มัลแวร์ The Dark Nexus ตรวจจับยาก มุ่งโจมตีอุปกรณ์ IoT
เว็บไซต์ Bitdefender รายงานว่า พบ The Dark Nexus Malware ที่มุ่งเป้าโจมตีเฉพาะอุปกรณ์ IoT และแพร่กระจายอย่างรวดเร็วเป็นวงกว้างตั้งแต่ธันวาคม 2019 จนถึง ณ ปัจจุบัน โดยสามารถแพร่กระจายผ่าน Payload ไป run บน CPU ได้มากกว่า 12 architectures และที่สำคัญยังมีการพัฒนาอยู่ตลอดเวลา
โดยมัลแวร์ชนิดนี้ได้ออกเวอร์ชันทั้งหมดกว่า 40 เวอร์ชัน (ตั้งแต่เวอร์ชัน 4.0 ถึง 8.6) ในแต่ละเวอร์ชัน ไม่ใช่แค่อัปเดตเพื่อให้ตรวจพบได้ยากขึ้น แต่ประกอบไปด้วยฟีเจอร์ใหม่ ๆ ซึ่งในเวอร์ชันก่อน The Dark Nexus malware มักจะใช้วิธี Remote Code Execution (RCE) และ Command Injection เพื่อโจมตีเป้าหมายแต่ปัจจุบันใช้ Telnet credential stuffing (Brute-force credentials) เพื่อโจมตีอุปกรณ์ Router ที่สามารถควบคุมอุปกรณ์ IoT ได้แล้วมากกว่า 1,372 ตัว
ทำไม Dark Nexus ถึงตรวจพบได้ยาก?
Bitdefender ระบุว่า Dark Nexus ใช้เทคนิคการปลอมตัวที่ทำให้ตรวจพบได้ยากคล้ายคลึงกับ Mirai Botnet โดยสังเกตได้จากการใช้ port 7630, เปลี่ยนชื่อไฟล์เป็น ‘/bin/busybox’ และ disable the watchdog เพื่อควบคุมอุปกรณ์ Input และ Output (IOCTL) นอกจากนั้น Dark Nexus ยังใช้วิธี Scoring system และ Kill Processes ที่เป็นอันตรายต่ออุปกรณ์ เพื่ออำพรางตัวไม่ให้ถูกตรวจพบได้ง่าย ๆ และใช้ command /etc/init.d/rcS หรือ the /home/start.sh files โจมตีอย่างต่อเนื่อง เพื่อต้องการยกระดับสิทธิ์ในการเข้าถึงและป้องกันไม่ให้เครื่องที่ถูก Compromise ทำการรีสตาร์ท
Dark Nexus ถูกยกให้เป็น Exotic DDoS เพราะในการทำ DDoS จะใช้วิธีเลียนแบบ Web Browser Traffic ทำให้เหมือนเป็นการใช้งาน HTTP ทั่วไป ๆ และทำการลบ IP table rule เพื่อให้มั่นใจว่าการติดต่อกับ C&C Server นั้นจะไม่ถูกกรองหรือบล็อคไปก่อน
Bitdefender ยังพบอีกว่า Dark Nexus ยังใช้ module ของ SOCKS5 proxy ซึ่งปัจจุบันยังไม่ปรากฏวัตถุประสงค์แน่ชัดแต่คาดเดาว่าเพื่อต้องการนำข้อมูลไปขายต่อให้กับกลุ่ม hacker ใต้ดิน ดังนั้น การป้องกันอุปกรณ์ IoT แนะนำให้ Admin เปลี่ยนการตั้งค่าข้อมูลเดิมจากโรงงาน (default) และปิดการทำ Remote Access ผ่าน Internet ไปก่อน เพื่อป้องกันการถูกโจมตี
