กลายเป็นดาบ 2 คม เมื่อแฮ็คเกอร์ซ่อนมัลแวร์ไว้ใน Let’s Encrypt Certificate

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

malware_1

ลอบส่งมัลแวร์ผ่านลิงค์โฆษณา

นักวิจัยด้านความปลอดภัยจาก Trend Micro ระบุว่า แฮ็คเกอร์ได้ทำการแทรกซึมเข้าไปในเว็บไซต์ปกติเว็บไซต์หนึ่ง แล้วทำการสร้าง Subdomain ขึ้นมาใหม่ที่จะเชื่อมโยงผู้ใช้ไปสู่เซิฟเวอร์ที่อยู่ภายใต้การควบคุมของแฮ็คเกอร์ เมื่อผู้ใช้หลงเข้ามาใน Subdomain ดังกล่าว บนหน้าเว็บไซต์จะแสดงลิงค์โฆษณาที่จะนำผู้ใช้เข้าไปสู่ไซต์ที่ติดตั้ง Angler Exploit Kit ซึ่งพร้อมที่จะลอบติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้ทันทีที่ผู้ใช้เผลอกด

ใช้ Certificate จาก Let’s Encrypt เพื่อเพิ่มความน่าเชื่อถือ

Malvertising รูปแบบนี้ก็เหมือนแคมเปญทั่วๆไปที่แฮ็คเกอร์ใช้กันมานาน แต่ต่างกันตรงที่ว่า Subdomain ดังกล่าวมีการใช้ SSL/TLS Certificate ที่เข้ารหัสทราฟฟิคระหว่างเครื่องเซิฟเวอร์และเครื่องผู้ใช้ ซึ่ง Certificate ดังกล่าวออกโดย Let’s Encrypt โปรเจ็คท์ที่ให้บริการ Digital Certificate ฟรี เพื่อผลักดันให้เจ้าของเว็บไซต์หันมาใช้เว็บไซต์แบบ HTTPS เพื่อเพิ่มความปลอดภัยมากยิ่งขึ้น

lets_encrypt

HTTPS ไม่ได้หมายความว่าข้างในจะปลอดภัย

แฮ็คเกอร์คงทราบดีว่า ปัจจุบันนี้ผู้ใช้เริ่มตระหนักถึงความปลอดภัยบนโลกอินเทอร์เน็ต จึงมีการระมัดระวังในการเข้าถึงเว็บไซต์ที่ไม่ใช่ HTTPS ในทางกลับกัน กลายเป็นว่าเมื่อผู้ใช้เห็นว่าตนเองกำลังเล่นเน็ตผ่าน HTTPS ก็จะเชื่อสนิททันทีว่าเว็บไซต์นั้นๆต้องปลอดภัยอย่างแน่นอน แฮ็คเกอร์จึงอาศัยช่องโหว่ตรงจุดนี้ในการโจมตีผู้ใช้ นอกจากนี้ การเข้ารหัสทราฟฟิคยังช่วยปิดบังมัลแวร์จากระบบรักษาความปลอดภัยได้เป็นอย่างดีอีกด้วย

ไม่มีนโยบายการเพิกถอน Certificate

โดยปกติแล้ว CA สามารถเพิกถอน Certificate ได้ในกรณีที่ค้นพบว่าเว็บไซต์ที่ขอ Certificate ไปเป็นเว็บไซต์อันตราย อย่างไรก็ตาม ทาง Let’s Encrypt กลับไม่มีนโยบายในการเพิกถอน Certificate (ดูคำอธิบายของ Let’s Encrypt ได้ที่นี่) แต่ Let’s Encrypt จะใช้วิธีการตรวจสอบเว็บไซต์จาก Google’s Safe Browsing API ว่าเว็บไซต์ดังกล่าวเป็นเว็บ Phishing หรือมีมัลแวร์แฝงอยู่หรือไม่แทน ถ้าเป็นเว็บไซต์อันตรายก็จะไม่ทำการออก Certificate ให้

อย่างไรก็ตาม ต่อให้ CA เพิกถอน Certificate ไป แฮ็คเกอร์ก็สามารถเปลี่ยนโดเมนแล้วทำการร้องขอ Certificate ใหม่เพื่อโจมตีผู้ใช้ต่อได้ทันที Trend Micro จึงแนะนำผู้ให้บริการโฆษณาออนไลน์มีระบบตรวจสอบภายใน เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องทางโฆษณาในการแฝงมัลแวร์เข้าสู่เครื่องผู้ใช้

ที่มา: http://www.networkworld.com/article/3019898/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ PDF Reader บน Google Chrome อีกครั้ง เสี่ยงถูกโจมตีด้วย Code Execution

นักวิจัยจาก Talos ทีม Threat Intelligence ของ Cisco ค้นพบช่องโหว่ off-by-one read/write บน PDFium ซึ่งเป็น PDF Reader …

Google Chrome เตรียมเพิ่ม Permission สำหรับหยุดการขุดเหมืองเงินดิจิทัลผ่านเบราเซอร์

ทีมวิศวกรของ Google Chrome กำลังเตรียมหารือกันเพื่อเพิ่ม Permission ใหม่ลงไปในเว็บเบราเซอร์สำหรับควบคุมการขโมยทรัพยากรจากเครื่องผู้ใช้เพื่อแอบขุดเหมืองเงินดิจิทัลโดยไม่ได้รับอนุญาต หลังพบว่าการขุดเหมืองเงินดิจิทัลบนเว็บเบราเซอร์กำลังเป็นกระแสมากขึ้นเรื่อยๆ

ปิดโหมดสีเทา