เจาะลึกเครื่องมือการโจมตีแบบร้ายแรง Web DDoS “MegaMedusa” โดยกลุ่มก่อการร้ายทางโลกไซเบอร์ “RipperSec”

RipperSec เป็นกลุ่มนักเคลื่อนไหวจากมาเลเซียหรือที่ถูกจัดประเภทว่าเป็นแฮ็กเกอร์ประเภท Hacktivism ทั้งนี้มีแรงจูงใจมาจากความขัดแย้งระหว่างอิสลาเอลและชาติมุสลิม โดยคนร้ายมีการใช้เครื่องมือเพื่อทำ We DDoS ที่ชื่อว่า MegaMedusa โดยในบทความนี้ Radware จะชวนทุกท่านมาติดตามการดำเนินงานและกลยุทธ์ของเครื่องมือดังกล่าว โดยมีหัวข้อที่น่าสนใจดังนี้

  • RipperSec คือใคร ?
  • การโจมตี DDoS ที่กล่าวอ้างจากกลุ่ม ReipperSec
  • MegaMedusa เครื่องการทำ Web DDos ที่ติดตั้งได้ง่ายเผยแพร่ฟรีผ่าน GitHub
  • เทคนิคการหลบเลี่ยงการตรวจจับและป้องกัน
  • ความพยายามหลบเลี่ยงการตรวจจับจาก CAPTCHA
  • ผลักดันระดับมวลชน ความน่ากังวลที่แท้จริงของนักเคลื่อนไหว
  • เกร็ดความรู้ : หากจะสร้างการโจมตี Web DDoS ควรรู้จักกับอะไรบ้าง
รูปที่ 1: โปรไฟล์ Telegram ของ RipperSec (ที่มา: TGStat)

RipperSec เป็นกลุ่ม Hacktivism จากมาเลเซียที่สนับสนุนชาวปาเลสไตน์และมุสลิม โดยในเดือนมิถุยายนปี 2023 พวกเขาได้เปิดช่องทางสื่อสารผ่าน Telegram ภายในแอคเค้าน์ @RipperSec หากนับจำนวนผู้ติดตามล่าสุดในวันที่ 8 สิงหาคม 2024 ผู้ติดตามจะอยู่ที่ 2,000 ราย

ไม่เพียงเท่านั้น RipperSec ยังมีความร่วมมือกับกลุ่มนักเคลื่อนไหวและแฮกเกอร์ที่มีความคิดแนวเดียวกันรายอื่นๆ ซึ่งส่วนใหญ่อยู่ในมาเลเซีย แต่ก็มีทั้งนอกและในภูมิภาคเช่นกัน อาทิ Tengkorak Cyber Crew, Eagle Cyber Crew, Stucx Team, 4Exploitation, Khalifah Cyber Crew, Helang Merah Group, Rex AnonSaven7, Team Cyber Ababil, Malaysia Hacktivist, Zenimous Crew, Laskar Pembebasan Palestina หรือที่รู้จักในชื่อกองทัพปลดปล่อยปาเลสไตน์, Garruda From Cyber (GFC), Holy League, Morrocan Cyber Black Army และอื่นๆ

การโจมตีมักเกี่ยวพันกับ การละเมิดข้อมูล การเปลี่ยนแปลงหน้าเว็บไซต์ และการโจมตี DDoS รวมถึงการสร้างสถานการณ์ความวุ่นวายเพื่อดึงดูดความสนใจ ทำให้เกิดการทำงานผิดพลาดระบบหยุดชะงัก โดยกิจกรรมเหล่านี้พบได้ทั่วไปในกลุ่ม Hacktivism

RipperSec ได้อ้างว่าในระหว่างวันที่ 1 ถึง 8 สิงหาคม 2024 พวกเขาได้ทำการโจมตี DDoS Attack ไปถึง 196 ครั้ง และในจำนวนกว่า 1 ใน 3 พุ่งเป้าไปที่อิสราเอล ในขณะที่อินเดีย สหรัฐฯ สหราชอาณาจักร และไทย เป็นกลุ่มประเทศที่ RipperSec อ้างถึงว่ามีการโจมตีครั้งใหญ่ในปี 2024

รูปที่ 2: จำนวนการโจมตีที่ RipperSec อ้างต่อเดือน (ที่มา: Radware)
รูปที่ 3: ประเทศที่เป็นเป้าหมายหลักของ RipperSec (ที่มา: Radware)

โดยเป้าหมายส่วนใหญ่คือ หน้าเว็บไซต์ของรัฐบาล สถานศึกษา และเว็บไซต์ทางธุรกิจ ชุมชน ไปจนถึงบริการทางการเงินและประเทศไทยตกเป็นเป้าอันดับต้นๆ ของโลก

รูปที่ 4: หมวดหมู่ของเว็บไซต์ที่เป็นเป้าหมายหลักของ RipperSec (ที่มา: Radware)

แม้จะเป็นเครื่องมือการโจมตีที่ใช้งานจริงแต่ RipperSec ก็ไม่ได้พยายามปกปิดความลึกลับนั้นแต่อย่างใด สวนทางกันกลับเปิดแบบสาธารณะไว้บน GitHub ที่กลุ่มสมาชิกดูแลอยู่ ทั้งนี้เครื่องมือได้อาศัยภาษา JavaScript ที่พอจะทำการ Reverse Engineering ให้กลับมาอ่านได้ ซึ่งต้องอาศัยการสภาพแวดล้อมของทำงานแบบข้ามแพลตฟอร์มของ Node.js ที่ให้ความสามารถด้าน Asynchronous I/O ที่ไม่จำกัด จึงส่งคำขอได้พร้อมกัน เหมาะอย่างยิ่งในการสร้างการเชื่อมต่อจำนวนมาก อีกทั้ง Node.js ยังรองรับการทำงานข้ามแพลตฟอร์ม Windows, Linux และ macOS ได้ด้วย

รูปที่ 5: เครื่องมือโจมตี DDoS Layer 7 ของ MegaMedusa (ที่มา: GitHub)

MegaMedusa มาพร้อมกับสคิร์ปต์ติดตั้ง พร้อมแจงรายละเอียดขั้นตอนและการเรียกใช้ผ่าน GitHub Landing Page ว่าจะไปเรียกโค้ดได้ที่ไหน ซึ่งใช้เพียง 5 คำสั่งเท่านั้นสำหรับขั้นตอนการดาวน์โหลดและติดตั้ง Runtime Environment ของ Node.js และ dependencies ที่เกี่ยวข้อง ที่ทำให้เริ่มต้นได้ง่ายๆผ่านเครื่อง Linux ส่วนตัว หรือ Linux VM บน Public Cloud หรือ Cloud ใดๆก็กระทำการโจมตี Web DDoS ได้กับเป้าหมายต่างๆในเวลาอันสั้น ไม่ว่าจะเป็นเว็บแอปพลิเคชันหรือ API

รูปที่ 6: คำแนะนำในการติดตั้ง MegaMedusa (ที่มา: GitHub)
รูปที่ 7: การใช้บรรทัดคำสั่งของ MegaMedusa และคำอธิบายสำหรับอาร์กิวเมนต์ของบรรทัดคำสั่ง (ที่มา: GitHub)

นอกจากนี้ผู้ใช้งานยังสามารถระบุจำนวนการ Request และอัตราการส่งคำร้องขอต่อวินาที(RPS) รวมถึงระยะเวลาในระดับวินาทีในชุดคำสั่งได้ ไม่เพียงเท่านั้นอาจสามารถเพิ่มความซับซ้อนด้วยการสุ่มเลือก Proxy ในลิสต์รายการที่ป้อนเข้าไป เพื่อสร้างการกระจายทราฟฟิคการโจมตีข้าม Proxy ได้

นอกจากเรื่องความง่ายในการเข้าถึงเครื่องมือแล้ว MegaMedusa ยังมีการใช้เทคนิคเพื่อหลบเลี่ยงการตรวจจับและป้องกันอีกหลายประเด็น ดังนี้

การสร้างข้อมูลแบบสุ่มหลายระดับร่วมกันเพื่อไม่ให้ระบุรูปแบบได้โดยง่ายถึง 10 รูปแบบ เพื่อให้เลี่ยงการตรวจจับหรือบล็อกโดย Web Application Firewall และการป้องกันต่างๆ

1.) Header

  • ข้อมูล User-Agent String – ที่มีเนื้อหาบอกถึงบราวเซอร์และ OS ที่มาจากผู้ร้องขอ โดยทำให้ดูเหมือนว่ามาจากอุปกรณ์และบราวน์เซอร์ที่ต่างกันออกไป
  • Accept-Language, Accept-Encoding, Cache-Control ฯลฯ – ทำเหมือนว่ามาจากภูมิภาคต่างๆ ที่มีภาษาต่างกัน มีการกำหนดค่าต่างๆกัน
  • Referrer – ทำให้เหมือนว่าคำขอมาจากหน้าเว็บที่ถูกต้องอย่าง Google Search
  • Connection – สุ่มสถานะระหว่าง Keep Alive และ Close

2.) Request Path แบบสุ่ม

  • พารามิเตอร์แบบสุ่ม เช่น การต่อท้ายของ “?s=”, “?page=” หรือพารามิเตอร์อื่นๆ ที่เป็นค่าสุ่มใน URL
  • เส้นทางการเข้าถึง เช่น “/” และ  “/.lsrecap/recaptcha?” เพื่อกระจายเส้นทางคำขอหรือกำหนดเป้าหมายไปที่ฟังก์ชันเฉพาะของเว็บไซต์ สร้างผลกระทบต่อระบบ Backend หลังบ้าน

3.) การส่งคำขอแบบสุ่ม

สร้างวิธีการส่ง HTTP Request ต่างกัน เช่น Get, Post, Head และอื่นๆ

4.) สุ่มค่า Cookies

ทำเป็นเหมือนว่าการร้องขอเกิดขึ้นจากผู้ใช้งานอย่างมากหน้าหลายตา โดยบางกรณีก็ถูกสร้างขึ้นเพื่อเลี่ยงฟีเจอร์ด้านความปลอดภัย เช่น ‘cf_clearance’

5.) สุ่มค่า IP Address

สุ่มค่า IP ใน X-Forwarded-For, Client-IP, Real-IP, X-Forwarded-Host และส่วนหัวอื่นๆ

6.) กำหนดค่า TLS/SSL แบบสุ่ม

สุ่มการใช้รหัสลับและโปรโตคอล TLS/SSL ต่างกันเพื่อสร้าง Connection ทำให้การ Handshake มีลักษณะเฉพาะ

7.) ตั้งค่า HTTP/2 แบบสุ่ม

กำหนดค่าคุณลักษณะของ HTTP/2 แบบสุ่ม เช่น header TableSize, macConcurrentStreams, initialWindows และอื่นๆ

8.) สุ่มใช้ Proxy

มีการเลือกสุ่มใช้ Proxy จากรายการที่มีสำหรับแต่ละ Request เพื่อให้เกิดการกระจายเส้นทางและตำแหน่งที่ต่างกัน อย่างไรก็ตาม MegaMedusa ยังไม่ได้เปิดรองรับ Proxy ประเภทเชิงพาณิชย์และ Proxy ส่วนตัวที่ต้องยืนยันตัวตน แต่ก็ไม่ใช่เรื่องยากเพราะจากโค้ดก็แสดงให้เห็นแล้วว่ากลุ่มผู้พัฒนามีประสบการณ์ และยังมีหลักฐานที่บ่งชี้ถึง MegaMedusa ในเวอร์ชันปรับปรุงในอีกหลายเวอร์ชัน จึงเป็นไปได้ที่อาจนำไปสู่ Proxy เชิงพาณิชย์ที่สามารถกระจายทราฟฟิคได้ดีขึ้นสู่ IP Address นับแสนรายการ เทียบกับ Open Proxy ที่มีความสามารถจำกัด แต่ข้อดีคือ Open Proxy ส่วนใหญ่มักมีฟังก์ชันบันทึกรายการ Proxy ในรูปแบบ Text ที่ใช้ร่วมกับ MegaMedusa ได้

9.) สุ่มช่วงเวลา

มีการกำหนดการส่งเป็นระยะๆ ด้วยฟังก์ชัน setInterval() ไม่ยึดติดกับช่วงเวลา

10.) สุ่ม Header

ในค่า Header บางประเภทจะมีการสุ่มค่าางอย่าง เช่น Sec-WebSocket-Key, Sec-WebSocket-Version ฯลฯ ทำให้มีความแตกต่างแม้จะอยู่ในระดับ WebSocket ก็ตาม

ผู้สร้าง MegaMedusa อ้างว่าเครื่องมือสามารถหลบเลี่ยงการตรวจจับจากระบบตรวจสอบของผู้ให้บริการด้านความมั่นคงปลอดภัยหลายราย ประกอบด้วย Under Attack Mode และ NoSec ของ Cloudflare, DDoS Guard, vShield และ ShieldSquare Captcha ของ Radware ซึ่งอันที่จริงคนร้ายได้ใช้วิธีการสุ่มและ Proxy ร่วมกัน ที่ตามหลักแล้วไม่สามารถหลุดรอดไปได้เมื่อเจอกับ CAPTCHA ขั้นสูง

แต่วิธีการที่ MegaMedusa ใช้ช่วยได้แค่การสร้าง Request ให้หลากหลายและถูกตรวจจับได้น้อยลงเท่านั้น ไม่ได้เลี่ยงการตรวจสอบอย่างตรงไปตรงมา ซึ่งต้องใช้วิธีการที่ซับซ้อนมากขึ้น เช่น ความสามารถในการจดจำภาพและ Token ของ reCAPTCHA เวอร์ชัน 2 หรือ 3 ซึ่งมักต้องอาศัยโมเดล Machine Learning หรือบริการแก้ CAPTCHA หรือเครื่องมืออัตโนมัติจากบราวน์เซอร์ เช่น Puppeteer หรือ Selenium เพื่อโต้ตอบกับ CAPTCHA แบบเรียลไทม์ กล่าวคือวิธีของ MegaMedusa นั้นมีอัตราสำเร็จต่ำมาก

รูปที่ 8: ฟีเจอร์การหลบเลี่ยงการตรวจสอบของ MegaMedusa (ที่มา: GitHub)
รูปที่ 9: พารามิเตอร์ส่วนหัวของ HTTP รวมถึงการหลบเลี่ยง CAPTCHA (ที่มา: MegaMedusa.js)

จากโค้ดในภาพแสดงถึงการตอบโต้กับการตรวจสอบ CAPTCHA อย่างการใช้ token __cf_chl_tk แบบสุ่ม จาก CAPTCHA ของ Cloudflare แต่ก็ไม่ได้ช่วยอะไรมาก เพราะไม่ได้แก้ CAPTCHA ให้ถูกต้องอยู่ดีจึงไม่สามารถใช้ Token เหล่านี้ได้

เราอาจจะได้เห็น MegaMedusa ในเวอร์ชันแจกฟรีสำหรับอาสาสมัครและผู้ติดตามของ RipperSec แต่ก็ยังพบหลักฐานว่ามีการใช้เครื่องมือเวอร์ชันอื่นที่ได้รับการปรับปรุงใหม่ ซึ่งมีประสิทธิภาพมากกว่าเดิมที่ใช้โดยสมาชิกของกลุ่ม โดยจากภาพโฆษณาของ RipperSec ด้านล่าง จะเห็นได้ว่าสมาชิกหลักของกลุ่มยังมีโปรแกรมโจมตีในโค้ด Node.js อีกมากมาย ที่มีประสิทธิภาพมากกว่าที่เผยแพร่สาธารณะ

รูปที่ 10: ภาพถ่ายหน้าจอที่แสดงเครื่องมือโจมตีและเครื่องมือโจมตีขั้นสูง (ที่มา: RipperSec)

อย่างไรก็ดี MegaMedusa ไม่ใช่เครื่องมือสำหรับการทำ DDoS Attack ที่ดีที่สุด แต่ก็ดีพอสำหรับผู้ใช้ที่ไม่ได้มีทักษะสูง และเว็บไซต์ส่วนใหญ่อาจรับมือไม่ไหวหากไม่มีการป้องกันอย่างเหมาะสม นอกจากนี้ยังมีอาสาสมัครและพันธมิตรของ RipperSec ที่สามารถผนึกกำลังกันสร้างขนาดความเสียหายที่ทรงพลังมากขึ้นได้ นั่นคือสิ่งที่น่ากังวลแม้เครื่องมือจะไม่ได้ใหญ่โตและซับซ้อนมากก็ตาม

หัวข้อในการศึกษาเรื่อง MegaMedusa ของ RipperSec นั้นจบลงไปแล้ว ในหัวข้อนี้เราจะพาทุกท่านมาเรียนรู้เกี่ยวกับการโจมตี Web DDoS ว่าควรต้องรู้จักกับตัวแปรใดบ้าง เริ่มต้นจากนิยามของ Web DDoS ซึ่งก็คือ HTTP Request ที่ถูกส่งไปยังเว็บแอปพลิเคชันหรือ API ด้วยการสุ่มให้เกิด Request ที่หลากหลายและมีการใช้ Proxy เป็นหน้าฉากต่างกัน เพื่อปกปิดที่มา รวมถึงทำให้ยากต่อการตรวจจับและลดทอนความรุนแรง ทั้งนี้ Proxy ยังสามารถช่วยหลีกเลี่ยงมาตรการป้องกัน เช่น การบล็อกทราฟฟิคที่มาจากพิกัดที่ไม่ควรมี ที่หากใช้ Proxy ภายในประเทศที่ไม่ถูกบล็อก

1.) Proxy Request

ภาพด้านล่างได้แสดง TCP Connection ที่เกิดจากการอาศัย Proxy เป็นฉากหน้าแทน ที่จะช่วยจัดการเชื่อมต่อ SSL และ HTTP กับปลายทางและตอบกลับด้วยเลขสถานะ 200 หากเชื่อมต่อสำเร็จ

รูปที่ 11: คำขอ HTTPS ที่ส่งด้วยพร็อกซีผ่านช่องสัญญาณ (ที่มา: Radware)

สำหรับการใช้ Node.js การทำ Proxy Request มีตัวช่วยหลายตัวจากโมดูล NPM ต่างๆ เช่น http-proxy-agent และ https-proxy-agent ซึ่งการใช้งานก็ง่ายมากเพียงแค่สร้าง Object ขึ้นมารับและใช้ HTTPS Request ทั่วไปตามโค้ดตามล่าง

รูปที่ 12: ตัวอย่างโมดูล https-proxy-agent (ที่มา: GitHub)

อย่างไรก็ตาม MegaMedusa ไม่ได้ใช้โมดูลดังกล่าว แต่ใช้วิธีการแบบลึกลงไปด้วยการสร้าง Socket ของ Proxy ก่อน แล้วค่อยส่ง Socket ไปยังโมดูล HTTPS เพื่อทำการร้องขอ โดยวิธีการนี้ไม่จำเป็นต้องพึ่งพาโมดูลเพิ่มเติม แถมผู้สร้างสามารถควบคุมตัวเลือกในการเชื่อมต่อและอายุการใช้งานการเชื่อมต่อกับ Proxy ได้

2.) เพิ่มประสิทธิภาพของการทำ HTTP Request

โปรโตคอล HTTP ได้รับการปรับปรุงให้มีประสิทธิภาพมากขึ้นเพื่อลดความล่าช้าและการใช้ทรัพยากรทั้งในฝั่งไคลเอ้นต์และเซิร์ฟเวอร์ รวมถึงเพิ่มอัตราการรับส่งข้อมูลโดยเฉพาะความต้องการเข้าถึงข้อมูลและเรียลไทม์จะเว็บแอปพลิเคชันและมือถือ ทั้งนี้ในกรณีของ HTTP เวอร์ชัน 1.1 ได้มีการเพิ่มความสามารถ Pipeline เข้ามาเพิ่มประสิทธิภาพของการทำ Request แต่ด้วยข้อจำกัดต่างๆ จึงไม่ได้ถูกนำมาใช้อย่างแพร่หลาย กลับกันช่องทางนี้ได้ตกเป็นเครื่องมือของคนร้ายที่นิยมใช้เพื่อเพิ่มความเข้มข้นของอัตรา Request Per Second (RPS) ที่ใช้งานได้ง่ายมาก

ต่อมาใน HTTP เวอร์ชัน 2 มีฟีเจอร์ Multiplex เข้ามาทำให้ HTTP Request และ HTTP Respond ทำได้พร้อมกันหลายรายการผ่าน TCP Connection เดียว ซึ่งเหนือกว่า Pipeline ในเวอร์ชัน 1.1 และเช่นเคย Multiplex ก็ช่วยติดอาวุธให้แค่อัตราการทำ RPS เช่นเดียวกัน โดยสิ่งที่ตามมาคือในเดือนตุลาคมปี 2023 มีการพบช่องโหว่ Rapid Reset ใน HTTP/2 ที่นำไปสู่บริการ DDoS for hire จำนวนมากที่นำความบกพร่องนี้มาใช้และในเดือนเมษายนปี 2024 ก็มีช่องโหว่ Continuation ของ HTTP/2 เกิดขึ้นอีก

3.) ประเภทบริการของ Proxy

Open Proxy – เป็น Proxy ที่ถูกตั้งค่าให้ใครมาใช้ก็ได้อาจเกิดจากความตั้งใจ หรือการตั้งค่าผิดพลาด แต่นี่คือสิ่งที่แฮ็กเกอร์มักให้ความสนใจ อันที่จริง Open Proxy มักปรากฏอยู่ในเครือข่าย Botnet หรือที่คนร้ายโจมตีเร้าเตอร์และโมเด็ม และเปลี่ยนแปลงให้อุปกรณ์กลายเป็น HTTP Proxy หรือ SOCKS อาจด้วยการติดตั้งเซิร์ฟเวอร์ที่สร้างความสามารถเป็น Proxy หรือตั้งค่าอุปกรณ์ให้ทำเช่นนั้น ด้วยความสามารถเดิมที่ทำได้อยู่แล้วอย่างเช่น เราเตอร์ และ Gateway ทั้งนี้เมื่อคนร้ายอาศัยใช้ IP ที่ได้รับการยอมรับจากอุปกรณ์เหล่านี้ มักไม่ค่อยถูกคัดกรองการโจมตี

Commercial Proxy – การใช้ Proxy ประเภทนี้มักเช่าใช้ช่วง IP Address คนละส่วนกับที่มีอยู่ในที่อยู่อาศัยและไม่ได้มาจาก ISP เช่น Squid Proxy เป็นต้น ในบริการเชิงพาณิชย์มักมีฟีเจอร์ต่างๆพ่วงมา เช่น การหมุนเวียน IP รายวัน ที่จะเปลี่ยน IP Range ในกลุ่ม Proxy ราว 30% ในทุกๆวันหรือมากกว่า ซึ่งอาจเป็นช่องทางให้แฮ็กเกอร์สามารถเลี่ยงการถูกบล็อกระดับ IP ได้ ไม่เพียงเท่านั้นผู้ให้บริการอาจมี Free Tier Proxy แต่มีข้อจำกัดเรื่องระยะเวลาหรืออื่นๆ รวมไปถึงบริการที่เผยแพร่ใน GitHub เป็นต้น ซึ่ง Proxy ฟรีอาจไม่ค่อยน่าเชื่อถือแต่ก็นำไปใช้เพื่อการโจมตีได้ อันที่จริงมีความพยายามรวบรวม Proxy ต่างๆ บนอินเทอร์เน็ตเพื่อนำไปใช้ในการโจมตี อย่างกรณีของกองทัพยูเครนที่มีการรวบรวม Proxy และเครื่องมือ DDoS จัดทำให้อาสาสมัครมาร่วมกันสนับสนุน ติดตามเพิ่มเติมได้ที่นี่

รูปที่ 13: บริการที่บริการพร็อกซีเชิงพาณิชย์จัดหาให้ (ที่มา: อินเทอร์เน็ต)
รูปที่ 14: รายการพร็อกซีแบบฟรีจากผู้ให้บริการเชิงพาณิชย์ที่จำแนกตามโปรโตคอล ประเทศ และความล่าช้า และมี URL ของ API สำหรับการโหลดพร็อกซีแบบไดนามิกในซอฟต์แวร์ (ที่มา: อินเทอร์เน็ต)

4.) โครงสร้างพื้นฐานของเครื่องมือโจมตี DDoS ขั้นสูง

เครื่องมือการโจมตีที่ซับซ้อนหรือบริการ DDoS for Hire มักมีการใช้เครื่องมือและเทคนิคอย่างหลากหลาย เช่น

  • ปกปิดที่มาที่แท้จริงด้วยการปลอม IP ต้นทาง การใช้ Proxy หรือบริการ SOCKS
  • การขยายการโจมตี(Amplification) และสะท้อนกลับ (Reflexing)
  • Web DDoS ที่มีการสุ่ม payload และเทคนิคการหลบหลีกต่างๆ
รูปที่ 15: โครงสร้างพื้นฐานระบบคลาวด์ของเครื่องมือโจมตี DDoS ขั้นสูง (ที่มา: Radware)

ในมุมของการป้องกันความคล่องตัวและความยืดหยุ่นของคลาวด์อาจเป็นตัวช่วยที่กลายเป็นโครงสร้างพื้นฐานคนร้ายได้มากกว่าการควบคุมอุปกรณ์ IoT จำนวนมาก แถมยังมีความน่าเชื่อถือและจัดการได้สะดวกว่า เนื่องจากการสแกนหาและโจมตีอุปกรณ์ IoT มักเสี่ยงต่อการตรวจพบจาก Honeypot ที่ทำให้ถูกสาวไปถึงตัวศูนย์สั่งการ (C2) และถูกจัดการได้

กระนั้นเองแม้คลาวด์จะดูมีภาษีดีกว่าสำหรับการเป็นโครงสร้างพื้นฐานของการโจมตี แต่ก็ยังพบการอาศัย Botnet จำนวนมากเพื่อช่วยในการโจมตีเพราะมีอัตราการกระจายตัวดี(Distributed) รวมถึงเหมาะกับการโจมตีอย่าง DNS Water Torture หรือ Pseudorandom Subdomain (PRSD) ที่สร้างผลกระทบได้สูง ด้วยประโยชน์จากความน่าเชื่อถือของความสัมพันธ์ระหว่าง DNS Forwarder และ IP Range ที่อยู่ในความดูแลของ ISP

ดังนั้นบริการ DDoS for hire บางแห่งจึงใช้ Botnet เป็นโครงสร้างพื้นฐาน เพราะมีต้นทุนต่ำกว่าถ้าบริการเติบโตขึ้น และสามารถให้ปรับขนาดได้ โดยพบว่าผู้โจมตีอาจใช้โครงสร้างร่วมระหว่าง Botnet และคลาวด์พร้อมกัน ไม่เพียงเท่านั้น Botnet ยังอาจกลายเป็นบริการ Proxy และ SOCKS ได้อีกด้วย

สนใจโซลูชัน DDoS Protection จาก Radware ติดต่อ ได้ที่ คุณ Atichart Wala (Paint) โทร 094-594-4639 หรืออีเมล atichartw@radware.com

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญเข้าร่วมงาน IBM Solutions Summit 2024: AI and Hybrid Cloud in Action [8 พ.ย. 2024 ณ โรงแรม InterContinental Bangkok]

IBM ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาใหญ่ประจำปี IBM Solutions Summit 2024: AI and Hybrid Cloud in Action ในวันที่ 8 พฤศจิกายน …

Qualcomm เปิดตัวชิป A7 Elite สำหรับระบบ Wi-Fi 7 รองรับการประมวลผล AI ในตัว

Qualcomm เปิดตัว Networking Pro A7 Elite ชิปประมวลผลสำหรับอุปกรณ์ Wi-Fi 7 รุ่นใหม่ พร้อมโมดูล AI coprocessor ในตัว