IBM Flashsystem

DNSChanger: Exploit Kit ที่โจมตี Router เท่านั้น

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบ Exploit Kit ตัวใหม่ที่มีชื่อว่า DNSChanger ซี่งถูกออกแบบมาสำหรับใช้โจมตี Router มากกว่า 166 รุ่นทั่วโลก ต่างจาก Exploit Kit อื่นๆ ที่เน้นโจมตี Web Browser เป็นหลัก

Credit: ShutterStock.com

DNSChanger นี้ถูกใช้โจมตีผ่านทางโฆษณาบนเว็บไซต์ต่างๆ โดยผู้โจมตีนั้นจะทำการซื้อพื้นที่โฆษณาเหล่านั้นพร้อมฝังโค้ด JavaScript ที่เอาไว้ค้นหา Local IP Address ของผู้ใช้งานได้จากการเรียกใช้งานผ่าน WebRTC Request ไปยัง Mozilla STUN Server

เมื่อผู้โจมตีได้ Local IP Address ของผู้ใช้งานมาแล้ว ระบบก็จะทำการตรวจสอบว่าผู้ใช้งานคนนี้มีค่าคู่ควรแก่การโจมตีต่อหรือไม่ และทำการส่งการโจมตีผ่านทางโฆษณาในรูปของภาพ PNG ที่แฝงโค้ดเพื่อใช้ Redirect ผู้ใช้งานไปยังหน้า Landing Page ของ DNSChanger EK ต่อ

จากนั้น DNSChanger ก็จะทำการโหลดคำสั่งต่างๆ สำหรับใช้ในการโจมตี รวมถึงไฟล์ภาพที่มีการฝัง AES Key เอาไว้ด้วยการทำ Steganography ที่จำเป็นต่อการซ่อน Traffic และถอดรหัส Router Fingerprint เพื่อตรวจสอบว่า Router นั้นเป็นรุ่นที่มีช่องโหว่หรือไม่ และหากพบว่ามีช่องโหว่ก็จะทำการโจมตีต่อทันที

ถ้า DNSChanger ตรวจสอบพบว่า Router เหล่านั้นไม่ได้มีช่องโหว่อะไร ก็จะใช้ Default Username/Password ทดลอง Login เข้าไปเพื่อเปลี่ยนการตั้งค่า DNS แต่ถ้าหากพบว่ามีช่องโหว่ก็จะใช้ช่องโหว่เหล่านั้นเข้าไปแก้ไข DNS โดยตรง รวมถึงพยายามเปิด Port เพื่อให้ผู้โจมตีสามารถเข้ามาควบคุม Router เหล่านั้นได้ด้วย

เป้าหมายของการโจมตีนี้คือการขโมย Traffic จาก Ads Agency รายใหญ่อย่าง Propellerads, Popcash และ Taboola เป็นหลัก ด้วยการ Redirect Traffic เหล่านั้นไปยังเว็บไซต์อื่นๆ เช่น Fogzy และ TrafficBroker รวมถึงยังอาจใช้ทำ Man-in-the-Middle อีกด้วย

สำหรับวิธีการป้องกันปัญหานี้เบื้องต้นก็คือการอัปเดต Patch ล่าสุดสำหรับ Router ที่ใช้งานอยู่, เปลี่ยน Default IP Address สำหรับ Router, เปลี่ยน User/Password สำหรับ Router, ปิดช่องทางการเข้าบริหารจัดการ Router จากภายนอก รวมถึงการใช้ Ad-Blocking Add-on ก็สามารถช่วยป้องกันปัญหาเหล่านี้ได้ด้วยเช่นกัน

 

ที่มา: https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Chainguard สตาร์ทอัพความมั่นคงปลอดภัยโค้ดโอเพนซอร์ส ระดมทุน 356 ล้านดอลลาร์ มูลค่าแตะ 3.5 พันล้านดอลลาร์

Chainguard ซึ่งเป็นสตาร์ทอัพที่ช่วยให้นักพัฒนาสามารถมั่นใจได้ว่าโค้ดโอเพนซอร์สที่ใช้งานมีความมั่นคงปลอดภัย ประกาศระดมทุนรอบใหม่ได้ 356 ล้านดอลลาร์ ในรอบ Series D ที่นำโดย Kleiner Perkins และ IVP เพื่อเร่งการขยายตลาดและพัฒนาฟีเจอร์ใหม่ ๆ …

Scamnetic ระดมทุน 13 ล้านดอลลาร์ ดันแพลตฟอร์ม AI ป้องกันสแกม

Scamnetic สตาร์ทอัพด้านการป้องกันสแกมด้วยปัญญาประดิษฐ์ (AI) ประกาศว่า บริษัทได้ระดมทุนใหม่จำนวน 13 ล้านดอลลาร์ในรอบ Series A ที่นำโดย Roo Capital เพื่อนำมาใช้ในการเพิ่มประสิทธิภาพการทำการตลาด การขาย และการให้บริการลูกค้า …