Breaking News

พบซอร์สโค้ด Mirai IoT DDoS Botnet เผยแพร่บน Hack Forums

ต้นเหตุ DDoS ขนาด 665 Gbps โจมตีเว็บไซต์ KrebsOnSecurity.com เมื่อเดือนที่ผ่านมา

Brian Krebs เจ้าของเว็บไซต์ KrebsOnSecurity.com ที่เพิ่งถูกโจมตีแบบ DDoS ขนาด 665 Gbps ไปเมื่อเดือนที่ผ่านมา ออกมาระบุว่า ค้นพบซอร์สโค้ดของมัลแวร์ Mirai ที่ใช้สร้าง Botnet มาเพื่อโจมตีเว็บไซต์ของตนบนคอมมูนิตี้ของแฮ็คเกอร์ชื่อดังอย่าง Hack Forums ซึ่งซอร์สโค้ดดังกล่าวถูกโพสต์โดยผู้ใช้ชื่อ “Anna-senpai”

Credit: Ditty about summer/ShutterStock
Credit: Ditty about summer/ShutterStock

“เมื่อผมก้าวเข้ามาในธุรกิจ DDoS ครั้งแรก ผมไม่คิดจะอยู่นาน ผมทำเงินได้เรียบร้อย และขณะนี้ก็มีคนจับตามอง IoT เป็นจำนวนมาก ดังนั้นมันถึงเวลาแล้วที่ผมจะจรลีหนีไป” — Anna-senpai ระบุในโพสต์ของตน “ดังนั้นวันนี้ ผมมีของเล่นที่น่าตื่นตาตื่นใจมามอบให้คุณ ด้วยการใช้ Mirai ผมสามารถสร้างบ็อทกว่า 380,000 เครื่องจากการ Telnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากเกิดเหตุ DDoS บนเว็บของ Krebs ทำให้ ISP เริ่มปิดและจัดการคลีนระบบของตน ทำให้วันนี้สามารถสร้างบ็อทได้เพียง 300,000 เครื่องเท่านั้น และมีแนวโน้มที่จะลดลงอีกด้วย”

โทรจัน Mirai เน้นพุ่งเป้าที่ Router, DVR, WebIP Camera, Linux Servers และอุปกรณ์ Internet of Things ที่รัน Busybnox โดยแฮ็คเกอร์จะค้นหาอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานและเข้าควบคุมอุปกรณ์นั้นๆ ผ่านทาง Telnet หรือ SSH จากนั้นก็ทำการโหลดมัลแวร์เข้าไปเพื่อทำหน้าที่เป็น Botnet ควบคุมอุปกรณ์ให้รับคำสั่งตามที่แฮ็คเกอร์ต้องการ

Mirai เรียกได้ว่าเป็นมัลแวร์ที่พัฒนาสืบทอดมาจากโทรจัน Bashlite (หรือ Gafgyt, Torlus) ซึ่งสามารถบังคับให้อุปกรณ์ทำการโจมตีแบบ DoS ไปยังเป้าหมายได้หลายวิธี เช่น UDP, DNS และ HTTP Floods, UDP Floods over GRE และ TCP Floods หลากหลายรูปแบบ เป็นต้น เมื่อผสานรวมเข้ากับปริมาณอุปกรณ์ IoT จำนวนมหาศาลทั่วโลก จึงทำให้สามารถสร้างทราฟฟิคขนาดใหญ่ระดับ 600 Gbps เพื่อโจมตีเป้าหมายได้เป็นผลสำเร็จ

Krebs ระบุเพิ่มเติมว่า อุปกรณ์ที่ติดมัลแวร์ Mirai สามารถจัดการคลีนได้ด้วยการรีสตาร์ทอุปกรณ์ เพราะจะเป็นการเคลียร์มัลแวร์ออกจาก Memory อย่างไรก็ตาม อุปกรณ์เหล่านั้นมักมีแนวโน้มที่จะติดมัลแวร์ใหม่อีกรอบภายในไม่กี่นาทีหลังรีสตาร์ท เนื่องจากยังใช้รหัสผ่านดั้งเดิมจากโรงงาน ทางที่ดีที่สุดคือทำการเปลี่ยนรหัสผ่านใหม่ให้มีความแข็งแกร่ง

ที่มา: https://www.helpnetsecurity.com/2016/10/03/leaked-source-code-mirai-iot-ddos-botnet/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco ประกาศออกโซลูชัน Industrial IoT Security

Cisco ได้ประกาศออกโซลูชันด้านความมั่นคงปลอดภัยสำหรับ IoT ในภาคอุตสาหกรรมหรือ Industrial IoT (IIoT)

ผู้เชี่ยวชาญเตือนความเสี่ยงต่อเครือข่าย LoRaWAN

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก IOActive ได้ออกมาเตือนโดยอ้างผลศึกษาของโปรโตคอล LoRaWAN ที่ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ กับอุปกรณ์ IoT ว่ามีความเสี่ยงที่จะถูกโจมตีได้หลายจุด