พบซอร์สโค้ด Mirai IoT DDoS Botnet เผยแพร่บน Hack Forums

ต้นเหตุ DDoS ขนาด 665 Gbps โจมตีเว็บไซต์ KrebsOnSecurity.com เมื่อเดือนที่ผ่านมา

Brian Krebs เจ้าของเว็บไซต์ KrebsOnSecurity.com ที่เพิ่งถูกโจมตีแบบ DDoS ขนาด 665 Gbps ไปเมื่อเดือนที่ผ่านมา ออกมาระบุว่า ค้นพบซอร์สโค้ดของมัลแวร์ Mirai ที่ใช้สร้าง Botnet มาเพื่อโจมตีเว็บไซต์ของตนบนคอมมูนิตี้ของแฮ็คเกอร์ชื่อดังอย่าง Hack Forums ซึ่งซอร์สโค้ดดังกล่าวถูกโพสต์โดยผู้ใช้ชื่อ “Anna-senpai”

Credit: Ditty about summer/ShutterStock
Credit: Ditty about summer/ShutterStock

“เมื่อผมก้าวเข้ามาในธุรกิจ DDoS ครั้งแรก ผมไม่คิดจะอยู่นาน ผมทำเงินได้เรียบร้อย และขณะนี้ก็มีคนจับตามอง IoT เป็นจำนวนมาก ดังนั้นมันถึงเวลาแล้วที่ผมจะจรลีหนีไป” — Anna-senpai ระบุในโพสต์ของตน “ดังนั้นวันนี้ ผมมีของเล่นที่น่าตื่นตาตื่นใจมามอบให้คุณ ด้วยการใช้ Mirai ผมสามารถสร้างบ็อทกว่า 380,000 เครื่องจากการ Telnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากเกิดเหตุ DDoS บนเว็บของ Krebs ทำให้ ISP เริ่มปิดและจัดการคลีนระบบของตน ทำให้วันนี้สามารถสร้างบ็อทได้เพียง 300,000 เครื่องเท่านั้น และมีแนวโน้มที่จะลดลงอีกด้วย”

โทรจัน Mirai เน้นพุ่งเป้าที่ Router, DVR, WebIP Camera, Linux Servers และอุปกรณ์ Internet of Things ที่รัน Busybnox โดยแฮ็คเกอร์จะค้นหาอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานและเข้าควบคุมอุปกรณ์นั้นๆ ผ่านทาง Telnet หรือ SSH จากนั้นก็ทำการโหลดมัลแวร์เข้าไปเพื่อทำหน้าที่เป็น Botnet ควบคุมอุปกรณ์ให้รับคำสั่งตามที่แฮ็คเกอร์ต้องการ

Mirai เรียกได้ว่าเป็นมัลแวร์ที่พัฒนาสืบทอดมาจากโทรจัน Bashlite (หรือ Gafgyt, Torlus) ซึ่งสามารถบังคับให้อุปกรณ์ทำการโจมตีแบบ DoS ไปยังเป้าหมายได้หลายวิธี เช่น UDP, DNS และ HTTP Floods, UDP Floods over GRE และ TCP Floods หลากหลายรูปแบบ เป็นต้น เมื่อผสานรวมเข้ากับปริมาณอุปกรณ์ IoT จำนวนมหาศาลทั่วโลก จึงทำให้สามารถสร้างทราฟฟิคขนาดใหญ่ระดับ 600 Gbps เพื่อโจมตีเป้าหมายได้เป็นผลสำเร็จ

Krebs ระบุเพิ่มเติมว่า อุปกรณ์ที่ติดมัลแวร์ Mirai สามารถจัดการคลีนได้ด้วยการรีสตาร์ทอุปกรณ์ เพราะจะเป็นการเคลียร์มัลแวร์ออกจาก Memory อย่างไรก็ตาม อุปกรณ์เหล่านั้นมักมีแนวโน้มที่จะติดมัลแวร์ใหม่อีกรอบภายในไม่กี่นาทีหลังรีสตาร์ท เนื่องจากยังใช้รหัสผ่านดั้งเดิมจากโรงงาน ทางที่ดีที่สุดคือทำการเปลี่ยนรหัสผ่านใหม่ให้มีความแข็งแกร่ง

ที่มา: https://www.helpnetsecurity.com/2016/10/03/leaked-source-code-mirai-iot-ddos-botnet/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่บนโปรแกรม BlueStacks แนะผู้ใช้เร่งอัปเดต

มีการค้นพบช่องโหว่ DNS Rebinding บนโปรแกรมจำลองแอนดรอยด์ BlueStacks ซึ่งนำไปสู่การลอบรันโค้ดได้ ดังนั้นผู้ใช้งาน (คอเกมทั้งหลายอาทิ เช่น Ragnarok, PUBG หรืออื่นๆ) ควรอัปเดตกันด้วยครับ

พบมัลแวร์ทำลายล้างอุปกรณ์ IoT ใหม่ ‘Silex’ คาดฝีมือแฮ็กเกอร์วัย 14 ปี

Larry Cashdollar นักวิจัยด้านความมั่นคงปลอดภัยจาก Akamai ได้รายงานพบมัลแวร์ประเภททำลายล้างตัวใหม่ โดยให้ชื่อว่า ‘Silex’ ที่ได้เข้าไปลบพื้นที่บนอุปกรณ์ IoT หรือปฏิบัติการอื่นที่ทำให้อุปกรณ์ไม่สามารถใช้การได้ โดยหลังจากมัลแวร์ปฏิบัติการได้เพียงไม่กี่ชั่วโมงมีอุปกรณ์ถูกโจมตีแล้วกว่า 2,000 ชิ้น