ไมโครซอฟท์ออกรายงานถึงมัลแวร์ Trickbot ที่เป็นต้นทางการแฮกสู่บริการอื่นๆ เช่น มัลแวร์เรียกค่าไถ่, การวางโปรแกรมขุดเงินคริปโต, หรือการให้กลุ่มแฮกเกอร์อื่นเข้ายึดเครื่องของเหยื่อ (access-as-a-service) โดยกลุ่ม Trickbot นี้ดำเนินการมาได้นานตั้งแต่ปี 2016 มีแนวทางสำคัญคือการแฮกอุปกรณ์ IoT หรือเราท์เตอร์ เพื่อเป็นฐานในการไปแฮกเป้าหมายที่แท้จริงอีกที
อุปกรณ์กลุ่มหนึ่งที่ Trickbot ใช้งานเยอะคือเราท์เตอร์ MikroTik ที่เปิดพอร์ตออกอินเทอร์เน็ต แต่ดูแลความปลอดภัยหละหลวม ทั้งการใช้รหัสผ่านเริ่มต้นจากผู้ผลิต, ปล่อยให้แฮกเกอร์ทดสอบรหัสผ่าน, หรือใช้เฟิร์มแวร์เวอร์ชั่นเก่าที่มีช่องโหว่ แม้ตัวเราท์เตอร์จะใช้งานได้ดีต่อไป แต่จริงๆ แล้วกลับถูกเพิ่มกฎไฟร์วอลล์เพื่อส่งต่อทราฟิกเพื่อแฮกเหยื่อของ Trickbot ไปแล้ว
ไมโครซอฟท์จึงออก โปรแกรม RouterOS Scanner ให้เจ้าของเราท์เตอร์เข้าตรวจสอบว่ามีความเสี่ยงถูกแฮก หรือกระทั่งถูกแฮกไปแล้วหรือไม่ โดยสิ่งที่ตรวจสอบได้แก่ เวอร์ชั่นเฟิร์มแวร์, คำสั่งตั้งเวลาล่วงหน้า, กฎไฟร์วอลล์สำหรับส่งต่อทราฟิก, DNS ว่าถูก cache poisoning หรือไม่, การใช้พอร์ตผิดปกติ, รายการผู้ใช้ในระบบ, ไฟล์ผิดปกติ, และพรอกซี่ต่างๆ
ที่มา - Microsoft
Comments
MikroTik ไม่ออก (Software ตรวจสอบให้ลูกค้าหรือ ?)
Microsoft ออก (Software ตรวจสอบให้ลูกค้าแทน) เอง
เขาก็ออกเฟิร์มแวร์มาแก้ช่องโหว่ไปนานแล้วนะครับ โปรแกรมแบบนี้มันก็รูปแบบเดียวกับ Antivirus/Malware remover ที่บริการของไมโครซอฟท์เองหลายครั้งก็มีผู้ผลิตคนอื่นมาทำให้เหมือนกัน
ของแบบนี้ถ้าผู้ผลิตทำให้ก็ดี แต่หน้าที่หลักๆ คงเป็นการแจ้งเตือนเมื่อเจอช่องโหว่ + ออกแพตช์ให้
lewcpe.com , @wasonliw