เตือน GhostDNS Botnet ตัวใหม่ลอบเปลี่ยน DNS เราท์เตอร์แล้วกว่า 100,000 เครื่อง

นักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab ของ Qihoo 360 ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งได้ทำการแฮ็กเราท์เตอร์ที่ใช้ตามบ้านเรือนไปแล้วกว่า 100,000 เครื่อง พร้อมแก้ไขการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางของผู้ใช้ให้วิ่งมาที่เว็บไซต์อันตรายของแฮ็กเกอร์แทนเพื่อหลอกขโมยข้อมูลล็อกอิน

Credit: Abscent/ShutterStock

แคมเปญมัลแวร์นี้ถูกตั้งชื่อว่า GhostDNS ซึ่งมีความคล้ายคลึงกับมัลแวร์ DNSChanger ที่เคยแพร่ระบาดในอดีต โดยแคมเปญดังกล่าวจะสแกนหา IP ของเราท์เตอร์ที่ไม่ได้ตั้งค่ารหัสผ่าน หรือใช้รหัสผ่านที่ไม่แข็งแกร่งเพียงพอ หลังจากนั้นจะเจาะเข้าเราท์เตอร์เพื่อทำการควบคุม เปลี่ยนแปลงการตั้งค่า Default DNS ไปเป็นหมายเลข DNS ที่แฮ็กเกอร์ควบคุมอยู่แทน ส่งผลให้ทราฟฟิกอินเทอร์เน็ตของผู้ใช้ถูกเปลี่ยนเส้นทางมายังเว็บไซต์ของแฮ็กเกอร์เพื่อขโมยข้อมูลแทน

GhostDNS ประกอบด้วย 4 โมดูลหลัก คือ

  • DNSChanger – โมดูลหลักของ GhostDNS ถูกออกแบบมาเพื่อเจาะเราท์เตอร์ของเป้าหมายตามข้อมูลที่รวบรวมมา ประกอบด้วย 3 โมดูลย่อย คือ Shell DNSChanger, Js DNSChanger และ PyPhp DNSChanger
  • Web Admin – คาดว่าเป็นหน้า Admin Panel สำหรับบริหารจัดการมัลแวร์ของแฮ็กเกอร์
  • Rogue DNS – ทำหน้าที่ Resolve ชื่อโดเมนเป้าหมายให้วิ่งมายังเซิร์ฟเวอร์ของแฮ็กเกอร์แทน
  • Phishing Web – เว็บไซต์ปลอมสำหรับรอต้อนรับผู้ใช้หลังจากที่ DNS ถูก Solve โดย Rogue DNS Server

ทีมนักวิจัยระบุว่า ตลอดช่วงวันที่ 21 – 27 กันยายน แคมเปญ GhostDNS เข้าโจมตีเราท์เตอร์ไปแล้วกว่า 100,000 เครื่อง โดยร้อยละ 87.8 เป็นเราท์เตอร์ที่อยู่ในประเทศบราซิล และมีเราท์เตอร์/เฟิร์มแวร์กว่า 70 ประเภทได้รับผลกระทบดังแสดงในรูปด้านล่าง สำหรับชื่อโดเมนที่ถูกหลอกให้เปลี่ยนเส้นทาง ได้แก่ Netflix, Citibank.br และอื่นๆ คาดว่าแฮ็กเกอร์ต้องการขโมยข้อมูลล็อกอินเว็บไซต์เหล่านี้จากผู้ใช้

ข้อแนะนำสำหรับผู้ใช้ทั่วไปไม่ให้ตกเป็นเหยื่อของการโจมตีรูปแบบนี้คือ อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอเพื่ออุดช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดขึ้น ตั้งค่ารหัสผ่านให้แข็งแกร่ง รวมไปถึงทำการฮาร์ดโค้ด Trusted DNS Server ลงบนเราท์เตอร์หรือระบบปฏิบัติการที่ใช้งานอยู่

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/

ที่มา: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Office 2010 สิ้นการซัพพอร์ตใน 1 ปี แนะเปลี่ยนไปใช้ Office 365 หรือ Office 2019

Microsoft ออกประกาศแจ้งเตือนองค์กรทั่วโลก ระบุ Office 2010 จะ End-of-support ในอีกเพียง 1 ปี คือ วันที่ 13 ตุลาคม 2020 …

Amazon เผย ย้ายระบบฐานข้อมูลจาก Traditional database ไปยัง AWS ทั้งหมดแล้ว

Amazon ได้ออกมาประกาศความสำเร็จในการย้ายฐานข้อมูลของกลุ่มธุรกิจ Consumer ที่มีขนาดมากกว่า 75 Petabytes บนฐานข้อมูล Oracle Database ไปยังบริการของ Amazon Web Services (AWS) ทั้งหมดแล้ว