, с позволения сказать, статья - один большой испорченый телефон. CSDNS блочит mail.ru с вердиктами "social" и "phishing", естественно, что в силу специфики он может делать это только "редиректом", если угоден такой термин. Этот факт может быть весьма неудобен для пользователя, о чём много раз говорилось, скажем здесь, тем более, что сервис, в котором пользователь сможет управлять исключениями и блокировками, ещё на бета-стадии, но это не имеет отношения к распространению чего-либо вредоносного, как утверждается. Если внимательно изучить ссылки, приведённые в "статье", то станет ясно, что этот вывод построен целиком на домыслах её автора и на странной интерпретации тех материалов. Один автор заявил, что у него "эксплойты на майлру", другой сделал два "открытия", что CSDNS, "оказывается", "перенаправляет" mail.ru и что серверов CSDNS несколько, третий не нашел ничего умнее, как, по какой-то своей логике, увязать эти факты между собой, четвертый слепил из этого "жареную новость" руководствуясь своми представлениями, скорее всего, начисто отсутствующими, о работе сетей и т.п., в результате на ©"информационно-аналитическом портале по информационной безопасности" мы обсуждаем это бульварное творение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
тогда объясните что это было...
перепечатка с Вебпланеты...
... вирусы раздавал сервер 174.129.145.134 igor_krein

Разве "продвинутые пользователи" (1 шт. - dil) не объяснил в ЖуЖу ?

(про то, как правильно установить BETA)

2:47

"Моя дорогая, бедная мама уронила меня с …надцатого этажа."

"…как трахнет меня… с четырнадцатого этажа…"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×