กลายเป็นดาบ 2 คม เมื่อแฮ็คเกอร์ซ่อนมัลแวร์ไว้ใน Let’s Encrypt Certificate

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

ลอบส่งมัลแวร์ผ่านลิงค์โฆษณา

นักวิจัยด้านความปลอดภัยจาก Trend Micro ระบุว่า แฮ็คเกอร์ได้ทำการแทรกซึมเข้าไปในเว็บไซต์ปกติเว็บไซต์หนึ่ง แล้วทำการสร้าง Subdomain ขึ้นมาใหม่ที่จะเชื่อมโยงผู้ใช้ไปสู่เซิฟเวอร์ที่อยู่ภายใต้การควบคุมของแฮ็คเกอร์ เมื่อผู้ใช้หลงเข้ามาใน Subdomain ดังกล่าว บนหน้าเว็บไซต์จะแสดงลิงค์โฆษณาที่จะนำผู้ใช้เข้าไปสู่ไซต์ที่ติดตั้ง Angler Exploit Kit ซึ่งพร้อมที่จะลอบติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้ทันทีที่ผู้ใช้เผลอกด

ใช้ Certificate จาก Let’s Encrypt เพื่อเพิ่มความน่าเชื่อถือ

Malvertising รูปแบบนี้ก็เหมือนแคมเปญทั่วๆไปที่แฮ็คเกอร์ใช้กันมานาน แต่ต่างกันตรงที่ว่า Subdomain ดังกล่าวมีการใช้ SSL/TLS Certificate ที่เข้ารหัสทราฟฟิคระหว่างเครื่องเซิฟเวอร์และเครื่องผู้ใช้ ซึ่ง Certificate ดังกล่าวออกโดย Let’s Encrypt โปรเจ็คท์ที่ให้บริการ Digital Certificate ฟรี เพื่อผลักดันให้เจ้าของเว็บไซต์หันมาใช้เว็บไซต์แบบ HTTPS เพื่อเพิ่มความปลอดภัยมากยิ่งขึ้น

HTTPS ไม่ได้หมายความว่าข้างในจะปลอดภัย

แฮ็คเกอร์คงทราบดีว่า ปัจจุบันนี้ผู้ใช้เริ่มตระหนักถึงความปลอดภัยบนโลกอินเทอร์เน็ต จึงมีการระมัดระวังในการเข้าถึงเว็บไซต์ที่ไม่ใช่ HTTPS ในทางกลับกัน กลายเป็นว่าเมื่อผู้ใช้เห็นว่าตนเองกำลังเล่นเน็ตผ่าน HTTPS ก็จะเชื่อสนิททันทีว่าเว็บไซต์นั้นๆต้องปลอดภัยอย่างแน่นอน แฮ็คเกอร์จึงอาศัยช่องโหว่ตรงจุดนี้ในการโจมตีผู้ใช้ นอกจากนี้ การเข้ารหัสทราฟฟิคยังช่วยปิดบังมัลแวร์จากระบบรักษาความปลอดภัยได้เป็นอย่างดีอีกด้วย

ไม่มีนโยบายการเพิกถอน Certificate

โดยปกติแล้ว CA สามารถเพิกถอน Certificate ได้ในกรณีที่ค้นพบว่าเว็บไซต์ที่ขอ Certificate ไปเป็นเว็บไซต์อันตราย อย่างไรก็ตาม ทาง Let’s Encrypt กลับไม่มีนโยบายในการเพิกถอน Certificate (ดูคำอธิบายของ Let’s Encrypt ได้ที่นี่) แต่ Let’s Encrypt จะใช้วิธีการตรวจสอบเว็บไซต์จาก Google’s Safe Browsing API ว่าเว็บไซต์ดังกล่าวเป็นเว็บ Phishing หรือมีมัลแวร์แฝงอยู่หรือไม่แทน ถ้าเป็นเว็บไซต์อันตรายก็จะไม่ทำการออก Certificate ให้

อย่างไรก็ตาม ต่อให้ CA เพิกถอน Certificate ไป แฮ็คเกอร์ก็สามารถเปลี่ยนโดเมนแล้วทำการร้องขอ Certificate ใหม่เพื่อโจมตีผู้ใช้ต่อได้ทันที Trend Micro จึงแนะนำผู้ให้บริการโฆษณาออนไลน์มีระบบตรวจสอบภายใน เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องทางโฆษณาในการแฝงมัลแวร์เข้าสู่เครื่องผู้ใช้

ที่มา: http://www.networkworld.com/article/3019898/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html