Breaking News

พบความเคลื่อนไหวใหม่ในการกระจาย MIRAI Botnet

Qihoo 360 Netlab ทีมนักวิจัยด้านความปลอดภัยระบบเครือข่ายได้รายงานเมื่อวันศุกร์ที่ผ่านมาว่ากำลังติดตามกิจกรรมที่น่าจะเชื่อมโยงกับ Mirai โดยกิจกรรมที่เกิดขึ้นมีเป้าหมายที่พอร์ต 23 และ 2323 ที่อุปกรณ์ ZyXEL ใช้เชื่อมต่ออินเตอร์เน็ตและมี Credential ของ Telnet ดั้งเดิมคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem

Netlab กล่าวว่ากิจกรรมใหม่ที่เชื่อมโยงกับ Mirai นี้ใช้ประโยชน์จาก Credential ใหม่ 2 ตัวคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem ยืนยันได้จากฐานข้อมูลการเจาะระบบเมื่อเดือนที่ผ่านมา นอกจากนี้นักวิจัยยังกล่าวว่าผู้โจมตีได้ใช้ Telnet Credential ดังกล่าวเข้าไปยัง ZyXEL และใช้ช่องโหว่รหัส CVE-2016-10401 เพื่อยกระดับสิทธิ์เป็น Root บนอุปกรณ์เป้าหมาย

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ ‘อุปกรณ์ ZyXEL PK5001Z มี zyad5001 เป็นรหัสผ่านของ SU(Superuser) นั่นทำให้ผู้โจมตีสามารถได้สิทธิ์ Root เพียงทราบรหัสผ่านบัญชีผู้ใช้ที่ไม่ใช่ Root (หรือบัญชีดั้งเดิมที่มากับการติดตั้งอุปกรณ์ของ ISP)’ ทีมนักวิจัยกล่าวว่าผู้โจมตีได้ใช้ข้อมูลช่องโหว่ที่ถูกประกาศออกต่อสาธรณะเมื่อเดือนตุลาคม

จากข้อมูลของทีมนักวิจัย Qihoo 360 Netlab ได้พบการเริ่มใช้งาน Credential 2 ตัวที่กล่าวข้างต้นเมื่อวันที่ 22 พฤศจิกายนและหลังจาก 60 ชั่วโมงผ่านไป พบว่ากิจกรรมดังกล่าวมีปริมาณเกือบ 100k จาก Scanner IP ในประเทศอาเจนติน่า ซึ่งนักวิจัยค่อนข้างมั่นใจว่าเป็น Mirai โดยในปี 2016 Botnet ตัวนี้ได้กระจายตัวด้วยการใช้รหัสผ่านดั้งเดิมไปยังอุปกรณ์ IoT จำนวนมาก ซึ่งตั้งแต่ Mirai Botnet ได้เริ่มปฏิบัติการสถิติจาก 1 สิงหาคม 2016 ถึง 31 กรกฎาคม 2017 มี IPv4 ของอุปกรณ์ IoT ที่ได้รับผลกระทบไปกว่า 184,258 อุปกรณ์

ที่มา : https://threatpost.com/newly-published-exploit-code-used-to-spread-marai-variant/128998/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก

รหัสผ่านความยาว 8 ตัวอักษรไม่ปลอดภัยอีกต่อไป อาจถูกถอดได้ในเวลาเพียง 2.5 ชั่วโมง

ทีมพัฒนา HashCat ได้ออกมาเล่าถึงประสิทธิภาพของ HashCat 6.0.0 Beta ที่ใช้การ์ดจอ Nvidia GTX 2080Ti จำนวน 8 ชุด ซึ่งสามารถถอดรหัสผ่านสำหรับ NTLM ได้ด้วยความเร็ว 100 Gigahashes per Second (GH/s) หรือเรียกง่ายๆ ว่ารหัสผ่านความยาว 8 ตัวอักษรนั้นสามารถถูกถอดได้ภายในเวลาประมาณ 2.5 ชั่วโมง