มัลแวร์จะอาศัย Crawler ในการข้ามจากเว็บไซต์หนึ่งไปยังอีกเว็บไซต์หนึ่ง เข้าฝังโค้ดวางยา SEO พร้อม Redirectionผู้อ่านหลายคนอาจสงสัยว่าทำไมค้นหาอะไรบน Google มักจะติดเว็บปลอม เว็บโป๊ เว็บพนัน ขึ้นมาบ่อยครั้ง นั่นก็เพราะวิธีการของแฮกเกอร์ที่ใช้วิธีการวางยาการค้นหา หรือ SEO (Search Engine Optimization) Poisoning ทำให้เว็บไม่พึงประสงค์ปรากฏขึ้นมาให้เห็น เพื่อล่อลวงเหยื่อให้เข้าใช้งาน และกรณีนี้ก็ได้เป็นประเด็นขึ้นมาอีกครั้งจากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางทีมวิจัย Unit 42 ซึ่งเป็นหน่วยงานย่อยของบริษัท Palo Alto บริษัทผู้พัฒนาเทคโนโลยีด้านเครือข่ายที่โด่งดัง ได้ตรวจพบแคมเปญการแพร่กระจายมัลแวร์ BadIIS ด้วยวิธีการ SEO Poisoning โดยกลุ่มแฮกเกอร์ลึกลับจากจีน ภายใต้ชื่อปฏิบัติการ Operation Rewrite หรือ CL-UNK-1037 โดยมุ่งเน้นการโจมตีในแถบอาณาเขตเอเชียตะวันออก และเอเชียตะวันออกเฉียงใต้ โดยเฉพาะประเทศเวียดนาม ที่พบการโจมตีที่มากเป็นพิเศษเสมือนเป็นเป้าหมายหลักของแฮกเกอร์กลุ่มดังกล่าวโดยการแพร่กระจายมัลแวร์ BadIIS นั้นหลังจากที่แฮกเกอร์ทำการฝังมัลแวร์ดังกล่าวลงบนเซิร์ฟเวอร์ที่ถูกแฮกแล้ว ตัวมัลแวร์จะทำการยิง (Injection) ชุดคำ (Keyword) และ วลี (Phrase) ลงบนเว็บไซต์ที่ถูกเลือก ซึ่งมักจะเป็นเว็บไซต์ที่มีคะแนนโดเมนที่สูง มีความน่าเชื่อถือมาก รวมถึงมีการฝังโค้ดพิเศษไว้บนส่วนหัว หรือ Header ของเว็บไซต์ เพื่อดักจับผู้เข้าเยี่ยมชม (Visitors) ที่เป็นเครื่องมือจัดลำดับเว็บไซต์ (Crawler) ที่ถูกส่งมาโดย Search Engine ซึ่งตัวโค้ดจะทำการป้อนคอนเทนต์ที่ถูกวางยาด้วยองค์ประกอบข้างต้น (Poisoned Content) ทำให้คอนเทนต์ที่แฮกเกอร์วางกับดักล่อผู้เข้าชมไปปรากฏอยู่บนหน้าแรกของ Search Engineซึ่งหลังจากที่เว็บไซต์เหล่านี้ปรากฏบนหน้าแรกของ Search Engine แล้ว เมื่อมีเหยื่อหลงเข้ามาสู่หน้าเว็บไซต์ดังกล่าว ตัวมัลแวร์ก็จะทำการเปลี่ยนเป้าหมายการเยี่ยมชม (Redirect) ทำให้เหยื่อเข้าไปสู่หน้าเว็บไซต์ฉ้อโกง (Scam), เว็บพนัน, เว็บโป๊, หรือเว็บหลอกให้ดาวน์โหลดมัลแวร์แทนที่จะเป็นตัวเว็บไซต์จริง (ที่ถูกแฮกมาเพื่อใช้งานในแคมเปญนี้)ที่ร้ายกาจมากไปกว่านั้นคือ ทางทีมวิจัยยังพบว่านอกจากตัวมัลแวร์จะสามารถทำงานบนเว็บไซต์ที่ตั้งอยู่บนเซิร์ฟเวอร์ที่ถูกแฮกมาได้แล้วนั้นยังมีความสามารถในการใช้งาน Crawlers ของ Search Engine ในการเข้าถึงเว็บไซต์อื่น เพื่อสร้างบัญชีผู้ใช้งานบนระบบ (Local User Account) แล้วทำการวาง Web Shell ซึ่งเป็นเครื่องมือที่ทำให้แฮกเกอร์สามารถเข้าถึงตัวเว็บไซต์จากระยะไกลได้ไว้บนเว็บไซต์ที่มัลแวร์เข้าถึงผ่าน Crawler หลังจากนั้นมัลแวร์จะใช้งาน Web Shell ในการแกะรหัสต้นฉบับ (Source Code) ส่งกลับไปให้แฮกเกอร์ และทำการอัปโหลดมัลแวร์ BadIIS ฝังไว้บนเว็บไซต์ที่ตกเป็นเหยื่อในท้ายที่สุดนอกจากวิธีการดังกล่าวแล้ว ทางทีมวิจัยยังได้ตรวจพบเครื่องมืออีก 3 ตัวที่มัลแวร์ BadIIS ใช้งาน ซึ่งการใช้งานแต่ละตัวนั้นจะแตกต่างกันไปแล้วแต่รุ่นของมัลแวร์ดังกล่าว โดยเครื่องมือทั้ง 3 ตัวนั้นมีดังนี้ASP.NET Page Handler ขนาดเบา: ใช้ในการทำ SEO Poisoning ด้วยการทำเว็บให้เป็นตัวแทน (Proxy) ตัวคอนเทนต์ SEO ที่ถูกดึงมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control).NET IIS Module: เป็นเครื่องมือที่ใช้ในการตรวจสอบและดัดแปลงทุก Request ที่เข้ามาผ่านทางแอปพลิเคชันตัวนี้ เพื่อทำการสแปมลิงก์และ Keywords ที่ดึงมาจากเซิร์ฟเวอร์ C2 อีกตัวหนึ่งAll-in-One PHP Script: เป็นสคริปท์ที่รวมความสามารถในการทำ SEO Poisoning และการ Redirect การเยี่ยมชมของเหยื่อไปยังเว็บไซต์ปลอม ทั้งหมดรวมไว้ในตัวสคริปท์เดียวทั้งนี้ ทางแหล่งข่าวไม่ได้มีการให้ข้อมูลวิธีการป้องกันเว็บไซต์ หรือการกำจัดมัลแวร์ดังกล่าวออกไปจากเว็บไซต์ไว้แต่อย่างใด➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
แฮกเกอร์ วางยา SEO แพร่กระจายมัลแวร์ BadIIS เปลี่ยนเส้นทางเยี่ยมชมเว็บของเหยื่อไปเว็บพนัน และเว็บโป๊
by
Tags: