Advertisement

กลายเป็นดาบ 2 คม เมื่อแฮ็คเกอร์ซ่อนมัลแวร์ไว้ใน Let’s Encrypt Certificate

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

malware_1

ลอบส่งมัลแวร์ผ่านลิงค์โฆษณา

นักวิจัยด้านความปลอดภัยจาก Trend Micro ระบุว่า แฮ็คเกอร์ได้ทำการแทรกซึมเข้าไปในเว็บไซต์ปกติเว็บไซต์หนึ่ง แล้วทำการสร้าง Subdomain ขึ้นมาใหม่ที่จะเชื่อมโยงผู้ใช้ไปสู่เซิฟเวอร์ที่อยู่ภายใต้การควบคุมของแฮ็คเกอร์ เมื่อผู้ใช้หลงเข้ามาใน Subdomain ดังกล่าว บนหน้าเว็บไซต์จะแสดงลิงค์โฆษณาที่จะนำผู้ใช้เข้าไปสู่ไซต์ที่ติดตั้ง Angler Exploit Kit ซึ่งพร้อมที่จะลอบติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้ทันทีที่ผู้ใช้เผลอกด

ใช้ Certificate จาก Let’s Encrypt เพื่อเพิ่มความน่าเชื่อถือ

Malvertising รูปแบบนี้ก็เหมือนแคมเปญทั่วๆไปที่แฮ็คเกอร์ใช้กันมานาน แต่ต่างกันตรงที่ว่า Subdomain ดังกล่าวมีการใช้ SSL/TLS Certificate ที่เข้ารหัสทราฟฟิคระหว่างเครื่องเซิฟเวอร์และเครื่องผู้ใช้ ซึ่ง Certificate ดังกล่าวออกโดย Let’s Encrypt โปรเจ็คท์ที่ให้บริการ Digital Certificate ฟรี เพื่อผลักดันให้เจ้าของเว็บไซต์หันมาใช้เว็บไซต์แบบ HTTPS เพื่อเพิ่มความปลอดภัยมากยิ่งขึ้น

lets_encrypt

HTTPS ไม่ได้หมายความว่าข้างในจะปลอดภัย

แฮ็คเกอร์คงทราบดีว่า ปัจจุบันนี้ผู้ใช้เริ่มตระหนักถึงความปลอดภัยบนโลกอินเทอร์เน็ต จึงมีการระมัดระวังในการเข้าถึงเว็บไซต์ที่ไม่ใช่ HTTPS ในทางกลับกัน กลายเป็นว่าเมื่อผู้ใช้เห็นว่าตนเองกำลังเล่นเน็ตผ่าน HTTPS ก็จะเชื่อสนิททันทีว่าเว็บไซต์นั้นๆต้องปลอดภัยอย่างแน่นอน แฮ็คเกอร์จึงอาศัยช่องโหว่ตรงจุดนี้ในการโจมตีผู้ใช้ นอกจากนี้ การเข้ารหัสทราฟฟิคยังช่วยปิดบังมัลแวร์จากระบบรักษาความปลอดภัยได้เป็นอย่างดีอีกด้วย

ไม่มีนโยบายการเพิกถอน Certificate

โดยปกติแล้ว CA สามารถเพิกถอน Certificate ได้ในกรณีที่ค้นพบว่าเว็บไซต์ที่ขอ Certificate ไปเป็นเว็บไซต์อันตราย อย่างไรก็ตาม ทาง Let’s Encrypt กลับไม่มีนโยบายในการเพิกถอน Certificate (ดูคำอธิบายของ Let’s Encrypt ได้ที่นี่) แต่ Let’s Encrypt จะใช้วิธีการตรวจสอบเว็บไซต์จาก Google’s Safe Browsing API ว่าเว็บไซต์ดังกล่าวเป็นเว็บ Phishing หรือมีมัลแวร์แฝงอยู่หรือไม่แทน ถ้าเป็นเว็บไซต์อันตรายก็จะไม่ทำการออก Certificate ให้

อย่างไรก็ตาม ต่อให้ CA เพิกถอน Certificate ไป แฮ็คเกอร์ก็สามารถเปลี่ยนโดเมนแล้วทำการร้องขอ Certificate ใหม่เพื่อโจมตีผู้ใช้ต่อได้ทันที Trend Micro จึงแนะนำผู้ให้บริการโฆษณาออนไลน์มีระบบตรวจสอบภายใน เพื่อป้องกันไม่ให้แฮ็คเกอร์ใช้ช่องทางโฆษณาในการแฝงมัลแวร์เข้าสู่เครื่องผู้ใช้

ที่มา: http://www.networkworld.com/article/3019898/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Seagate จับมือ DJI เปิดตัว 2TB HDD สำหรับ Drone โดยเฉพาะ

เพื่อตอบโจทย์การบันทึกภาพวิดีโอความละเอียดสูงของ Drone ให้ได้เป็นเวลานาน ทาง Seagate จึงได้จับมือกับ DJI เพื่อพัฒนา Fly Drive อุปกรณ์ HDD ความจุ 2TB สำหรับติดตั้งไปกับ …

Google Cloud ประกาศ จะแซง Amazon Web Services ให้ได้ภายในปี 2022

Diane Greene หัวหน้าของ Google Cloud ได้ออกมาเปิดเผยในงาน CIO Summit ซึ่งจัดโดย Forbes ว่า Google Cloud นั้นจะแซง Amazon …