DNSChanger: Exploit Kit ที่โจมตี Router เท่านั้น

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบ Exploit Kit ตัวใหม่ที่มีชื่อว่า DNSChanger ซี่งถูกออกแบบมาสำหรับใช้โจมตี Router มากกว่า 166 รุ่นทั่วโลก ต่างจาก Exploit Kit อื่นๆ ที่เน้นโจมตี Web Browser เป็นหลัก

Credit: ShutterStock.com

DNSChanger นี้ถูกใช้โจมตีผ่านทางโฆษณาบนเว็บไซต์ต่างๆ โดยผู้โจมตีนั้นจะทำการซื้อพื้นที่โฆษณาเหล่านั้นพร้อมฝังโค้ด JavaScript ที่เอาไว้ค้นหา Local IP Address ของผู้ใช้งานได้จากการเรียกใช้งานผ่าน WebRTC Request ไปยัง Mozilla STUN Server

เมื่อผู้โจมตีได้ Local IP Address ของผู้ใช้งานมาแล้ว ระบบก็จะทำการตรวจสอบว่าผู้ใช้งานคนนี้มีค่าคู่ควรแก่การโจมตีต่อหรือไม่ และทำการส่งการโจมตีผ่านทางโฆษณาในรูปของภาพ PNG ที่แฝงโค้ดเพื่อใช้ Redirect ผู้ใช้งานไปยังหน้า Landing Page ของ DNSChanger EK ต่อ

จากนั้น DNSChanger ก็จะทำการโหลดคำสั่งต่างๆ สำหรับใช้ในการโจมตี รวมถึงไฟล์ภาพที่มีการฝัง AES Key เอาไว้ด้วยการทำ Steganography ที่จำเป็นต่อการซ่อน Traffic และถอดรหัส Router Fingerprint เพื่อตรวจสอบว่า Router นั้นเป็นรุ่นที่มีช่องโหว่หรือไม่ และหากพบว่ามีช่องโหว่ก็จะทำการโจมตีต่อทันที

ถ้า DNSChanger ตรวจสอบพบว่า Router เหล่านั้นไม่ได้มีช่องโหว่อะไร ก็จะใช้ Default Username/Password ทดลอง Login เข้าไปเพื่อเปลี่ยนการตั้งค่า DNS แต่ถ้าหากพบว่ามีช่องโหว่ก็จะใช้ช่องโหว่เหล่านั้นเข้าไปแก้ไข DNS โดยตรง รวมถึงพยายามเปิด Port เพื่อให้ผู้โจมตีสามารถเข้ามาควบคุม Router เหล่านั้นได้ด้วย

เป้าหมายของการโจมตีนี้คือการขโมย Traffic จาก Ads Agency รายใหญ่อย่าง Propellerads, Popcash และ Taboola เป็นหลัก ด้วยการ Redirect Traffic เหล่านั้นไปยังเว็บไซต์อื่นๆ เช่น Fogzy และ TrafficBroker รวมถึงยังอาจใช้ทำ Man-in-the-Middle อีกด้วย

สำหรับวิธีการป้องกันปัญหานี้เบื้องต้นก็คือการอัปเดต Patch ล่าสุดสำหรับ Router ที่ใช้งานอยู่, เปลี่ยน Default IP Address สำหรับ Router, เปลี่ยน User/Password สำหรับ Router, ปิดช่องทางการเข้าบริหารจัดการ Router จากภายนอก รวมถึงการใช้ Ad-Blocking Add-on ก็สามารถช่วยป้องกันปัญหาเหล่านี้ได้ด้วยเช่นกัน

 

ที่มา: https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เผยแผนเล็งใช้พลังงานความร้อนใต้พิภพสำหรับดาต้าเซนเตอร์

เป็นที่รู้กันว่าการประมวลผลด้าน AI ต้องการพลังงานสำหรับดาต้าเซ็นเตอร์อย่างมากอย่างที่ไม่เคยมีมาก่อน ซึ่ง Meta เองเป็นหนึ่งในผู้เล่นด้าน AI ยักษ์ใหญ่ที่ประสบปัญหาเหล่านี้เป็นอย่างดี ด้วยเหตุนี้จึงต้องมองหาพลังงานทางเลือกที่ยังต้องสอดคล้องต่อเรื่องอัตราการปลดปล่อยคาร์บอน โดยล่าสุดแนวทางการใช้ความร้อนใต้พิภพเป็นอีกหนึ่งทางเลือกที่น่าสนใจและใกล้เข้ามาเรื่อยๆแล้ว

Microsoft เผยไอเดียแก้ Security Updates บน Windows หลังเหตุการณ์ CrowdStrike

หลังจากเกิดเหตุการณ์ Blue Screen of Death จาก CrowdStrike หลังอัปเดต Security บนเครื่องมือ EDR บน Windows ล่าสุดดูเหมือน Microsoft …