พบ Mirai เวอร์ชันใหม่ ใช้อุปกรณ์ระบบปฏิบัติการ Windows เป็นฐานแพร่กระจายตัว

ปฏิเสธไม่ได้ว่ามัลแวร์ Mirai เป็นภัยคุกคามที่อันตรายที่สุดของอุปกรณ์ IoT ในปัจจุบัน Mirai สามารถเข้าควบคุมอุปกรณ์ IoT เช่น CCTV, DVR และอื่นๆ เพื่อเปลี่ยนเป็น Botnet สำหรับโจมตี DDoS ไปยังเป้าหมายที่ต้องการ ดังที่ปรากฏในข่าวเมื่อช่วงปลายปีที่ผ่านมา ไม่ว่าจะกรณี KrebsOnSecurity.com, OVH หรือ Dyn DNS

ข่าวร้ายคือ Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศว่า มัลแวร์ Mirai ไม่ได้มีเวอร์ชันสำหรับโจมตีอุปกรณ์ IoT ระบบปฏิบัติการ Linux อย่างเดียวอีกต่อไป เนื่องจากพวกเขาค้นพบโทรจันตัวใหม่ สามารถแพร่กระจายมัลแวร์ Mirai ไปยังอุปกรณ์ IoT ที่รันระบบปฏิบัติการ Windows ได้ด้วยเช่นกัน

มัลแวร์ Mirai เวอร์ชันมาตรฐาน (Linux.Mirai) เมื่อแพร่กระจายเข้าสู่อุปกรณ์​ IoT ได้แล้ว จะสุ่มหมายเลข IP และพยายามล็อกอินไปยัง IP นั้นๆ ผ่านทาง Telnet โดยใช้ Credential ดั้งเดิมที่มาจากโรงงาน สายพันธุ์ย่อยของ Mirai เวอร์ชันหลังๆ สามารถโจมตีผ่าน SSH ได้ อย่างไรก็ตาม Mirai จะแพร่กระจายตัวเองไปยังอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux เท่านั้น

แต่ Mirai เวอร์ชันล่าสุดที่เพิ่งค้นพบนี้ (Trojan.Mirai.1) ช่วยให้แฮ็คเกอร์สามารถโจมตีได้ทั้งระบบปฏิบัติการ Linux และ Windows ในกรณีที่แพร่กระจายตัวไปยังอุปกรณ์ Linux มัลแวร์ Mirai จะทำการเปลี่ยนอุปกรณ์ดังกล่าวให้กลายเป็น Botnet เพื่อรอรับคำสั่งการโจมตีแบบ DDoS แล้วค่อยแพร่กระจายตัวต่อไป แต่ในกรณีที่เป็นอุปกรณ์ Windows ถ้าสามารถคาดเดารหัสผ่านได้สำเร็จ Mirai จะใช้อุปกรณ์ดังกล่าวเป็นฐานในการสุ่มหมายเลข IP และดำเนินการโจมตีเป้าหมายใหม่ต่อไป (ไม่ได้เปลี่ยนเป็น Botnet)

นอกจากนี้ Mirai บน Windows ยังถูกออกแบบมาเพื่อโจมตีผ่านพอร์ตหลายพอร์ต ได้แก่ Telnet (22), SSH (23), DCE/RPC (135), Active Directory (445), MsSQL (1433), MySQL (3306) และ RDP (3389) ถ้าสามารถแพร่กระจายตัวเข้าไปยังระบบฐานข้อมูล เช่น MsSQL หรือ MySQL ได้ มัลแวร์ Mirai จะถูกสั่งให้สร้างผู้ใช้ใหม่ที่มีสิทธิ์ระดับ Admin สำหรับใช้ขโมยข้อมูลออกมาด้วย

Dr.Web เพิ่งค้นพบ Mirai เวอร์ชันใหม่เมื่อต้นเดือนที่ผ่านมา จึงยังระบุไม่ได้แน่ชัดว่าจะส่งผลกระทบอะไรต่อระบบนิเวศของ Mirai ในปัจจุบันบ้า

ที่มา: https://www.bleepingcomputer.com/news/security/mirai-gets-a-windows-version-to-boost-distribution-efforts/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

เตือนเว็บ Office 365 ปลอม เสี่ยงถูกหลอกลง Trickbot Trojan ขโมยรหัสผ่าน

MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้