ทาง Crowd Strike พบการโจมตีรูปแบบใหม่ ชื่อ Kiss-a-dog โดยผู้ไม่ประสงค์ดี ได้กำหนดเป้าการโจมตีไปยัง Docker และ Kubernetes ที่มีช่องโหว่ เพื่อติดตั้งเครื่องขุดสกุลเงินดิจิตอล
Cryptojacking คืออะไร?
Cryptojacking เป็นการโจมตีประเภทหนึ่งที่ผู้ไม่ประสงค์ดีใช้คอมพิวเตอร์ของผู้ใช้งาน เพื่อขุดหาสกุลเงินดิจิทัลโดยไม่ได้รับอนุญาต สิ่งนี้สามารถเกิดขึ้นได้เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ ที่เป็นอันตราย มีการฝั่งมัลแวร์ หรือคลิกโฆษณาที่เป็นอันตราย ซึ่งอาจทำให้คอมพิวเตอร์ของผู้ใช้งานทำงานช้าลง นอกจากนี้ในบางกรณีอาจทำให้คอมพิวเตอร์ของผู้ใช้งานเกิดความเสียหายได้
ในเดือนกันยายน พ.ศ. 2565 ทาง CrowdStrike ได้ตรวจพบการโจมตีหลายเหตุการณ์ที่เกี่ยวข้องกับการโจมตีต่อช่องโหว่ ซึ่งผู้เชี่ยวชาญเปิดเผยว่า Docker API และคอนเทนเนอร์ของ Docker ที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการทริกเกอร์ Payload ที่เป็นคำสั่ง Python ซึ่งมีหน้าที่ในการดาวน์โหลด Payload t.sh จากโดเมนชื่อ kissa-dogtop และนั่นเป็นเหตุผลที่การโจมตีดังกล่าวมีชื่อว่า Kiss-a-dog นอกจากนี้ยังสามารถติดตั้ง Payload แบบ Cron job เพิ่มได้อีกด้วย
การสแกนเครือข่ายทำได้โดยการเข้ารหัสไฟล์โค้ด C/C++ และฝังเป็นสตริง Base64 ลงในสคริปต์ เมื่อเป็น runtime ผู้ไม่ประสงค์ดีจะถอดรหัสสตริง Base64 เป็นเอกสาร .tar ที่มีรหัสสำหรับ rootkits Diamorphine และจะทำการคอมไพล์โดยใช้ GCC เพื่อสร้างไฟล์ “diamorphin.ko” ที่ถูกโหลดเป็นโมดูลเคอร์เนลผ่านคำสั่ง insmod ผู้ไม่ประสงค์ดีใช้ rootkits Diamorphine และ libprocesshide เพื่อซ่อน Process จากผู้ใช้งานผู้ไม่ประสงค์ดีจะซ่อนที่อยู่ของกระเป๋าเงินดิจิตอลโดยใช้โดเมน “lovea-dogtop” และ “toucha-dogtop” เป็นเซิร์ฟเวอร์และจะทำการปลอมไฟล์ XMRig เป็นไฟล์ต่าง ๆ อีกทั้งผู้ไม่ประสงค์ดีจะติดตั้ง service เพื่อเรียกใช้ไบนารีเป็น “cmake.service”
วัตถุประสงค์ของการโจมตีครั้งนี้ คือ การขุดหาสกุลเงินดิจิตอล cryptocurrency และใช้ rootkit ของเคอร์เนล เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย ด้วยเหตุนี้ ผู้ไม่ประสงค์ดีจึงอาศัย ซอฟต์แวร์ XMRig ในการขุด อีกวัตถุประสงค์หนึ่งที่อยู่เบื้องหลังการโจมตีครั้งนี้คือการกำหนดเป้าการโจมตี ไปยัง Docker และ Redis ที่มีช่องโหว่ให้ได้มากที่สุด ผู้ไม่ประสงค์จะดาวน์โหลดหรือคอมไพล์เครื่องสแกนเครือข่าย เช่น Masscan, pnscan และ zgrab บนคอนเทนเนอร์ที่ถูกโจมตี ซึ่งเครื่องมือเหล่านี้จะสุ่มสแกน IP บนอินเทอร์เน็ต เพื่อตรวจหาอินสแตนซ์ของเซิร์ฟเวอร์ Docker และ Redis ที่มีช่องโหว่
คำแนะนำ
หลีกเลี่ยงการโหลดไฟล์หรือคลิกโฆษณาจากเว็บไซต์ที่เป็นอันตรายหรือเว็บที่มีการ Redirect ไปยังเว็บอื่น
ทำการปิดการใช้งาน Port ที่ไม่จำเป็นเพื่อลดช่องทาง และความเสี่ยงที่อาจถูกการโจมตี
ทำการ Block IP Address แปลก ๆ หรือที่ตรวจสอบแล้วว่ามีความอันตราย ทั้งขาใน และ ขานอก ที่ Firewall เพื่อป้องกันการเชื่อมต่อเข้ามายังเครือข่ายภายในองค์กร
ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์
ลบโปรแกรมที่ไม่ได้รับอนุญาตให้ใช้งาน หรือ Plug-in อื่น ๆ ภายในเครื่องออก
ลบโปรแกรมของ Process หรือ Service ที่มีการใช้งานทรัพยากรคอมพิวเตอร์สูงผิดปกติ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น