นักวิจัยด้านความปลอดภัยโชว์ใช้เทคนิค Bitsquatting เพื่อขโมยทราฟิกจากโดเมน windows.com
นักวิจัยด้านความปลอดภัย Remy Hax ได้มีการสาธิตหนึ่งในเทคนิคการโจมตีที่ถูกนำเสนอในปี 2011 ในงาน Blackhat ชื่อ Bitsquatting กับโดเมน windows.com เพื่อสาธิตความเป็นไปได้ที่ยังมีอยู่ในการใช้เทคนิคนี้เพื่อโจมตีและโอกาสความสำเร็จในการใช้เทคนิคเพื่อโจมตีในปัจจุบัน
Bitsquatting เป็นหนึ่งในเทคนิคการโจมตีที่อาศัยข้อผิดพลาดในระดับบิตของข้อมูลเพื่อเป็นประโยชน์ต่อผู้โจมตี การโจมตีโดยใช้เทคนิค Bitsquatting อาศัยข้อเท็จจริงที่ว่าปัจจัยทางธรรมชาติไม่ว่าจะมาจากรังสี คลื่นแม่เหล็กไฟฟ้า หรือแม้แต่ข้อผิดพลาดของฮาร์ดแวร์สามารถส่งผลให้ข้อมูลที่คอมพิวเตอร์เก็บอยู่นั้นเกิดการเปลี่ยนในระดับบิต โดยอาจเป็นการเปลี่ยนจากค่า 0 เป็นค่า 1 หรือจากค่า 1 เป็นค่า 0 ซึ่งทำให้เกิดลักษณะที่เรารู้จักกันในชื่อว่า Bit flipping การเปลี่ยนในระดับบิตนี้อาจส่งผลต่อข้อมูลในภาพรวมได้
Remy ได้ทำการนำเหตุการณ์ Bit flipping มาสาธิตในลักษณะที่เป็นประโยชน์สำหรับผู้โจมตี การสาธิตนั้นตั้งอยู่บนสมมติฐานที่ว่าหากเกิดเหตุการณ์ Bit flipping จริงในระหว่างที่มีการส่ง DNS request เพื่อหาหมายเลขไอพีแอดเดรสจากข้อมูลโดเมนเนม ข้อมูลโดเมนเนมที่ถูกส่งไปทางโปรโตคอล DNS อาจถูกเปลี่ยนโดยปัจจัยธรรมชาติเป็นค่าอื่น และทำให้ทราฟิกวิ่งไปที่โดเมนเนมที่ไม่ใช่ของจริง เกิดเป็นเทคนิค Bitsquatting ขึ้นมา คำว่า Bitsquatting มีที่มาจาก Typosquatting ซึ่งหมายถึงเทคนิคการโจมตีที่ผู้ใช้งานพิมพ์เข้าเว็บไซต์ผิดจนไปเข้าเว็บไซต์ปลอมด้วย
Remy สาธิตการทำ Bitsquatting โดยใช้โดเมน windows.com เขาได้ทำการทดสอบสลับค่าบิตของข้อความ windows.com จนได้ข้อความอื่นที่แตกต่างกันออกไป เขายังพบอีกว่า 14 โดเมนเนมที่เกิดจากการสลับบิตของโดเมนเนม windows.com ยังว่างให้จดทะเบียนอยู่ Remy จึงได้มีการจดทะเบียนโดเมนเนมทั้งหมดเอาไว้เพื่อใช้เก็บข้อมูลทางด้านสถิติจากการโจมตีนี้
จากการจดทะเบียนโดเมนเนมปลอมจากการสลับบิต Remy พบว่าจากการเปิดระบบให้เก็บข้อมูลไว้เพียง 14 วัน เขาสามารถบันทึกการเรียกหาโดเมนปลอมของเขาจากเหตุการณ์ Bitsquatting ได้หลายแสนการเชื่อมต่อ โดยอันดับหนึ่งของลักษณะการเชื่อมต่อที่วิ่งเข้ามาที่โดเมนเนมปลอมนั้นคือการเชื่อมต่อผ่านโปรโตคอล NTP โดยอ้างอิงโดเมนเนมมาเป็น time.windows.com ซึ่งเป็นการตั้งค่าที่มีอยู่ในระบบปฏิบัติการ Windows เป็นค่าเริ่มต้น Remy พบว่าโดเมนเนมปลอมของเขารับการเชื่อมต่อในโปรโตคอล NTP จากการเกิด Bitsquatting ถึง 199,180 การเชื่อมต่อ จากการ 626 หมายเลขไอพีแอดเดรสที่แตกต่างกัน
เหตุการณ์ในลักษณะนี้สามารถถูกนำไปใช้ในการทำ Phishing ได้ โดยผู้โจมตีทำการจดทะเบียนโดเมนเนมที่คาดว่าจะเกิด Bitsquatting เอาไว้ และรอให้ผู้ใช้งานเชื่อมต่อเข้ามาเมื่อมีการสลับบิตแล้ว ผู้โจมตีก็จะสร้างอันตรายแก่ผู้ใช้งานได้
Remy เสนอแนวทางที่เป็นไปได้ในการลดความเสี่ยงจาก Bitsquatting อยู่หลายแนวทาง ตัวอย่างเช่น ปรับเปลี่ยนใช้หน่วยความจำแบบ ECC ซึ่งสามารถระบุหาและแก้ไขข้อผิดพลาดที่เกิดขึ้นในระดับหน่วยความจำได้ หรือใช้วิธีการชิงจดทะเบียนโดเมนเนมที่จะถูกสลับบิตเอาไว้ก่อนตั้งแต่เนิ่นๆ
ที่มา: bleepingcomputer
You must be logged in to post a comment.