TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาประกาศแจ้งเตือนถึงภัยคุกคามรูปแบบใหม่ที่เรียกว่า XOR DDoS ซึ่งเป็นมัลแวร์ประเภทโทรจันแอบแฝงตัวอยู่ในอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux เพื่อสั่งโจมตี DDoS ที่มีขนาดรุนแรงสูงถึง 150 Gbps
XOR DDoS คืออะไร
XOR DDoS เป็นโทรจันที่แพร่ตัวอยู่ในระบบ Linux ทำหน้าที่รับคำสั่งระยะไกลจากแฮ็คเกอร์เพื่อโจมตีแบบ DDoS โดยเริ่มต้นนั้น แฮ็คเกอร์จำเป็นต้องเดารหัสผ่านของ SSH บน Linux ให้ได้ซะก่อน อาจผ่านทางการโจมตีแบบ Brute Force เมื่อได้รับรหัสผ่านแล้ว แฮ็คเกอร์จะทำการล็อคอินโดยใช้สิทธิ์ของ Root สำหรับรัน Bash Shell Script เพื่อดาวน์โหลดมัลแวร์ XOR DDoS มาติดตั้งและใช้โจมตีเป้าหมาย ซึ่ง Akamai ระบุว่า XOR DDoS Botnet ในปีที่ผ่านมีจำนวนเพิ่มสูงขึ้นจนสามารถโจมตีแบบ DDoS ขนาดใหญ่ได้อย่างไม่ยากนัก
การโจมตีแบบ XOR DDoS
ทีมวิจัยของ Akamai ระบุว่า ขนาดของการโจมตี XOR DDoS มีตั้งแต่ขนาดต่ำมาก เพียงไม่กี่ Gbps จนไปถึงสูงสุดที่ประมาณ 150 Gbps ซึ่งนับว่าเป็นการโจมตีที่รุนแรง เป้าหมายส่วนใหญ่เป็นบริษัทเกม รองลงมาคือสถาบันการศึกษา และร้อยละ 90 ของเป้าหมายอยู่ในภูมิภาคเอเชีย นอกจากนี้ ยังพบว่า XOR DDoS เปลี่ยนเป้าหมายในการโจมตีไปเรื่อยๆ โดยวันหนึ่งๆอาจโจมตีเป้าหมายสูงถึง 20 เป้าหมาย
หมายเลข IP ของเครื่องที่ติดโทรจัน XOR DDoS มีทั้งแบบเป็น IP จริง และ IP ปลอม ซึ่งทาง Akamai เชื่อว่า สาเหตุที่ต้องมีการปลอมหมายเลข IP เนื่องจากต้องการหลีกเลี่ยงระบบป้องกันภัยของ ISP ที่เรียกว่า Unicast Reverse Path Forwarding (uRRF)-Protected Network โดยทำการปลอมเลขชุดหลักที่ 3 และ 4 ของหมายเลข IP เดิม
วิธีตรวจจับและกำจัดโทรจัน XOR DDoS
การตรวจจับโทรจัน XOR DDoS สามารถทำได้ 2 วิธี คือ
- ตรวจจับบนระบบเครือข่าย โดยตรวจสอบจากการเชื่อมต่อระหว่าง Botnet และ C2 โดยใช้ Rule ของ Snort ดังนี้
- ตรวจจับบนเครื่อง Linux ทำได้โดยใช้ Rule ของ YARA ดังนี้
สำหรับการกำจัดโทรจัน XOR DDoS นั้น จำเป็นต้องปฏิบัติตามขั้นตอน 4 ขั้นตอนอย่างเคร่งครัด เนื่องจาก โทรจันดังกล่าวสามารถติดตั้งตัวเองใหม่ได้ถ้าถูกลบไป โดยสามารถดูรายละเอียดของการกำจัดโทรจันได้ที่นี่
อ่านรายงานฉบับเต็มเกี่ยวกับ XOR DDoS โดย Akamai
