Malware

ไขปริศนา DNS: แฮกเกอร์สามารถพาคุณไปยังเพจปลอมได้อย่างไร?

DNS Server กับฟังก์ชันการทำงานที่ช่วยอำนวยความสะดวกสบายให้กับผู้ใช้ และภัยร้ายที่แฝงตัวเข้ามา

อย่างที่หลายคนทราบดีกันว่าเซิร์ฟเวอร์ DNS เป็นเหมือนฟังก์ชันสำคัญของอินเตอร์เน็ต แต่มักไม่แสดงตัว จนกระทั่งโดนแฮกเกอร์ทำให้ใช้งานไม่ได้เราถึงให้ความสนใจกับมัน และในบทความนี้จะบอกว่าอะไรบ้างที่ทำให้เซิร์ฟเวอร์คู่ทุกข์คู่ยากอย่าง DNS ทำงานผิดปกติ

เซิร์ฟเวอร์ DNS คืออะไร?

DNS มาจากคำว่า “Domain Name System” ซึ่งทำให้เราสามารถแก้ไข IP Address ได้ เพราะผู้ใช้มักไม่ต้องการที่จะจำตัวเลขและตัวอักษรในลักษณะที่ยาวเป็นวา เพราะคนมักสามารถจำคำว่า “www.facebook.com” ได้มากกว่า “31.13.92.36” อยู่แล้ว

เพื่อที่จะทำให้ตัวเลขกลายเป็นตัวอักษรผู้ใช้ต้องพึงสิ่งที่เรียกว่าเซิร์ฟเวอร์ DNS ซึ่งทำให้ที่เรียบเรียงว่าเลขชุดตัวไหนเป็นของชื่ออะไร เพื่อให้ง่ายต่อการจดจำ และสามารถปรับเปลี่ยนได้

นี่เป็นเหตุผลว่าทำไมเซิร์ฟเวอร์ DNS ถึงเป็นที่สนใจของแฮกเกอร์ และทำให้พวกเขาพยายามที่จะออกแบบการโจมตีเพื่อใช้ประโยชน์จากเซิร์ฟเวอร์ตัวนี้

DNS ปลอม กับ Cache ปลอม

ทั้ง 2 อย่างนี้หลายครั้งถูกตีความคล้ายกัน แต่ในเชิงเทคนิคนั้นแตกต่างกัน เราอาจบอกได้ว่า Cache ปลอมเป็นเพียงหนึ่งในหลายวิธีการทำ DNS ปลอมก็ว่าได้

DNS ปลอม (การเปลี่ยน IP Address ให้เป็นไปตามที่แฮกเกอณ์ต้องการ) อาจนับเป็นเป้าหมายของการโจมตี ซึ่งมีกระบวนการที่ต่างกันออกไปตามความถนัดของแฮกเกอร์ การทำ Cache ปลอมก็เป็นหนึ่งในทางเลือกของแฮกเกอร์เช่นเดียวกัน

เราขอยกตัวอย่างการทำ DNS ปลอมที่มีเป้าหมายเป็นผู้ใช้ แฮกเกอร์มักใช้วิธีการแทนที่ Address ของเซิร์ฟเวอร์ DNS ผ่านระบบปฏิบัติการหรือเร้าเตอร์ ซึ่งเป็นช่องทางหลักที่เชื่อมต่อกับเซิร์ฟเวอร์ DNS และผู้ให้บริการอินเตอร์เน็ต อย่างภาพที่เห็นด้านล่าง

belkin-google

ส่วน Cache ปลอมจะเกิดขึ้นในสถานการณ์ที่ผู้ใช้มีไฟล์ Cache ที่เก็บข้อมูล IP เหมือนกัน ในขณะเดียวกันที่แฮกเกอร์สามารถจัดการกับ DNS ได้ และเบนเข็มไปยังเว็บไซต์อื่น

ในกรณีแบบนี้ Cache ปลอมจะไม่พาผู้ใช้ไปยังเว็บไซต์จริง เพราะแฮกเกอร์เปลี่ยนโดเมนปลายทางเรียบร้อยแล้ว แต่อย่างไรก็ตามวิธีนี้ค่อนข้างยากสำหรับแฮกเกอร์เพราะต้องใช้หลายปัจจัย แต่มักจะเกิดขึ้นในที่ๆใช้เครือข่ายร่วมกันอย่างในองค์กร

อะไรคือ DNS hijacking?

มัลแวร์ก็สามารถเปลี่ยนเป้าหมายได้เช่นเดียวกัน หากผู้ใช้ไปเชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ อย่างเช่นมัลแวร์ Win32/DNSChanger ที่สามารถเปลี่ยนโดเมนของผู้ใช้หรือผู้ให้บริการอินเตอร์เน็ตได้

รูปภาพแสดงการทำงานของมัลแวร์

dns-spoofing-768x413

ด้วยความสามารถของมัลแวร์ตัวนี้ทำให้แฮกเกอร์สามารถพาผู้ใช้ไปยังเว็บไซต์ต่างๆได้ ไม่ว่าจะเป็นเว็บไซต์หลอกข้อมูลหรือ Phishing ที่สร้างเลียนเว็บไซต์ที่เราคุ้นเคยอย่าง Facebook, Twitter หรือเว็บไซต์ของธนาคาร เพื่อหลอกให้เรากรอกรหัสล็อคอิน

อีกภัยคุกคามหนึ่งที่เป็นการใช้ประโยชน์จาก DNS ก็คือ DDoS Attack ซึ่งเกิดจากการรวบรวม IP Address เพื่อส่งทราฟฟิคจำนวนมาก เข้ารบกวนเว็บไซต์ทำให้เว็บไซต์ไม่สามารถทำงานได้

สรุป

การโจมตีทั้งหมดที่กล่าวมาสามารถหลีกเลี่ยงได้ หากผู้ใช้ไม่หลงกลแฮกเกอร์และใช้เว็บไซต์ถูกกฎหมาย และเพื่อความปลอดภัยสูงสุดถ้าผู้ใช้ติดตั้งโปรแกรมรักษาความปลอดภัย ที่มีความสามารถในการตรวจสอบการทำงานของเร้าเตอร์

สำหรับผู้ดูแลระบบ หรือเร้าเตอร์ต้องมั่นใจได้ว่าเร้าเตอร์ของคุณใช้เฟิร์มแวร์เวอร์ชั่นล่าสุด และไม่ได้ใช้รหัสผ่านเริ่มต้นจากโรงงาน เพราะรหัสผ่านที่ตั้งมาจากโรงงานนั้นสามารถคาดเดาได้ง่าย

Author: Josep Albors
Source: http://www.welivesecurity.com/2017/02/27/dns-attacks-try-direct-fake-pages/
Translated by: Worapon H.

%d bloggers like this: