CDIC 2023

พบซอร์สโค้ด Mirai IoT DDoS Botnet เผยแพร่บน Hack Forums

October 3, 2016 Internet of Things Security, Security, Threats Update, Web Security

ต้นเหตุ DDoS ขนาด 665 Gbps โจมตีเว็บไซต์ KrebsOnSecurity.com เมื่อเดือนที่ผ่านมา

Brian Krebs เจ้าของเว็บไซต์ KrebsOnSecurity.com ที่เพิ่งถูกโจมตีแบบ DDoS ขนาด 665 Gbps ไปเมื่อเดือนที่ผ่านมา ออกมาระบุว่า ค้นพบซอร์สโค้ดของมัลแวร์ Mirai ที่ใช้สร้าง Botnet มาเพื่อโจมตีเว็บไซต์ของตนบนคอมมูนิตี้ของแฮ็คเกอร์ชื่อดังอย่าง Hack Forums ซึ่งซอร์สโค้ดดังกล่าวถูกโพสต์โดยผู้ใช้ชื่อ “Anna-senpai”

Credit: Ditty about summer/ShutterStock
Credit: Ditty about summer/ShutterStock

“เมื่อผมก้าวเข้ามาในธุรกิจ DDoS ครั้งแรก ผมไม่คิดจะอยู่นาน ผมทำเงินได้เรียบร้อย และขณะนี้ก็มีคนจับตามอง IoT เป็นจำนวนมาก ดังนั้นมันถึงเวลาแล้วที่ผมจะจรลีหนีไป” — Anna-senpai ระบุในโพสต์ของตน “ดังนั้นวันนี้ ผมมีของเล่นที่น่าตื่นตาตื่นใจมามอบให้คุณ ด้วยการใช้ Mirai ผมสามารถสร้างบ็อทกว่า 380,000 เครื่องจากการ Telnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากเกิดเหตุ DDoS บนเว็บของ Krebs ทำให้ ISP เริ่มปิดและจัดการคลีนระบบของตน ทำให้วันนี้สามารถสร้างบ็อทได้เพียง 300,000 เครื่องเท่านั้น และมีแนวโน้มที่จะลดลงอีกด้วย”

โทรจัน Mirai เน้นพุ่งเป้าที่ Router, DVR, WebIP Camera, Linux Servers และอุปกรณ์ Internet of Things ที่รัน Busybnox โดยแฮ็คเกอร์จะค้นหาอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานและเข้าควบคุมอุปกรณ์นั้นๆ ผ่านทาง Telnet หรือ SSH จากนั้นก็ทำการโหลดมัลแวร์เข้าไปเพื่อทำหน้าที่เป็น Botnet ควบคุมอุปกรณ์ให้รับคำสั่งตามที่แฮ็คเกอร์ต้องการ

Mirai เรียกได้ว่าเป็นมัลแวร์ที่พัฒนาสืบทอดมาจากโทรจัน Bashlite (หรือ Gafgyt, Torlus) ซึ่งสามารถบังคับให้อุปกรณ์ทำการโจมตีแบบ DoS ไปยังเป้าหมายได้หลายวิธี เช่น UDP, DNS และ HTTP Floods, UDP Floods over GRE และ TCP Floods หลากหลายรูปแบบ เป็นต้น เมื่อผสานรวมเข้ากับปริมาณอุปกรณ์ IoT จำนวนมหาศาลทั่วโลก จึงทำให้สามารถสร้างทราฟฟิคขนาดใหญ่ระดับ 600 Gbps เพื่อโจมตีเป้าหมายได้เป็นผลสำเร็จ

Krebs ระบุเพิ่มเติมว่า อุปกรณ์ที่ติดมัลแวร์ Mirai สามารถจัดการคลีนได้ด้วยการรีสตาร์ทอุปกรณ์ เพราะจะเป็นการเคลียร์มัลแวร์ออกจาก Memory อย่างไรก็ตาม อุปกรณ์เหล่านั้นมักมีแนวโน้มที่จะติดมัลแวร์ใหม่อีกรอบภายในไม่กี่นาทีหลังรีสตาร์ท เนื่องจากยังใช้รหัสผ่านดั้งเดิมจากโรงงาน ทางที่ดีที่สุดคือทำการเปลี่ยนรหัสผ่านใหม่ให้มีความแข็งแกร่ง

ที่มา: https://www.helpnetsecurity.com/2016/10/03/leaked-source-code-mirai-iot-ddos-botnet/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

‘ซิสโก้’ กำหนดนิยามใหม่ “การป้องกันความปลอดภัยทางไซเบอร์” ด้วยพอร์ตฟอลิโอ AI ที่หลากหลายและทรงพลัง [Guest Post]

ซิสโก้ ผู้นำด้านระบบเครือข่ายและการรักษาความปลอดภัยระดับองค์กร เปิดตัว Cisco AI Assistant for Security ซึ่งนับเป็นก้าวสำคัญในการทำให้ AI แพร่หลายใน Security Cloud, Unified ของซิสโก้, …

Sangfor Access Secure ทะยานติดอันดับ Frost & Sullivan Frost Radar for SASE 2023

Sangfor Access Secure ได้ทะยานขึ้นสู่การจัดอันดับของ Frost & Sullivan Frost Radar for SASE 2023 เป็นที่เรียบร้อยแล้ว

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand