TTT Virtual Summit 2023

เตือน GhostDNS Botnet ตัวใหม่ลอบเปลี่ยน DNS เราท์เตอร์แล้วกว่า 100,000 เครื่อง

October 2, 2018 Network Security, Products, Qihoo 360, Security, Threats Update, Web Security

นักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab ของ Qihoo 360 ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งได้ทำการแฮ็กเราท์เตอร์ที่ใช้ตามบ้านเรือนไปแล้วกว่า 100,000 เครื่อง พร้อมแก้ไขการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางของผู้ใช้ให้วิ่งมาที่เว็บไซต์อันตรายของแฮ็กเกอร์แทนเพื่อหลอกขโมยข้อมูลล็อกอิน

Credit: Abscent/ShutterStock

แคมเปญมัลแวร์นี้ถูกตั้งชื่อว่า GhostDNS ซึ่งมีความคล้ายคลึงกับมัลแวร์ DNSChanger ที่เคยแพร่ระบาดในอดีต โดยแคมเปญดังกล่าวจะสแกนหา IP ของเราท์เตอร์ที่ไม่ได้ตั้งค่ารหัสผ่าน หรือใช้รหัสผ่านที่ไม่แข็งแกร่งเพียงพอ หลังจากนั้นจะเจาะเข้าเราท์เตอร์เพื่อทำการควบคุม เปลี่ยนแปลงการตั้งค่า Default DNS ไปเป็นหมายเลข DNS ที่แฮ็กเกอร์ควบคุมอยู่แทน ส่งผลให้ทราฟฟิกอินเทอร์เน็ตของผู้ใช้ถูกเปลี่ยนเส้นทางมายังเว็บไซต์ของแฮ็กเกอร์เพื่อขโมยข้อมูลแทน

GhostDNS ประกอบด้วย 4 โมดูลหลัก คือ

  • DNSChanger – โมดูลหลักของ GhostDNS ถูกออกแบบมาเพื่อเจาะเราท์เตอร์ของเป้าหมายตามข้อมูลที่รวบรวมมา ประกอบด้วย 3 โมดูลย่อย คือ Shell DNSChanger, Js DNSChanger และ PyPhp DNSChanger
  • Web Admin – คาดว่าเป็นหน้า Admin Panel สำหรับบริหารจัดการมัลแวร์ของแฮ็กเกอร์
  • Rogue DNS – ทำหน้าที่ Resolve ชื่อโดเมนเป้าหมายให้วิ่งมายังเซิร์ฟเวอร์ของแฮ็กเกอร์แทน
  • Phishing Web – เว็บไซต์ปลอมสำหรับรอต้อนรับผู้ใช้หลังจากที่ DNS ถูก Solve โดย Rogue DNS Server

ทีมนักวิจัยระบุว่า ตลอดช่วงวันที่ 21 – 27 กันยายน แคมเปญ GhostDNS เข้าโจมตีเราท์เตอร์ไปแล้วกว่า 100,000 เครื่อง โดยร้อยละ 87.8 เป็นเราท์เตอร์ที่อยู่ในประเทศบราซิล และมีเราท์เตอร์/เฟิร์มแวร์กว่า 70 ประเภทได้รับผลกระทบดังแสดงในรูปด้านล่าง สำหรับชื่อโดเมนที่ถูกหลอกให้เปลี่ยนเส้นทาง ได้แก่ Netflix, Citibank.br และอื่นๆ คาดว่าแฮ็กเกอร์ต้องการขโมยข้อมูลล็อกอินเว็บไซต์เหล่านี้จากผู้ใช้

ข้อแนะนำสำหรับผู้ใช้ทั่วไปไม่ให้ตกเป็นเหยื่อของการโจมตีรูปแบบนี้คือ อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอเพื่ออุดช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดขึ้น ตั้งค่ารหัสผ่านให้แข็งแกร่ง รวมไปถึงทำการฮาร์ดโค้ด Trusted DNS Server ลงบนเราท์เตอร์หรือระบบปฏิบัติการที่ใช้งานอยู่

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/

ที่มา: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญเข้าร่วม NDBS Thailand Webinar: Unleash the Power of Business Data for SAP Analytics Cloud to SAP Business technology platform [23 มิ.ย.23] เวลา 10.00-11.30 น. ไม่มีค่าใช้จ่าย

NDBS Thailand ขอเรียนเชิญทุกท่านเข้าร่วมงาน Webinar: Unleash the Power of Business Data for SAP Analytics Cloud to …

รีวิว : Acer Swift Go 14 แล็ปท็อปเพื่อธุรกิจที่ความคล่องตัว ขับเคลื่อนด้วย Intel Core i7 เจนเนอเรชัน 13 รุ่นล่าสุด

Acer Swift Go 14 จะเข้ามาเป็นคู่หูที่รู้ใจให้การทำงานในรูปแบบ Working from Anywhere มีความคล่องตัวมากยิ่งขึ้น ด้วยความบางเพียง 14.9 มม. มีน้ำหนักเบาถึง 1.25 กก. …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand