Breaking News
AMR | Sophos Webinar

พบซอร์สโค้ด Mirai IoT DDoS Botnet เผยแพร่บน Hack Forums

ต้นเหตุ DDoS ขนาด 665 Gbps โจมตีเว็บไซต์ KrebsOnSecurity.com เมื่อเดือนที่ผ่านมา

Brian Krebs เจ้าของเว็บไซต์ KrebsOnSecurity.com ที่เพิ่งถูกโจมตีแบบ DDoS ขนาด 665 Gbps ไปเมื่อเดือนที่ผ่านมา ออกมาระบุว่า ค้นพบซอร์สโค้ดของมัลแวร์ Mirai ที่ใช้สร้าง Botnet มาเพื่อโจมตีเว็บไซต์ของตนบนคอมมูนิตี้ของแฮ็คเกอร์ชื่อดังอย่าง Hack Forums ซึ่งซอร์สโค้ดดังกล่าวถูกโพสต์โดยผู้ใช้ชื่อ “Anna-senpai”

Credit: Ditty about summer/ShutterStock
Credit: Ditty about summer/ShutterStock

“เมื่อผมก้าวเข้ามาในธุรกิจ DDoS ครั้งแรก ผมไม่คิดจะอยู่นาน ผมทำเงินได้เรียบร้อย และขณะนี้ก็มีคนจับตามอง IoT เป็นจำนวนมาก ดังนั้นมันถึงเวลาแล้วที่ผมจะจรลีหนีไป” — Anna-senpai ระบุในโพสต์ของตน “ดังนั้นวันนี้ ผมมีของเล่นที่น่าตื่นตาตื่นใจมามอบให้คุณ ด้วยการใช้ Mirai ผมสามารถสร้างบ็อทกว่า 380,000 เครื่องจากการ Telnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากเกิดเหตุ DDoS บนเว็บของ Krebs ทำให้ ISP เริ่มปิดและจัดการคลีนระบบของตน ทำให้วันนี้สามารถสร้างบ็อทได้เพียง 300,000 เครื่องเท่านั้น และมีแนวโน้มที่จะลดลงอีกด้วย”

โทรจัน Mirai เน้นพุ่งเป้าที่ Router, DVR, WebIP Camera, Linux Servers และอุปกรณ์ Internet of Things ที่รัน Busybnox โดยแฮ็คเกอร์จะค้นหาอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานและเข้าควบคุมอุปกรณ์นั้นๆ ผ่านทาง Telnet หรือ SSH จากนั้นก็ทำการโหลดมัลแวร์เข้าไปเพื่อทำหน้าที่เป็น Botnet ควบคุมอุปกรณ์ให้รับคำสั่งตามที่แฮ็คเกอร์ต้องการ

Mirai เรียกได้ว่าเป็นมัลแวร์ที่พัฒนาสืบทอดมาจากโทรจัน Bashlite (หรือ Gafgyt, Torlus) ซึ่งสามารถบังคับให้อุปกรณ์ทำการโจมตีแบบ DoS ไปยังเป้าหมายได้หลายวิธี เช่น UDP, DNS และ HTTP Floods, UDP Floods over GRE และ TCP Floods หลากหลายรูปแบบ เป็นต้น เมื่อผสานรวมเข้ากับปริมาณอุปกรณ์ IoT จำนวนมหาศาลทั่วโลก จึงทำให้สามารถสร้างทราฟฟิคขนาดใหญ่ระดับ 600 Gbps เพื่อโจมตีเป้าหมายได้เป็นผลสำเร็จ

Krebs ระบุเพิ่มเติมว่า อุปกรณ์ที่ติดมัลแวร์ Mirai สามารถจัดการคลีนได้ด้วยการรีสตาร์ทอุปกรณ์ เพราะจะเป็นการเคลียร์มัลแวร์ออกจาก Memory อย่างไรก็ตาม อุปกรณ์เหล่านั้นมักมีแนวโน้มที่จะติดมัลแวร์ใหม่อีกรอบภายในไม่กี่นาทีหลังรีสตาร์ท เนื่องจากยังใช้รหัสผ่านดั้งเดิมจากโรงงาน ทางที่ดีที่สุดคือทำการเปลี่ยนรหัสผ่านใหม่ให้มีความแข็งแกร่ง

ที่มา: https://www.helpnetsecurity.com/2016/10/03/leaked-source-code-mirai-iot-ddos-botnet/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” …

[Video Webinar] Maintaining Business Continuity During Times of Uncertainty by CrowdStrike

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Vintcom | CrowdStrink Webinar เรื่อง “Maintaining Business Continuity During Times of Uncertainty” เพื่อเรียนรู้การปกป้องอุปกรณ์ต่างๆ ทั้ง …