การสืบสวนเครือข่ายแจ้งเตือนแบบพุชที่หลอกลวงได้เปิดเผยว่าข้อผิดพลาด DNS เพียงเล็กน้อยสามารถเปิดช่องทางเข้าสู่โครงสร้างพื้นฐานอาชญากรรมได้อย่างไร แคมเปญนี้ใช้การแจ้งเตือนของเบราว์เซอร์เพื่อท่วมผู้ใช้ Android ด้วยการแจ้งเตือนความปลอดภัยปลอม, การหลอกลวงเกี่ยวกับการพนัน, และข้อเสนอสำหรับผู้ใหญ่ โดเมนที่ดูสุ่มและการโฮสต์ที่ซ่อนอยู่พยายามปกปิดผู้ดำเนินการ ในขณะที่ยังคงรักษากระแสการคลิกและการเงินจากโฆษณา การหยุดทำงานของโดเมนหนึ่งเนื่องจากการตั้งค่า Name Server ที่ผิดพลาด (lame delegation) ทำให้นักวิจัย Infoblox สามารถอ้างสิทธิ์ในโดเมนดังกล่าวได้ ส่งผลให้สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ที่พวกเขาจัดการ และรวบรวมบันทึกหลายล้านรายการเกี่ยวกับการทำงานของเครือข่ายที่เป็นอันตรายนี้ได้
Severity: สูง
System Impact:
- ผู้ใช้ Android (ผ่านการแจ้งเตือนของเบราว์เซอร์)
- เบราว์เซอร์ต่างๆ (มีการติดตั้ง Service Worker ที่เป็นอันตราย)
- โครงสร้างพื้นฐาน DNS (ข้อผิดพลาดในการตั้งค่า Lame Delegation)
Technical Attack Steps:
- ผู้ใช้เยี่ยมชมเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์ที่น่าสงสัย
- เว็บไซต์แสดงป๊อปอัปของเบราว์เซอร์เพื่อขออนุญาตส่งการแจ้งเตือน (มักจะปะปนกับแบนเนอร์คุกกี้หรือข้อความ CAPTCHA)
- ผู้ใช้ให้สิทธิ์ในการแจ้งเตือน
- เว็บไซต์จะติดตั้ง Service Worker ที่กำหนดเองในเบราว์เซอร์ของผู้ใช้
- Service Worker นี้จะตรวจสอบกับเซิร์ฟเวอร์พุชของผู้โจมตีอย่างสม่ำเสมอ
- Service Worker จะดึงสคริปต์ที่อัปเดตและเทมเพลตการหลอกลวง/โฆษณา
- Service Worker ยังคงทำงานและเรียกใช้การแจ้งเตือนอย่างต่อเนื่องแม้ว่าผู้ใช้จะปิดแท็บนั้นไปแล้ว ทำให้ผู้โจมตีสามารถเข้าถึงได้ตลอดเวลา
Recommendations:
Short Term:
- ระมัดระวังป๊อปอัปของเบราว์เซอร์ที่ขอสิทธิ์การแจ้งเตือน โดยเฉพาะบนเว็บไซต์ที่ไม่คุ้นเคยหรือไม่น่าเชื่อถือ
- หลีกเลี่ยงการให้สิทธิ์การแจ้งเตือนโดยไม่พิจารณาให้รอบคอบ
- ตรวจสอบและเพิกถอนสิทธิ์การแจ้งเตือนของเบราว์เซอร์ที่ไม่จำเป็นเป็นประจำ
Long Term:
- ผู้ดูแลโดเมนควรใช้แนวทางปฏิบัติที่ดีด้าน DNS เพื่อป้องกันการกำหนดค่าที่ไม่ถูกต้อง เช่น lame delegation
- ใช้โปรแกรมบล็อกโฆษณาหรือส่วนขยายเบราว์เซอร์ที่ออกแบบมาเพื่อบล็อกการแจ้งเตือนแบบพุชที่เป็นอันตราย
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของการแจ้งเตือนแบบพุชที่หลอกลวงและกลวิธีทางวิศวกรรมสังคม
- อัปเดตระบบปฏิบัติการ Android และเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเสมอเพื่อแก้ไขช่องโหว่ที่ทราบ
- พิจารณาใช้โซลูชันการกรอง DNS เพื่อบล็อกโดเมนที่เป็นอันตรายที่รู้จัก
Source: https://cybersecuritynews.com/researchers-gained-access-to-hacker-domain-server/
Share this content: