Cisco Talos รายงานเตือน DNS Hijacking ผ่านปฏิบัติการ ‘Sea Turtle’

Cisco Talos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกรายงานเตือนเหตุการณ์ DNS Hijacking ครั้งใหญ่ที่เกิดขึ้นในแถบตะวันออกกลางและแอฟริกาเหนือที่กำลังดำเนินอยู่ โดยปฏิบัติการครั้งนี้ถูกขนานนามว่า ‘Sea Turtle’ ที่คาดว่าจะได้รับการสนับสนุนจากรัฐเพื่อมุ่งเน้นการขโมย Credentials อีกทั้งตรวจจับได้ยากผ่านเทคนิคซับซ้อน

แนวคิดก็คือหากผู้โจมตีสามารถเข้าควบคุม DNS ของเหยื่อได้ (อาจจะมี Credential ของผู้ดูแล) ก็จะสามารถเปลี่ยนแปลงหรือปลอมแปลงข้อมูลใน DNS Name Record เพื่อทำให้ผู้ใช้งาน Redirect ไปหาเซิร์ฟเวอร์ปลายทางของคนร้ายได้แทนเซิร์ฟเวอร์จริงที่ตั้งใจ อย่างไรก็ตามเบื้องต้นมีการใช้ช่องโหว่หลายรายการเพื่อเจาะเข้าสู่องค์กรดังนี้

• CVE-2009-1151 : PHP code injection เกิดขึ้นกับ phpMyAdmin
• CVE-2014-6247 : Remote Code Execution ที่ส่งผลกระทบกับ GNU Bash โดยเฉพาะ SMTP (ส่วนหนึ่งของช่องโหว่ Shellshock อันโด่งดัง)
• CVE-2017-3881 : Remote Code Execution บน Cisco Switch
• CVE-2017-6736 : Remote Code Execution บน Cisco ISR 2811
• CVE-2017-12617 : Remote Code Execution บน Apache Web Server ที่รัน Tomcat
• CVE-2018-0296 : ช่องโหว่ Directory Traversal ที่อนุญาตการเข้าถึงที่ยังไม่พิสูจน์ตัวตนซึ่งเกิดบน Cisco ASA 
• CVE-2018-7600 : ช่องโหว่ Drupalgeddon บน Drupal

อย่างไรก็ตามทาง Talos คาดว่าน่าจะยังมีช่องโหว่อื่นๆ อีกหลายรายการ แม้กระทั่งการทำ Spear Phishing ที่ถูกใช้ในปฏิบัติการครั้งนี้ซึ่งมีการกระทำเกิดขึ้นมากมายตามด้านล่าง

• ใช้ Name Server ที่ควบคุมได้เพื่อทำ DNS Hijacking
• มุ่งเป้าไปที่ DNS Registry หลายแห่งและ Registra ที่ดูแลโดเมนระดับประเทศ (ccTLD)
• ใช้ Certificate แบบ Self-signed และจาก Let’s Encrypts, Comodo, Sectigo กับเซิร์ฟเวอร์ Man-in-the-middle เพื่อเริ่มขั้นตอนการขโมย Credentials
• ขโมย SSL Certificate ที่ถูกต้องขององค์กรเพื่อนำไปใช้กับเซิร์ฟเวอร์ที่คนร้ายควบคุมอยู่

ทำไมเหตุการณ์นี้จึงน่าสนใจและประสบความสำเร็จ?

Talos ได้ประมาณคาบเวลาว่าปฏิบัติการ Sea Turtle เกิดขึ้นตั้งแต่มกราคม 2017 และยังคงดำเนินต่อเนื่องเรื่อยมาจนถึงปีนี้ซึ่งแม้ว่าจะมีการแจ้งเตือนเกิดขึ้นมาบ้างแล้วแต่ดูเหมือนว่าคนร้ายไม่มีความยำเกรงเกิดขึ้นแม้แต่น้อยและยังมุ่งลงมือต่อไปซึ่งหากเป็นคนร้ายทั่วๆ ไปคงจะถอนตัวหรือชะลอปฏิบัติการณ์ลงบ้างนั่นจึงดูเหมือนว่าผู้หนุนหลังต้องหนาพอสมควร (State-sponsor)

อย่างไรก็ดีคนร้ายมีการใช้ยุทธวิธีอย่างเฉพาะเจาะจงเพื่อเข้าถึงเครือข่ายเป้าหมาย อีกทั้ง IDS/IPS ไม่ได้ถูกออกแบบมาให้ติดตามและเก็บ Log ของ DNS Request รวมถึง DNS Domain Space อาจไม่ได้ใส่ใจกับเรื่องความมั่นคงปลอดภัย เช่น การใช้ฟีเจอร์ registra Locks กับ ccTLDs เป็นต้น นอกจากนี้ยังมีการใช้เทคนิค Certificate Impersonate ซึ่งทาง Talos กล่าวว่า “เทคนิคนี้ประสบความสำเร็จได้เพราะ SSL Certificate ตอบสนองแค่เรื่อง Confidentiality ไม่ใช่ Integrity เมื่อคนร้ายได้ขโมย SSL Certificate ขององค์กรที่ถูกใช้ใน Security Appliance ไปก็สามารถนำไปสู่การได้รับ VPN Credentials และเข้าถึงเครือข่ายของเหยื่อได้ในที่สุดและสามารถฝังตัวได้อย่างยาวนาน”

Cisco Talos ได้แนะนำวิธีการป้องกันตัวไว้ดังนี้

• ใช้ Registry Lock Service เพื่อให้ได้รับการติดต่อหากมีการเปลี่ยนแปลงใน DNS Record ขององค์กร
• หาก Registra ของคุณไม่ได้ใช้ Registry Lock Service ควรใช้งาน multi-factor Authen เช่น DUO กับ DNS Record ขององค์กร
• ถ้าคิดว่าถูกโจมตีแล้วควรไปรีเซ็ตรหัสผ่านแต่ต้องใช้เครื่องที่มั่นใจว่ามีความมั่นคงปลอดภัยและอยู่ในเครือข่ายที่เชื่อถือได้ด้วย
• หมั่นแพตช์โดยเฉพาะเครื่องที่มีการออกสู่อินเทอร์เน็ต ผู้ดูแลระบบเครือข่ายควรติดตาม DNS Record ว่ามีความผิดปกติหรือไม่อย่างสม่ำเสมอด้วย

อย่างไรก็ตามผู้สนใจเชิงลึกสามารถอ่านบล็อกจาก Cisco Talos ได้ซึ่งยังกล่าวถึงกลุ่มเป้าหมายหลักและรอง, Indicator of Compromise ไปจนถึงวิธีการที่เป็นไปได้ที่จะเข้าควบคุม DNS เป็นต้น

ที่มา :  https://www.networkworld.com/article/3389747/cisco-talos-details-exceptionally-dangerous-dns-hijacking-attack.html