August 20, 2018

Language:

CamSA18-29: ធ្វើបច្ចុប្បន្នភាព Router MikroTik ជាបន្ទាន់ – ឧបករណ៍ចំនួន 200,000 ត្រូវបានឆ្លងមេរោគ (malware)

១. ព័ត៌មានទូទៅ

ឧក្រិដ្ឋជនបច្ចេកវិទ្យាបានចម្លងមេរោគទៅកាន់ឧបករណ៍ Router MikroTik ច្រើនជាង ១៥០,០០០ ដើម្បីប្រាស់ប្រាស់ Router ទាំងនោះក្នុងប្រតិបត្តិការ Coinhive Cryptojacking សម្រាប់ mining cryptocurrency។

ចំនុចខ្សោយដែលមានលើឧបករណ៍ Router MikroTik បានក្លាយទៅជាគោលដៅនៃយុទ្ធនាការសម្រាប់ប្រើប្រាស់បញ្ចូលមេរោគ cryptojacking នៅប្រទេសប្រេស៊ីល បើយោងតាមការវិភាគរបស់លោក Simon Kenin អ្នកស្រាវជ្រាវសុវត្ថិភាពនៃក្រហ៊ុន Trustwave បានឱ្យដឹងថា ការកើនឡើងនៃការវាយប្រហារតាមអ៊ីនធឺណិតប្រភេទ cryptojacking/cryptomining ដែលមិនធ្លាប់មានពីមុនមកនៅក្នុងប្រទេសប្រេស៊ីលត្រូវបានគេសង្កេតឃើញ ហើយ Router ជាង 200,000 ផលិតដោយក្រុមហ៊ុន MikroTik ត្រូវបានប្រើនៅក្នុងយុទ្ធនាការនេះ។

២. ឧបករណ៍ដែលរងគ្រោះ

មេរោគកំណត់គោលដៅលើឧបករណ៍ Router MikroTik ដែលមានចំនុចខ្សោយ នៅក្នុងប្រទេសប្រេស៊ីល ប៉ុន្តែអ្នកស្រាវជ្រាវជឿជាក់ថាវាអាចនឹងរីករាលដាលនៅទូទាំងពិភពលោក។

៣.ដំណើរការ និងផលប៉ះពាល់

PoC (Proof of Concept) ត្រូវបានសរសេរជាភាសា Python ត្រូវបានប្រើដោយឧក្រិដ្ឋជនបច្ចេកវិទ្យា (cybercriminals) ដើម្បីគ្រប់គ្រង Router ដោយប្រើកូដទាញយកកម្មវិធី browser-based cryptomining របស់ CoinHive ដូចនេះនៅពេលដែលអ្នកប្រើប្រាស់ព្យាយាមចូលប្រើអ៊ីនធើណិតតាមរយៈ MikroTik Proxy នឹងជួបប្រទះបញ្ហា HTTP Error ដោយសារតែ Javascript របស់ CoinHive ត្រូវបានដាក់បញ្ចូលទៅក្នុងទំព័រដែលអ្នកប្រើប្រាស់ភ្ជាប់ទៅកាន់តាមរយៈឧបករណ៍ Router ដែលបានរងគ្រោះ ហើយបន្ទាប់មកឧបករណ៍នោះនឹងចាប់ផ្តើមធ្វើប្រតិបត្តិការ mining Monero cryptocurrency (រូបិយប័ណ្ណឌីជីថល) សម្រាប់អ្នកវាយប្រហារ។

ដោយប្រើវិធីសាស្រ្ត salt-hash-stretch cryptographic អ្នកវាយប្រហារអាចផ្ទៀងផ្ទាត់ថាតើពាក្យសម្ងាត់ត្រឹមត្រូវ ឬអត់ដោយគ្រាន់តែផ្គូផ្គងវាជាមួយទិន្នន័យក្នុង Database។

អ្នកវាយប្រហារបានធ្វើការដូរនូវឯកសារ MikroTik’s built-in web proxy ដែលមានឈ្មោះថា Error.html ដែលឯកសារនឹងត្រូវបើកនៅពេលណាដែលមានកំហុសទាក់ទងនឹង Proxy ហើយបានដាក់បញ្ចូលទំព័រមួយ ដើម្បីឈានទៅប្រើប្រាស់កម្មវិធី CoinHive’s cryptomining ហេតុដូចនេះអ្នកប្រើប្រាស់នឹងរងគ្រោះដោយសារ cryptojacked នៅពេលភ្ជាប់ទៅកាន់វេបសាយតាមយៈ proxy MikroTik ហើយប្រតិបត្តិការរងគ្រោះដោយសារការ mininig និងបិទទៅវិញនូវពេលអ្នកឈប់ភ្ជាប់ទៅកាន់វេបសាយ។

៤. អនុសាសន៍ណែនាំ

អភិបាលគ្រប់គ្រង និងម្ចាស់ឧបករណ៍អាចធ្វើតាមការណែនាំដូចខាងក្រោម៖

  • ដំណើរការនូវ factory reset , reboot និង ជួសជុលឧបករណ៍របស់ពួកគេជាមួយនឹងជំនាន់ចុងក្រោយបំផុតនៃ firmware
  • បិទមុខងារ remote administrative នៅក្នុងឧករណ៍ បើសិនជាអ្នកមិនប្រើប្រាស់មុខងារមួយនេះទេ
  • សូមចូលទៅកាន់វេបសាយរបស់អ្នកផ្គត់ផ្គង់ផលិតផលសម្រាប់ព័ត៌មានបន្ថែមក្នុងការអាប់ដេត MikroTik

៥.វេសាយពាក់ព័ន្ធ
https://www.hackread.com/mikrotik-routers-hit-by-cryptocurrency-malware/
https://gbhackers.com/over-200000-mikrotik-routers-infected/