นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS
Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.br เป็นต้น
การทำงานของ GhostDNS ประกอบด้วย 4 โมดูลหลักคือ
1) DNSChanger Module เป็นโมดูลหลักที่ถูกออกแบบมาเพื่อโจมตีเราเตอร์เป้าหมาย โดยในโมดูลนี้จะประกอบไปด้วย 3 โมดูลย่อยซึ่งนักวิจัยเรียกกันว่า Shell DNSChanger, Js DNSChanger, และ PyPhp โมดูลย่อยเหล่านี้ถือเป็นการทำงานที่สำคัญของโมดูล DNSChanger ที่ช่วยให้ผู้โจมตีสามารถสแกนหาหาเราเตอร์ที่มีช่องโหว่ได้สำเร็จ
2) Web Admin module คาดว่าเป็นหน้า Admin Panel สำหรับบริหารจัดการมัลแวร์ของแฮกเกอร์
3) Rogue DNS – ทำหน้าที่ Resolve ชื่อโดเมนเป้าหมายให้วิ่งมายังเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งส่วนใหญ่เป็นโดเมนที่เกี่ยวข้องกับธนาคารและบริการเว็บโฮสติ้ง
4) Phishing Web – หน้าเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูลที่สำคัญของผู้ใช้งาน
จากรายงานระหว่างวันที่ 21 ถึง 27 กันยายน แคมเปญ GhostDNS ได้เข้าถึงเราเตอร์กว่า 100,000 เครื่อง ซึ่ง 87.8 เปอร์เซ็นต์ของเราเตอร์ (ซึ่งเท่ากับเราเตอร์ 87,800 ตัว) ตั้งอยู่ในประเทศบราซิลซึ่งหมายความว่าบราซิลเป็นเป้าหมายหลักในการโจมตี และมีเราท์เตอร์/เฟิร์มแวร์กว่า 70 ประเภทที่ได้รับผลกระทบจากแคมเปญดังกล่าว
วิธีการป้องกัน
- ตรวจสอบเฟิร์มแวร์ของเราเตอร์ว่าเป็นเวอร์ชั่นล่าสุดหรือไม่
- ตั้งรหัสผ่านที่แข็งแกร่งสำหรับพอร์ทัลเว็บเราเตอร์
- ปิดการใช้งานการดูแลระบบระยะไกล, เปลี่ยน local IP address, และ hardcoding DNS server ลงในเราเตอร์หรือระบบปฏิบัติการ
นอกจากนี้ทาง NetLab ยังแนะนำผู้ผลิตเราเตอร์ให้เพิ่มความซับซ้อนของสำหรับรหัสผ่านเริ่มต้นของเราเตอร์และเพิ่มกลไกการปรับปรุงระบบความปลอดภัยสำหรับผลิตภัณฑ์
ที่มาเพิ่มเติม : https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html
วิธีการป้องกัน
- ตรวจสอบเฟิร์มแวร์ของเราเตอร์ว่าเป็นเวอร์ชั่นล่าสุดหรือไม่
- ตั้งรหัสผ่านที่แข็งแกร่งสำหรับพอร์ทัลเว็บเราเตอร์
- ปิดการใช้งานการดูแลระบบระยะไกล, เปลี่ยน local IP address, และ hardcoding DNS server ลงในเราเตอร์หรือระบบปฏิบัติการ
นอกจากนี้ทาง NetLab ยังแนะนำผู้ผลิตเราเตอร์ให้เพิ่มความซับซ้อนของสำหรับรหัสผ่านเริ่มต้นของเราเตอร์และเพิ่มกลไกการปรับปรุงระบบความปลอดภัยสำหรับผลิตภัณฑ์
ที่มา : zdnet
You must be logged in to post a comment.