Breaking News

พบซอร์สโค้ด Mirai IoT DDoS Botnet เผยแพร่บน Hack Forums

ต้นเหตุ DDoS ขนาด 665 Gbps โจมตีเว็บไซต์ KrebsOnSecurity.com เมื่อเดือนที่ผ่านมา

Brian Krebs เจ้าของเว็บไซต์ KrebsOnSecurity.com ที่เพิ่งถูกโจมตีแบบ DDoS ขนาด 665 Gbps ไปเมื่อเดือนที่ผ่านมา ออกมาระบุว่า ค้นพบซอร์สโค้ดของมัลแวร์ Mirai ที่ใช้สร้าง Botnet มาเพื่อโจมตีเว็บไซต์ของตนบนคอมมูนิตี้ของแฮ็คเกอร์ชื่อดังอย่าง Hack Forums ซึ่งซอร์สโค้ดดังกล่าวถูกโพสต์โดยผู้ใช้ชื่อ “Anna-senpai”

Credit: Ditty about summer/ShutterStock
Credit: Ditty about summer/ShutterStock

“เมื่อผมก้าวเข้ามาในธุรกิจ DDoS ครั้งแรก ผมไม่คิดจะอยู่นาน ผมทำเงินได้เรียบร้อย และขณะนี้ก็มีคนจับตามอง IoT เป็นจำนวนมาก ดังนั้นมันถึงเวลาแล้วที่ผมจะจรลีหนีไป” — Anna-senpai ระบุในโพสต์ของตน “ดังนั้นวันนี้ ผมมีของเล่นที่น่าตื่นตาตื่นใจมามอบให้คุณ ด้วยการใช้ Mirai ผมสามารถสร้างบ็อทกว่า 380,000 เครื่องจากการ Telnet เพียงอย่างเดียว อย่างไรก็ตาม หลังจากเกิดเหตุ DDoS บนเว็บของ Krebs ทำให้ ISP เริ่มปิดและจัดการคลีนระบบของตน ทำให้วันนี้สามารถสร้างบ็อทได้เพียง 300,000 เครื่องเท่านั้น และมีแนวโน้มที่จะลดลงอีกด้วย”

โทรจัน Mirai เน้นพุ่งเป้าที่ Router, DVR, WebIP Camera, Linux Servers และอุปกรณ์ Internet of Things ที่รัน Busybnox โดยแฮ็คเกอร์จะค้นหาอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานและเข้าควบคุมอุปกรณ์นั้นๆ ผ่านทาง Telnet หรือ SSH จากนั้นก็ทำการโหลดมัลแวร์เข้าไปเพื่อทำหน้าที่เป็น Botnet ควบคุมอุปกรณ์ให้รับคำสั่งตามที่แฮ็คเกอร์ต้องการ

Mirai เรียกได้ว่าเป็นมัลแวร์ที่พัฒนาสืบทอดมาจากโทรจัน Bashlite (หรือ Gafgyt, Torlus) ซึ่งสามารถบังคับให้อุปกรณ์ทำการโจมตีแบบ DoS ไปยังเป้าหมายได้หลายวิธี เช่น UDP, DNS และ HTTP Floods, UDP Floods over GRE และ TCP Floods หลากหลายรูปแบบ เป็นต้น เมื่อผสานรวมเข้ากับปริมาณอุปกรณ์ IoT จำนวนมหาศาลทั่วโลก จึงทำให้สามารถสร้างทราฟฟิคขนาดใหญ่ระดับ 600 Gbps เพื่อโจมตีเป้าหมายได้เป็นผลสำเร็จ

Krebs ระบุเพิ่มเติมว่า อุปกรณ์ที่ติดมัลแวร์ Mirai สามารถจัดการคลีนได้ด้วยการรีสตาร์ทอุปกรณ์ เพราะจะเป็นการเคลียร์มัลแวร์ออกจาก Memory อย่างไรก็ตาม อุปกรณ์เหล่านั้นมักมีแนวโน้มที่จะติดมัลแวร์ใหม่อีกรอบภายในไม่กี่นาทีหลังรีสตาร์ท เนื่องจากยังใช้รหัสผ่านดั้งเดิมจากโรงงาน ทางที่ดีที่สุดคือทำการเปลี่ยนรหัสผ่านใหม่ให้มีความแข็งแกร่ง

ที่มา: https://www.helpnetsecurity.com/2016/10/03/leaked-source-code-mirai-iot-ddos-botnet/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Atlassian ประกาศแพตช์ช่องโหว่ร้ายแรงบน Jira Server และ Data Center

Atlassian ได้ประกาศแพตช์ช่องโหว่ร้ายรายให้ Jira Server และ Data Center ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ดได้ นอกจากจากนี้ยังมีช่องโหว่ร้ายแรงอีกรายการของ Jira Service Desk ด้วย

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง