Breaking News

เตือน GhostDNS Botnet ตัวใหม่ลอบเปลี่ยน DNS เราท์เตอร์แล้วกว่า 100,000 เครื่อง

นักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab ของ Qihoo 360 ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งได้ทำการแฮ็กเราท์เตอร์ที่ใช้ตามบ้านเรือนไปแล้วกว่า 100,000 เครื่อง พร้อมแก้ไขการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางของผู้ใช้ให้วิ่งมาที่เว็บไซต์อันตรายของแฮ็กเกอร์แทนเพื่อหลอกขโมยข้อมูลล็อกอิน

Credit: Abscent/ShutterStock

แคมเปญมัลแวร์นี้ถูกตั้งชื่อว่า GhostDNS ซึ่งมีความคล้ายคลึงกับมัลแวร์ DNSChanger ที่เคยแพร่ระบาดในอดีต โดยแคมเปญดังกล่าวจะสแกนหา IP ของเราท์เตอร์ที่ไม่ได้ตั้งค่ารหัสผ่าน หรือใช้รหัสผ่านที่ไม่แข็งแกร่งเพียงพอ หลังจากนั้นจะเจาะเข้าเราท์เตอร์เพื่อทำการควบคุม เปลี่ยนแปลงการตั้งค่า Default DNS ไปเป็นหมายเลข DNS ที่แฮ็กเกอร์ควบคุมอยู่แทน ส่งผลให้ทราฟฟิกอินเทอร์เน็ตของผู้ใช้ถูกเปลี่ยนเส้นทางมายังเว็บไซต์ของแฮ็กเกอร์เพื่อขโมยข้อมูลแทน

GhostDNS ประกอบด้วย 4 โมดูลหลัก คือ

  • DNSChanger – โมดูลหลักของ GhostDNS ถูกออกแบบมาเพื่อเจาะเราท์เตอร์ของเป้าหมายตามข้อมูลที่รวบรวมมา ประกอบด้วย 3 โมดูลย่อย คือ Shell DNSChanger, Js DNSChanger และ PyPhp DNSChanger
  • Web Admin – คาดว่าเป็นหน้า Admin Panel สำหรับบริหารจัดการมัลแวร์ของแฮ็กเกอร์
  • Rogue DNS – ทำหน้าที่ Resolve ชื่อโดเมนเป้าหมายให้วิ่งมายังเซิร์ฟเวอร์ของแฮ็กเกอร์แทน
  • Phishing Web – เว็บไซต์ปลอมสำหรับรอต้อนรับผู้ใช้หลังจากที่ DNS ถูก Solve โดย Rogue DNS Server

ทีมนักวิจัยระบุว่า ตลอดช่วงวันที่ 21 – 27 กันยายน แคมเปญ GhostDNS เข้าโจมตีเราท์เตอร์ไปแล้วกว่า 100,000 เครื่อง โดยร้อยละ 87.8 เป็นเราท์เตอร์ที่อยู่ในประเทศบราซิล และมีเราท์เตอร์/เฟิร์มแวร์กว่า 70 ประเภทได้รับผลกระทบดังแสดงในรูปด้านล่าง สำหรับชื่อโดเมนที่ถูกหลอกให้เปลี่ยนเส้นทาง ได้แก่ Netflix, Citibank.br และอื่นๆ คาดว่าแฮ็กเกอร์ต้องการขโมยข้อมูลล็อกอินเว็บไซต์เหล่านี้จากผู้ใช้

ข้อแนะนำสำหรับผู้ใช้ทั่วไปไม่ให้ตกเป็นเหยื่อของการโจมตีรูปแบบนี้คือ อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอเพื่ออุดช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดขึ้น ตั้งค่ารหัสผ่านให้แข็งแกร่ง รวมไปถึงทำการฮาร์ดโค้ด Trusted DNS Server ลงบนเราท์เตอร์หรือระบบปฏิบัติการที่ใช้งานอยู่

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/

ที่มา: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดลงทะเบียนแล้ว!! งานแข่ง Capture the Packet ครั้งแรกในไทย พร้อมร่วม Workshop และสัมมนาฟรี

TH-CTP ร่วมกับ AML Systems, EX Academy, Secure D Global และ Sosecure จัดงาน Capture the Packet …

พบช่องโหว่กระทบ Kubernetes ทุกเวอร์ชัน แนะควรอัปเดต

พบช่องโหว่ 2 รายการที่ส่งผลกระทบกับ Kubernetes ทุกเวอร์ชัน ที่สามารถนำไปสู่การเกิด Denial-of-service จึงแนะนำให้ผู้ทำการอัปเดต