หน้าแรก Security มัลแวร์รุ่นใหม่ หันมาใช้เทคนิคเดิมที่แฮ็กผ่าน UPnP

มัลแวร์รุ่นใหม่ หันมาใช้เทคนิคเดิมที่แฮ็กผ่าน UPnP

แบ่งปัน

พบมัลแวร์ชื่อ Pinkslipbot (มีชื่ออื่นๆ เช่น QakBot หรือ QBot) ที่พรางการติดต่อกับเซิร์ฟเวอร์สั่งการของตนเอง โดยถือเป็นมัลแวร์ตัวแรกใช้พร็อกซี่แบบ HTTPS มาซ่อนการเชื่อมต่อระหว่างเซิร์ฟเวอร์สั่งการของตนเองกับเครื่องเหยื่อกว่าห้าแสนเครื่องทั่วโลก ซึ่งถ้าใครพยายามหาที่อยู่ไอพีของเซิร์ฟเวอร์ C&C เบื้องหลัง ก็จะเจอพร็อกซี่บังตาหมด

นอกจากนี้ Pinkslipnot ยังใช้ประโยชน์จากชุดโปรโตคอลอย่าง UPnP ที่ช่วยในการเชื่อมต่อกับอุปกรณ์เครือข่ายภายในบ้านผ่านเราเตอร์หรือเกตเวย์โดยไม่ต้องลากสายให้ยุ่งยาก โดยใช้เป็นเครื่องมือในการเปิดพอร์ตทะลุข้ามไฟร์วอลล์ให้ตัวเองได้อย่างง่ายดาย โดยทาง Sophos พบว่า Pinkslipnot เปิดช่องทางเชื่อมต่อผ่าน UPnP นี้ได้มากถึง 27 พอร์ตทั้งภายในและภายนอก พร้อมรายงานผลพอร์ตที่เปิดเชื่อมต่อได้ให้เซิร์ฟเวอร์สั่งการทราบเรียบร้อย

เทคนิคการแฮ็กผ่าน UPnP ก่อนหน้านี้พบได้น้อยมาก โดยล่าสุดคือตั้งแต่ปี 2551 ที่มีเวิร์มชื่อ Conficker ใช้ UPnP ในการแฮ็กเครื่องปลายทาง ดังนั้น Pinkslipnot จึงถือเป็นข้อพิสูจน์ได้เป็นอย่างดีว่า เทคนิคเดิมๆ ถ้าเอามาผสมกับเทคนิคใหม่ๆ ก็อาจกลายเป็นมัลแวร์ที่ร้ายกายมากตัวหนึ่งได้ง่ายๆ

นักวิจัยด้านความปลอดภัยแนะนำให้ผู้ใช้ตรวจสอบโพลิซีการฟอร์เวิร์ดพอร์ตบนเครื่องตนเองอยู่เสมอ หรือสามารถป้องกันเด็ดขาดไปเลยด้วยการปิดฟังก์ชั่นของ UPnP บนการตั้งค่าเกี่ยวกับ WAN บนเราเตอร์ไปเลยจะดีกว่า

ที่มา : https://nakedsecurity.sophos.com/2017/06/21/new-malware-uses-old-trick-and-is-a-reminder-to-disable-upnp/