Breaking News
AMR | Citrix Webinar: The Next New Normal

DNSChanger: Exploit Kit ที่โจมตี Router เท่านั้น

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบ Exploit Kit ตัวใหม่ที่มีชื่อว่า DNSChanger ซี่งถูกออกแบบมาสำหรับใช้โจมตี Router มากกว่า 166 รุ่นทั่วโลก ต่างจาก Exploit Kit อื่นๆ ที่เน้นโจมตี Web Browser เป็นหลัก

Credit: ShutterStock.com

DNSChanger นี้ถูกใช้โจมตีผ่านทางโฆษณาบนเว็บไซต์ต่างๆ โดยผู้โจมตีนั้นจะทำการซื้อพื้นที่โฆษณาเหล่านั้นพร้อมฝังโค้ด JavaScript ที่เอาไว้ค้นหา Local IP Address ของผู้ใช้งานได้จากการเรียกใช้งานผ่าน WebRTC Request ไปยัง Mozilla STUN Server

เมื่อผู้โจมตีได้ Local IP Address ของผู้ใช้งานมาแล้ว ระบบก็จะทำการตรวจสอบว่าผู้ใช้งานคนนี้มีค่าคู่ควรแก่การโจมตีต่อหรือไม่ และทำการส่งการโจมตีผ่านทางโฆษณาในรูปของภาพ PNG ที่แฝงโค้ดเพื่อใช้ Redirect ผู้ใช้งานไปยังหน้า Landing Page ของ DNSChanger EK ต่อ

จากนั้น DNSChanger ก็จะทำการโหลดคำสั่งต่างๆ สำหรับใช้ในการโจมตี รวมถึงไฟล์ภาพที่มีการฝัง AES Key เอาไว้ด้วยการทำ Steganography ที่จำเป็นต่อการซ่อน Traffic และถอดรหัส Router Fingerprint เพื่อตรวจสอบว่า Router นั้นเป็นรุ่นที่มีช่องโหว่หรือไม่ และหากพบว่ามีช่องโหว่ก็จะทำการโจมตีต่อทันที

ถ้า DNSChanger ตรวจสอบพบว่า Router เหล่านั้นไม่ได้มีช่องโหว่อะไร ก็จะใช้ Default Username/Password ทดลอง Login เข้าไปเพื่อเปลี่ยนการตั้งค่า DNS แต่ถ้าหากพบว่ามีช่องโหว่ก็จะใช้ช่องโหว่เหล่านั้นเข้าไปแก้ไข DNS โดยตรง รวมถึงพยายามเปิด Port เพื่อให้ผู้โจมตีสามารถเข้ามาควบคุม Router เหล่านั้นได้ด้วย

เป้าหมายของการโจมตีนี้คือการขโมย Traffic จาก Ads Agency รายใหญ่อย่าง Propellerads, Popcash และ Taboola เป็นหลัก ด้วยการ Redirect Traffic เหล่านั้นไปยังเว็บไซต์อื่นๆ เช่น Fogzy และ TrafficBroker รวมถึงยังอาจใช้ทำ Man-in-the-Middle อีกด้วย

สำหรับวิธีการป้องกันปัญหานี้เบื้องต้นก็คือการอัปเดต Patch ล่าสุดสำหรับ Router ที่ใช้งานอยู่, เปลี่ยน Default IP Address สำหรับ Router, เปลี่ยน User/Password สำหรับ Router, ปิดช่องทางการเข้าบริหารจัดการ Router จากภายนอก รวมถึงการใช้ Ad-Blocking Add-on ก็สามารถช่วยป้องกันปัญหาเหล่านี้ได้ด้วยเช่นกัน

 

ที่มา: https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ

สรุป Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift

หนึ่งในเรื่องที่คน IT หลายคนต้องเร่งเรียนรู้ในปีนี้ก็คือเรื่องของเทคโนโลยี Enterprise Container และในบทความนี้ทีมงาน TechTalkThai ก็จะขอสรุปเนื้อหาสั้นๆ จากงาน Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift เพื่อให้ทุกท่านได้รู้จักกับ Red Hat OpenShift กันมากขึ้นดังนี้ครับ