นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบ Exploit Kit ตัวใหม่ที่มีชื่อว่า DNSChanger ซี่งถูกออกแบบมาสำหรับใช้โจมตี Router มากกว่า 166 รุ่นทั่วโลก ต่างจาก Exploit Kit อื่นๆ ที่เน้นโจมตี Web Browser เป็นหลัก
DNSChanger นี้ถูกใช้โจมตีผ่านทางโฆษณาบนเว็บไซต์ต่างๆ โดยผู้โจมตีนั้นจะทำการซื้อพื้นที่โฆษณาเหล่านั้นพร้อมฝังโค้ด JavaScript ที่เอาไว้ค้นหา Local IP Address ของผู้ใช้งานได้จากการเรียกใช้งานผ่าน WebRTC Request ไปยัง Mozilla STUN Server
เมื่อผู้โจมตีได้ Local IP Address ของผู้ใช้งานมาแล้ว ระบบก็จะทำการตรวจสอบว่าผู้ใช้งานคนนี้มีค่าคู่ควรแก่การโจมตีต่อหรือไม่ และทำการส่งการโจมตีผ่านทางโฆษณาในรูปของภาพ PNG ที่แฝงโค้ดเพื่อใช้ Redirect ผู้ใช้งานไปยังหน้า Landing Page ของ DNSChanger EK ต่อ
จากนั้น DNSChanger ก็จะทำการโหลดคำสั่งต่างๆ สำหรับใช้ในการโจมตี รวมถึงไฟล์ภาพที่มีการฝัง AES Key เอาไว้ด้วยการทำ Steganography ที่จำเป็นต่อการซ่อน Traffic และถอดรหัส Router Fingerprint เพื่อตรวจสอบว่า Router นั้นเป็นรุ่นที่มีช่องโหว่หรือไม่ และหากพบว่ามีช่องโหว่ก็จะทำการโจมตีต่อทันที
ถ้า DNSChanger ตรวจสอบพบว่า Router เหล่านั้นไม่ได้มีช่องโหว่อะไร ก็จะใช้ Default Username/Password ทดลอง Login เข้าไปเพื่อเปลี่ยนการตั้งค่า DNS แต่ถ้าหากพบว่ามีช่องโหว่ก็จะใช้ช่องโหว่เหล่านั้นเข้าไปแก้ไข DNS โดยตรง รวมถึงพยายามเปิด Port เพื่อให้ผู้โจมตีสามารถเข้ามาควบคุม Router เหล่านั้นได้ด้วย
เป้าหมายของการโจมตีนี้คือการขโมย Traffic จาก Ads Agency รายใหญ่อย่าง Propellerads, Popcash และ Taboola เป็นหลัก ด้วยการ Redirect Traffic เหล่านั้นไปยังเว็บไซต์อื่นๆ เช่น Fogzy และ TrafficBroker รวมถึงยังอาจใช้ทำ Man-in-the-Middle อีกด้วย
สำหรับวิธีการป้องกันปัญหานี้เบื้องต้นก็คือการอัปเดต Patch ล่าสุดสำหรับ Router ที่ใช้งานอยู่, เปลี่ยน Default IP Address สำหรับ Router, เปลี่ยน User/Password สำหรับ Router, ปิดช่องทางการเข้าบริหารจัดการ Router จากภายนอก รวมถึงการใช้ Ad-Blocking Add-on ก็สามารถช่วยป้องกันปัญหาเหล่านี้ได้ด้วยเช่นกัน
ที่มา: https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/