Black Hat Asia 2023

SANS ขอความร่วมมือ ค้นหารูปแบบการโจมตีอุปกรณ์ IoT ผ่านการทำ Honeypot

SANS Institute ศูนย์อบรมด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังของสหรัฐฯ ออกมาขอความร่วมมือผู้ดูแลระบบทั่วโลกในการค้นหารูปแบบของการโจมตีแบบ IoT-based Botnet Attack ซึ่งเป็นสาเหตุของการสร้างกองทัพซอมบี้ของอุปกรณ์ IoT ผ่านทางการทำ Honeypot พร้อมเผยผลวิเคราะห์เบื้องต้นให้ประชาชนรับทราบ

Credit: ShutterStock.com
Credit: ShutterStock.com

IoT-based Botnet Attack เป็นการโจมตีอุปกรณ์ IoT เช่น Router, IP Camera หรือ DVR เพื่อทำให้อุปกรณ์เหล่านั้นกลายเป็น Botnet พร้อมรับคำสั่งของแฮ็คเกอร์ในการโจมตี DDoS ไปยังเป้าหมายเหมือนอย่างที่บล็อกด้าน IT Security ชื่อดังอย่าง KrebsOnSecurity.com โดนถล่มไปด้วยขนาดกว่า 665 Gbps เมื่อเดือนที่ผ่านมา

ในการขอความร่วมมือนี้ SANS ร้องขอให้ผู้ที่สนใจรันโปรแกรม Honeypot ขื่อ “Cowrie” เวอร์ชันล่าสุด เพื่อช่วยกันเก็บข้อมูลพฤติกรรมการโจมตีอุปกรณ์ IoT รวมไปถึงการเปลี่ยนแปลงต่างๆ ที่อาจเกิดขึ้นในอนาคตอันใกล้ เพื่อให้ผู้ดูแลระบบและประชาชนทั่วไปสามารถปกป้องอุปกรณ์ของตนจากการตกเป็นเหยื่อของ IoT-based Botnet Attack ได้

การเก็บข้อมูลนี้เน้นโฟกัสที่อุปกรณ์ DVR (Digital Video Recorder) ที่ใช้รหัสผ่านดั้งเดิมจากโรงงานหรือไม่ได้ทำการอัปเดตแพทช์ล่าสุด ซึ่งทาง SANS ได้ทำการทดสอบ Honeypot เบื้องต้นดูแล้ว พบว่ามีการสแกนผ่านทาง Telnet เข้ามามากมายหลังเชื่อมต่อกับอินเทอร์เน็ต โดยใช้รหัสผ่านดั้งเดิมจากโรงงาน เช่น xc3511 และ 7ujMko0 ซึ่งเป็นรหัสผ่านของอุปกรณ์จากจีน เป็นต้น

จากการเก็บข้อมูลผ่านทาง Honeypot ทำให้ได้ข้อสรุปรูปแบบของการโจมตีเบื้องต้น ดังนี้

  • พยายามล็อกอินโดยใช้รหัสผ่านดั้งเดิมจากโรงงาน
  • พยายามตรวจสอบว่าอุปกรณ์ที่ล็อกอินเป็น Honeypot หรือไม่
  • ทำการ Fingerprint อุปกรณ์เพื่อตรวจสอบ CPU และ Partition List
  • ตรวจสอบว่าสามารถเขียนข้อมูลลงดิสก์ผ่านทาง Telnet ได้หรือไม่
  • ทดสอบการส่งไฟล์ผ่านทาง WGET และ TFTP
  • เช็คว่าอุปกรณ์สามารถสร้าง Binaries ได้หรือไม่

ในกรณีที่อุปกรณ์ IoT ผ่านทุกเงื่อนไข แฮ็คเกอร์จะทำการโหลดซอฟต์แวร์ Botnet เข้าไป แล้วทำการค้นหาอุปกรณ์อื่นที่มีช่องโหว่เพิ่มเติมด้วยอัตราเร็วกว่า 100 connections ต่อวินาที

ที่มา: http://www.theregister.co.uk/2016/10/04/sans_issues_call_to_arms_to_battle_iot_botnets/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

องค์กรของคุณควบคุมค่าใช้จ่ายคลาวด์แล้วหรือยัง เริ่มต้นวันนี้ด้วยเครื่องมือ FinOps จาก VMware Aria

รายจ่ายเป็นเรื่องใหญ่เสมอสำหรับทุกองค์กร และมักเป็นคำถามสำคัญในทุกการประชุมจากเหล่าผู้บริหารว่าวันนี้ทีมของคุณจัดการค่าใช้จ่ายได้ดีเพียงใด เหมาะสมแล้วหรือไม่ คุ้มค่าหรือยัง อย่างไรก็ดีองค์กรที่ไม่ได้มีการเตรียมพร้อมมักยากที่จะตอบคำถามนี้ได้ โดยเฉพาะการใช้งาน Multi-cloud ที่มีความซับซ้อนสูง เพราะคลาวด์ได้เปลี่ยนพฤติกรรมการใช้จ่ายขององค์กรให้ติดตามได้ยาก จึงนำไปสู่แนวคิดใหม่ของหน้าที่ที่เรียกว่า FinOpsในบทความนี้ท่านจะได้เรียนรู้กับหน้าที่ของ FinOps และแนวทางปฏิบัติที่จะทำให้แนวคิดนี้ประสบความสำเร็จ รวมถึงผลประโยชน์ที่องค์กรจะได้รับหากมีการจัดการต้นทุนของคลาวด์ที่ดี อนึ่ง …

T3 Technology ได้ก่อตั้งบริษัทย่อย Enterprise T3 IDC

เปิดตัวด้วยการเป็นพันธมิตรกับบริษัทยักษ์ใหญ่ระดับโลกอย่าง Inspur Information ผู้นำด้านเซิร์ฟเวอร์ระดับโลก เพื่อบรรลุเป้าหมายสู่การเป็นผู้นำด้านไอทีแพลตฟอร์มระดับชาติ