DNSChanger: Exploit Kit ที่โจมตี Router เท่านั้น

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบ Exploit Kit ตัวใหม่ที่มีชื่อว่า DNSChanger ซี่งถูกออกแบบมาสำหรับใช้โจมตี Router มากกว่า 166 รุ่นทั่วโลก ต่างจาก Exploit Kit อื่นๆ ที่เน้นโจมตี Web Browser เป็นหลัก

Credit: ShutterStock.com

DNSChanger นี้ถูกใช้โจมตีผ่านทางโฆษณาบนเว็บไซต์ต่างๆ โดยผู้โจมตีนั้นจะทำการซื้อพื้นที่โฆษณาเหล่านั้นพร้อมฝังโค้ด JavaScript ที่เอาไว้ค้นหา Local IP Address ของผู้ใช้งานได้จากการเรียกใช้งานผ่าน WebRTC Request ไปยัง Mozilla STUN Server

เมื่อผู้โจมตีได้ Local IP Address ของผู้ใช้งานมาแล้ว ระบบก็จะทำการตรวจสอบว่าผู้ใช้งานคนนี้มีค่าคู่ควรแก่การโจมตีต่อหรือไม่ และทำการส่งการโจมตีผ่านทางโฆษณาในรูปของภาพ PNG ที่แฝงโค้ดเพื่อใช้ Redirect ผู้ใช้งานไปยังหน้า Landing Page ของ DNSChanger EK ต่อ

จากนั้น DNSChanger ก็จะทำการโหลดคำสั่งต่างๆ สำหรับใช้ในการโจมตี รวมถึงไฟล์ภาพที่มีการฝัง AES Key เอาไว้ด้วยการทำ Steganography ที่จำเป็นต่อการซ่อน Traffic และถอดรหัส Router Fingerprint เพื่อตรวจสอบว่า Router นั้นเป็นรุ่นที่มีช่องโหว่หรือไม่ และหากพบว่ามีช่องโหว่ก็จะทำการโจมตีต่อทันที

ถ้า DNSChanger ตรวจสอบพบว่า Router เหล่านั้นไม่ได้มีช่องโหว่อะไร ก็จะใช้ Default Username/Password ทดลอง Login เข้าไปเพื่อเปลี่ยนการตั้งค่า DNS แต่ถ้าหากพบว่ามีช่องโหว่ก็จะใช้ช่องโหว่เหล่านั้นเข้าไปแก้ไข DNS โดยตรง รวมถึงพยายามเปิด Port เพื่อให้ผู้โจมตีสามารถเข้ามาควบคุม Router เหล่านั้นได้ด้วย

เป้าหมายของการโจมตีนี้คือการขโมย Traffic จาก Ads Agency รายใหญ่อย่าง Propellerads, Popcash และ Taboola เป็นหลัก ด้วยการ Redirect Traffic เหล่านั้นไปยังเว็บไซต์อื่นๆ เช่น Fogzy และ TrafficBroker รวมถึงยังอาจใช้ทำ Man-in-the-Middle อีกด้วย

สำหรับวิธีการป้องกันปัญหานี้เบื้องต้นก็คือการอัปเดต Patch ล่าสุดสำหรับ Router ที่ใช้งานอยู่, เปลี่ยน Default IP Address สำหรับ Router, เปลี่ยน User/Password สำหรับ Router, ปิดช่องทางการเข้าบริหารจัดการ Router จากภายนอก รวมถึงการใช้ Ad-Blocking Add-on ก็สามารถช่วยป้องกันปัญหาเหล่านี้ได้ด้วยเช่นกัน

 

ที่มา: https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos Webinar: Getting Started With Threat Hunting

Sophos ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมงานสัมมนา Sophos Webinar เรื่อง "Getting Started With Threat Hunting" พร้อมแนะนำเครื่องมือ กรอบการทำงาน และแนวทางการค้นหาและไล่ล่าภัยคุกคามที่แฝงอยู่ในระบบเครือข่ายขององค์กร ในวันพุธที่ 24 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar

ห้ามพลาด PDPA WEBINAR: Consequences and Experiences after 3 months of PDPA come into effect [24.08.2022] ลงทะเบียนฟรี!

SSC IT Group ขอเชิญผู้ที่สนใจเข้าร่วมฟังสัมมนา PDPA WEBINAR: Consequences and Experiences after 3 months of PDPA come …