TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ต้นเดือนตุลาคมที่ผ่านมา ซอร์สโค้ดของ Mirai IoT DDoS Botnet ถูกเผยแพร่สู่สาธารณะ ส่งผลให้อุปกรณ์ IoT ทั่วโลกหลายแสนเครื่องที่มีช่องโหว่หรือมีความมั่นคงปลอดภัยไม่เพียงพอถูกเปลี่ยนเป็นกองทัพ Botnet สำหรับใช้โจมตีแบบ DDoS โดยกลุ่มแฮ็คเกอร์ หนึ่งในเหตุการณ์ที่รุนแรงที่สุดที่เพิ่งเกิดไปก็คือการโจมตี Dyn DNS ส่งผลให้ผู้ใช้อินเทอร์เน็ตไม่สามารถเข้าถึงหลายเว็บไซต์ได้ในช่วงระยะเวลาหนึ่ง
หลังจากทำการตรวจสอบซอร์สโค้ดของ Mirai โดยละเอียด Scott Tenaglia นักวิจัยด้านความมั่นคงปลอดภัยจาก Invincea ผู้บริการโซลูชัน Endpoint Security ชื่อดัง พบช่องโหว่บนมัลแวร์ถึง 3 รายการ หนึ่งในนั้นอาจถูกใช้เพื่อหยุด Mirai Botnet ไม่ให้โจมตีแบบ DDoS ใส่เป้าหมายโดยใช้ HTTP Request ได้
ช่องโหว่ดังกล่าวเป็นช่องโหว่ Stack Buffer Overflow ที่ช่วยให้ Tenaglia สามารถ Exploit เพื่อหยุดการทำงานของโปรเซสที่ใช้โจมตีได้ ส่งผลให้สามารถจบการโจมตีของ Botnet โดยที่ตัวอุปกรณ์ไม่ได้รับความเสียหายอะไรและยังคงสามารถทำงานต่อไปได้ตามปกติ
อย่างไรก็ตาม Exploit ดังกล่าวสามารถหยุดยั้ง HTTP-based DDoS Attack ได้เท่านั้น ไม่สามารถป้องกัน DNS-based DDoS Attack แบบที่โจมตี Dyn DNS ได้ เนื่องจาก Mirai Botnet สามารถโจมตีแบบ DDoS ได้หลายรูปแบบ ไม่ว่าจะเป็น HTTP Floods, DNS Floods, UDP Floods, SYN และ ACK Floods, GRE IP และ GRE ETH Floods และ STOMP Floods
“Exploit แบบง่ายๆ นี้เป็นตัวอย่างของการป้องกัน IoT Botnet เชิงรุกที่ DDoS Mitigation Service สามารถนำไปใช้เพื่อรับมือกับ Mirai-based HTTP Flood Attack ได้แบบเรียลไทม์ ถึงแม้ว่ามันจะไม่สามารถคลีน Bot ออกจากอุปกรณ์ IoT แต่มันก็สามารถหยุดการโจมตีที่มาจากอุปกรณ์ดังกล่าวได้” — Tenaglia ระบุใน Blog
ข้อควรระวังของการใช้ Exploit นี้คือ มันเป็นพื้นที่สีเทาซึ่งอาจเสี่ยงต่อการผิดกฏหมาย เนื่องจากเป็นการแฮ็คอุปกรณ์ IoT ซึ่งไม่ได้รับความยินยอมจากเจ้าของ ถึงแม้ว่าอุปกรณ์นั้นๆ จะติดมัลแวร์อยู่ก็ตาม ทาง Invincea เองก็ออกตัวไว้ในงานวิจัยก่อนแล้วว่า ไม่สนับสนุนให้ทำการโจมตีกลับ
ดูรายละเอียด Exploit ที่ใช้จัดการกับ Mirai Botnet ได้ที่ https://www.invincealabs.com/blog/2016/10/killing-mirai/
ที่มา: http://thehackernews.com/2016/10/mirai-botnet-iot-malware.html
