Microsoft Azure by Ingram Micro (Thailand)

Microsoft เปิดตัวเครื่องมือโอเพนซอร์ซสำหรับสแกนหา Trickbot บน MikroTik

Microsoft เปิดตัวเครื่องมือโอเพนซอร์สที่สามารถใช้เพื่อรักษาความปลอดภัยบนเราเตอร์ของ MikroTik และตรวจสอบสัญญาณความผิดปกติที่เกี่ยวข้องกับมัลแวร์ Trickbot
Picture Credit : GitHub

TrickBot เป็นมัลแวร์ที่มีมาตั้งแต่ปี 2559 โดยในขั้นต้นเป็นโทรจันธนาคารที่ออกแบบมาเพื่อโจรกรรมข้อมูลทางการเงิน แต่ได้พัฒนาเป็นโปรแกรมโจรกรรมแบบแยกส่วนที่สามารถกำหนดเป้าหมายข้อมูลได้หลากหลายขึ้น โดย TrickBot จะใช้อุปกรณ์ IoT เช่น เราเตอร์ เพื่อทำหน้าที่เป็น Proxy ระหว่างอุปกรณ์ที่มีการติดต่อไปยังเซิร์ฟเวอร์ (Command and Control Server) ซึ่งอาจจะทำให้เกิดช่องโหว่ที่แฮกเกอร์สามารถเข้าถึงเครื่องเป้าหมายเหล่านั้นได้

จากข้อมูลจำนวนอุปกรณ์เราเตอร์ MikroTik นับว่าเป็นอุปกรณ์ที่ได้รับความนิยมมากกว่า 3.3 ล้านเครื่องทั่วโลก โดยจากการค้นหาข้อมูลผ่านช่องทาง Shodan.io เว็บเว็บเสิร์ชเอนจินที่สามารถทำการค้นหาชื่ออุปกรณ์ทุกชนิดที่กำลังเชื่อมต่ออินเตอร์เน็ตได้ทั่วโลก

Microsoft กล่าวว่านักวิจัยได้พิจารณาแล้วว่าเราเตอร์ของ MikroTik ถูกละเมิดคุกคามอย่างไร และยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Microsoft ได้สร้างเครื่องมือที่สามารถใช้ตรวจสอบอุปกรณ์เหล่านี้เพื่อหาสัญญาณความเคลื่อนไหวที่ผิดปกติที่เกี่ยวข้องกับ Trickbot โดยทีมวิจัย Defender for Internet of Things ของ Microsoft และ Threat Intelligence Center ได้ร่วมกันเปิดตัวเครื่องมือโอเพนซอร์ส โดยตั้งชื่อว่า RouterOS Scanner และได้รับการอธิบายสรรพคุณว่าเป็นเครื่องมือทางนิติเวชสำหรับอุปกรณ์ MikroTik ซึ่งเจ้าเครื่องมือนี้สามารถค้นหาจุดอ่อน และคุณสมบัติที่น่าสงสัยที่อาจบ่งชี้ว่าอุปกรณ์กำลังถูกบุกรุก หรือถูกบุกรุกไปเรียบร้อยแล้ว

ถึงแม้ว่าความพยายามเพื่อไม่ให้สามารถบุกรุกเข้าถึงเราเตอร์ได้ก็ตาม แต่ผู้คุกคามจะพยายามใช้ประโยชน์จากช่องโหว่ของ CVE-2018-14847 โดยการรีโมทโจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ เพื่อโจรกรรมไฟล์ “user.dat” ซึ่งประกอบด้วยข้อมูลประจำตัวผู้ใช้งานสำหรับเราเตอร์ และภารกิจที่มิจฉาชีพทางไซเบอร์จะลงมือทำเมื่อเข้าถึงอุปกรณ์ได้แล้ว จะใช้คำสั่ง “/ip”, “/system” หรือ “/tool” สำหรับสร้างการแปลที่อยู่ของเครือข่าย (NAT) เพื่อทำการเปลี่ยนแปลงเส้นทางการรับส่งข้อมูลที่มีการส่งไปยังพอร์ต 449 บนเราเตอร์ ให้ทำการส่งมายังพอร์ต 80 บนเซิร์ฟเวอร์แทน และจะทำการควบคุมได้จากระยะไกล

ซึ่งก่อนหน้านี้ ทาง MikroTik เอง ก็ได้รับแจ้งให้เร่งทำการอัปเกรด RouterOS เวอร์ชันที่ใหม่กว่า 6.45.6 เพื่อปิดช่องโหว่ของโปรโตคอล WinBox และสำหรับเวอร์ชันใหม่ล่าสุดนี้ จะมีสคริปต์สำหรับสแกนอุปกรณ์ MikroTik ดังต่อไปนี้

  • รองรับการจับคู่กับ CVEs
  • รองรับการสแกนตารางการตรวจสอบกิจกรรมต่างๆ
  • รองรับการสแกนกฎการเปลี่ยนเส้นทางการรับส่งข้อมูล
  • รองรับการสแกน DNS
  • รองรับการสแกนการเปลี่ยนแปลงของ default ports
  • รองรับการสแกนผู้ใช้งานที่ไม่ใช่ค่า default
  • รองรับการสแกนไฟล์ที่น่าสงสัย
  • รองรับการสแกน Proxy, Socks และ FW

นอกจากนี้ Microsoft ยังแนะนำวิธีการตั้งค่าเพิ่มเติมบนอุปกรณ์ MikroTik

  • ให้ทำการเปลี่ยนรหัสผ่าน default ให้มีความยากในการคาดเดา
  • ให้ทำการบล็อกพอร์ต 8291 สำหรับจากการเข้าถึงจากภายนอก
  • ให้ทำการเปลี่ยนพอร์ต SSH เป็นอย่างอื่นที่ไม่ใช่ค่า default (22)
  • ให้ทำการตรวจสอบให้แน่ใจว่าเราเตอร์อัปเดตเฟิร์มแวร์และแพตช์ล่าสุดแล้ว
  • ให้ทำการใช้บริการเครือข่ายส่วนตัวเสมือน (VPN) ที่ปลอดภัยสำหรับการเข้าถึงจากระยะไกล และจำกัดการเข้าถึงเราเตอร์ได้จากระยะไกล

ที่มา : Microsoft releases open source Trickbot scanner for Mikrotik routers – Networking – Security – iTnews และ Microsoft creates tool to scan MikroTik routers for TrickBot infections (bleepingcomputer.com)

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผสาน Automation และ Intelligence เข้าไปยังความสามารถของงานด้านการผลิต โดย Infor

การนำเทคโนโลยีใหม่ๆเข้ามาใช้งานในธุรกิจนั้นไม่ใช่เรื่องง่าย และแต่ละอุตสาหกรรมก็มีความท้าทายเฉพาะตัวที่ต้องเผชิญหน้า ในอุตสาหกรรมการผลิตเองก็เช่นกันที่ได้รับผลกระทบจากการเปลี่ยนแปลงของเทคโนโลยี ความต้องการของลูกค้า Supply Chain และอื่นๆ 

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว