ผลวิเคราะห์ชี้ Mirai Botnet 100,000 เครื่องเข้าโจมตี Dyn DNS

หลังจากเกิดเหตุการณ์ Dyn DNS ถูกโจมตีแบบ DDoS เมื่อวันศุกร์ที่ผ่านมา จนทำให้เว็บไซต์ชื่อดังหลายเว็บไม่สามารถเข้าถึงได้ ไม่ว่าจะเป็น GitHub, Reddit, Twitter และอื่นๆ จากการวิเคราะห์ Log ล่าสุด พบว่าสาเหตุเกิดจากกองทัพ Botnet ที่มาจากอุปกรณ์ IoT ตามบ้านที่ติดมัลแวร์ Mirai ประมาณ 100,000 เครื่อง

dyn_ddos_attack_1

Scott Hilton รองประธานผู้บริหารฝ่ายผลิตภัณฑ์ ระบุใน Blog ว่า “เรากำลังทำการวิเคราะห์ข้อมูลที่ได้รับ แต่จากการประมาณ ณ ตอนนี้ คาดว่ามีอุปกรณ์ Endpoint [ที่เป็น Botnet] เข้าโจมตีมากถึง 100,000 เครื่อง เรายืนยันได้แล้วว่าปริมาณทราฟฟิคขนาดใหญ่มาจาก Botnet ที่ติดมัลแวร์ Mirai”

จากการตรวจสอบเบื้องต้นก่อนหน้านี้ ทาง Dyn DNS ระบุว่ามีหมายเลข IP ที่เกี่ยวข้องกับการโจมตีมากถึง 10 ล้านหมายเลข แต่ผลการวิเคราะห์ Log โดยละเอียดพบว่ามีเพียงส่วนหนึ่ง หรือก็คือประมาณ 100,000 เครื่องที่เป็นอุปกรณ์ตามบ้านที่เชื่อมต่ออินเทอร์เน็ต เช่น Webcam, Router และ Gadget อื่นๆ ที่โจมตีแบบ DDoS จริง ทำให้เกิดคำถามที่ว่า ด้วยจำนวนอุปกรณ์ที่น้อยกว่าที่คิดถึง 100 เท่า จะทำให้การโจมตีนี้ล่มระบบของ Dyn DNS ได้อย่างไร

Hilton ระบุว่า เหตุผลสำคัญที่ทำให้ไม่สามารถให้บริการได้ เนื่องจากเป็นการโจมตีแบบ Amplification Attack หรือก็คือโปรโตคอล DNS สามารถส่ง Request ที่มีขนาดใหญ่กว่าปกติหลายเท่าจาก Source ที่มีอยู่เท่าเดิมได้

“ยกตัวอย่างเช่น ผลกระทบจากการโจมตีก่อให้เกิดการ Retry (ซึ่งเป็น Request ปกติที่ถูกต้อง) ปริมาณมหาศาล เนื่องจาก Recursive Server พยายามที่จะรีเฟรช Cache ของตนเอง ส่งผลให้เกิดทราฟฟิคที่มีขนาดใหญ่กว่าปกติถึง 10 – 20 เท่าตัวจากหมายเลข IP จำนวนมาก ผลลัพธ์ที่ตามมาคือเกิด DNS Traffic Congestion” — Hilton อธิบาย

Hilton ยังระบุถึงสาเหตุที่ประเมินจำนวนหมายเลข IP ที่เกี่ยวข้องกับการโจมตีไว้มากถึง 10 ล้านหมายเลขในตอนแรกว่า มาจากปริมาณ DNS Retry จำนวนมหาศาลเหล่านี้ ซึ่งส่งผลให้เกิดความเข้าใจผิดเกี่ยวกับจำนวนอุปกรณ์ Endpoint ที่ใช้โจมตีจริง

นอกจากนี้ยังมีรายงานมาจาก 3rd Party ว่า ปริมาณทราฟฟิค DDoS ที่โจมตี Dyn DNS มีขนาดใหญ่ถึง 1.2 Tbps อย่างไรก็ตาม จนถึงตอนนี้ยังไม่สามารถพิสูจน์ได้ว่าเป็นเรื่องจริง

อ่านผลวิเคราะห์ Log ฉบับเต็มได้ที่ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

ที่มา: http://www.theregister.co.uk/2016/10/27/how_many_internet_of_st_devices_knocked_out_dyn_fewer_than_you_expect/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission

พบช่องโหว่ Local Privilege Escalation บน Kaspersky VPN Client

พบช่องโหว่ Local Privilege Escalation ความรุนแรงระดับสูง บน Kaspersky VPN Client ผู้ที่ใช้งานควรรีบทำการอัปเดต