Network Devices များတွင် Malware ဝင်ရောက်ပုံများ

ID
TM0022-08


ယနေ့ခေတ်ကမဘာတွင် အိမ်များနှင့် အသေးစားရုံးလုပ်ငန်းတွေမှာ routers access points နှင့် DSL modems ကဲ့သို့သော network devices များကို အသုံးပြုလာကြပါတယ်။ အများအားဖြင့် အဲဒီ devices တွေ ကို နည်းပညာ ဗဟုသုတမရှိသောသူများလည်း တပ်ဆင်အသုံးပြုလျက် ရှိနေတာကိုတွေ့ရပါတယ်။ တစ်ခါတစ်လေမှာ devices တွေကို တပ်ဆင်ထားပုံနှင့် Configuration လုပ်ထားပုံ မမှန်ကန်လှျင် Network-based attacks များ ဝင်ရောက်နိုင် သလို Network (၁)ခုလုံးကိုအလွယ်တကူ ထိန်းချုပ်သွားနိုင်မည့် Cybercriminalsဖြစ်ပေါ်မှုတွေကိုလည်း ခွင့်ပြုသလို ဖြစ်သွားနိုင်ပါတယ်။IT security အတွက် အားနည်းတဲ့အချက်တွေ ကတော့ user နှင့် ၄င်းတို့နဲ့ပတ်သက်သော Network devices တွေ ပဲဖြစ်ပါတယ်။


အရည်အချင်းပြည့်ဝသော Administrator များသာNetworks အတွက် ကာကွယ်နိုင်မည် ဖြစ်သလို အတွေ့အကြုံ အရည်အချင်းများ မရှိသော users များကြောင့် Network တွေကို ပျက်ဆီးနိုင်စေတယ်။ ကြီးမားသော ကုမပဏီကြီးတွေမှာ အရည်အချင်းရှိသော users များ နှင့် Network နှင့် ပတ်သက်၍ အတွေ့အကြုံရှိသော သူများ လိုအပ်ပါသည်။ အသေးစား လုပ်ငန်းတွေမှာတော့ စျေးကြီးသော Hardware နှင့် Network ပစစည်းများကိုဝယ်ယူဖို့ဆိုတာ ခက်ခဲနိုင်ပါတယ်။ Home users တွေဟာ ကိုယ်အသုံးပြုမည့်devices တွေနဲ့ ရင်းနှီးမှုရှိအောင်နည်းပညာပိုင်းတွေကို လေ့လာသင့်ပါတယ်။ ထို့ကြောင့် Network providers တွေနဲ့ Hardware vendors တွေဟာသူတို့ရောင်းချသည့် devices တွေအပေါ်မှာ Network Security နှင့် ပတ်သက်၍ အသိပညာများပေးဖို့ လိုအပ်ပါတယ်။
 
Attacksများ ဝင်ရောက်နိုင်သည့် အကြောင်းရင်းနှင့် အကျိုးဆက်များ……….

ပုံသေ passwords သုံးစွဲခြင်း နှင့် password ကိုပြန်လည် ပြောင်းလဲခွင့် မပြုခြင်း

Default Configuration မှာ လုံခြုံစိတ်ချမှု မရှိခြင်း

Firmware vulnerabilities နှင့် service လုပ်ဆောင်မှုများတွင် errors များဝင်ရောက်ခြင်း

User နှင့် vendor ကြား နားလည်သဘောပေါက်မှု ဆုံးရှုံးခြင်း

အထက်ပါ အချက်များကြောင့် Router/modem တွေမှာ cybercriminal တွေဖြစ်ပေါ်နိုင်ပါတယ်။

ပထမ attack အနေဖြင့် ပြောရမယ်ဆိုရင် URL မှ IP သို့ ပြောင်းလဲခြင်းဖြစ်စဥ်ကို Pharming လို့ခေါ်ကြတယ်။ ၄င်းဟာ Trojans ပုံစံအဖြစ်ရှိပြီး windows ရဲ့ hosts file တွေကို ပြောင်းလဲလိုက်တယ်။ ထို့နောက် windows registry ထဲမှာ DNS addresses တွေကို ပြောင်းလဲလိုက်ပြန်တယ်။ သူဟာ Zlob/DNSChangerပုံစံဖြင့် ၂ဝဝ၇ခုနှစ်လောက်မှာ ရှုပ်ထွေးတဲ့ malware ပုံစံမျိုး အဖြစ်ထွက်ပေါ်လာပါတယ်။ ဒီ malware တွေဟာ registry settings တွေကိုပြုပြင်မွမ်းမံပြီး infected ဖြစ်တဲ့ ကွန်ပျူတာနဲ့router ကိုချိတ်ဆက်လိုက်တဲ့အခါမှာ password ကိုရယူပြီး ၄င်း DNS servers တွေကိုပြောင်းလဲလိုက်တယ်။

၂ဝ၁၁ခုနှစ်မှာ ဒီလိုအခြေအနေတွေ စတင်ဖြစ်ပေါ်လာခဲ့ပြီး ISP ကုမပဏီများကို အဓိက ဦးတည်လာကြတယ်။ Customer တွေရဲ့modems များ သည် DNS settingပြောင်းလဲမှုတွေကို ပြုလုပ်ထားပြီး Technical support တွေကို ထိန်းချုပ်ဖို့အတွက် device (၁) ခုစီရဲ့administrative account တွေကို ဝှက်ထားကြတယ်။ ဒီ device တွေမှာ DNS ပြောင်းလဲမှုတွေ ဖြစ်ပြီးတဲ့နောက်မှာcomponent တွေကို အလိုအလျောက် ဖျက်ပေးတဲ့ စနစ်တွေပါဝင်လာကြတယ်။ ISP တွေဟာpasswords တွေကို ထိန်းချုပ်ဖို့အတွက် modems/routers တွေရဲ့လုံခြုံရေးကို အဓိကထားလုပ်ကြတယ်။

နောက်ထပ်တစ်မျိုးအနေဖြင့် Cross-Site Request Forgery (CSRF/XSRF) အကြောင်းပြောချင်ပါတယ်။ သူဟာ web-based attack (၁) မျိုးဖြစ်ပြီး ၄င်းသည်လည်း technical knowledge ရှိစရာမလိုပဲ users တွေ ကိုယ်စား လုပ်ဆောင်နိုင်ပါတယ်။ malicious sites တွေဟာ HTML နှင့် JavaScript code တွေနဲ့ ရေးသားထားပြီး users တွေကို ဝင်ရောက်ကြည့်ချင်လာအောင်သွေးဆောင်တာမျိုးတွေ ပြုလုပ်ကြတယ်။ ဥပမာအနေဖြင့်ဆိုရရင် user တွေဟာ portal လို site မျိုးတွေကို ဝင်ရောက်ခြင်း၊ forum တွေမှာ posts များ တင်ခြင်း အစရှိသည်တို့ကို ပြုလုပ်ချင်လာအောင် သွေးဆောင်ခြင်းမျိုးတွေ ဖြစ်ပါတယ်။ Drive-by pharming ဟာ DNS settings ကို ပြောင်းလဲရန် routerကိုဆန့်ကျင်ပြီး သုံးထားသော ရိုးရှင်းတဲ့ CSRF attack တစ်မျိုးဖြစ်ပါတယ်။

၂ဝဝ၆ ခုနှစ်တွင် Indiana တကကသိုလ်မှ researchers များဟာproof-of-concept paper ထဲတွင် CSRF နည်းပညာ အကြောင်းကို ဖော်ပြထားကြပါတယ်။ လွန်ခဲ့သော တစ်နှစ်လောက်က Me×ico နိုင်ငံမှာ pharming attack ဝင်ရောက်ခဲ့ပြီး 2Wire routers ကို ဦးတည်လာကြတယ်။

နောက်ထပ်တစ်မျိုးဆိုရသော် Email Infected ဖြစ်ခြင်းဖြစ်ပါတယ်။၄င်းသည်သန်းပေါင်းများစွာသော users များကို mail များပို့ပြီး online banking ခိုးယူခြင်းများ ပြုလုပ်ကြပါတယ်။ ထိုပြုလုပ်မှုသည် router ၏ web interface ကို request လုပ်ပြီး ဥပမာအနေဖြင့်ဆိုရသော် www.baname×.com ၏ IP address ကို malicious address အဖြစ်သို့ ပြောင်းလဲလိုက်တယ်။

user တစ်ယောက်ဟာ online banking website သို့ ဝင်ရောက် ကြည့်ရှုသောအခါ ထိုမှတဆင့် Phishing site အဖြစ်သို့ပြောင်းလဲလိုက်တယ်။ ပြောင်းလဲလိုက်သောsiteသည် NetKey မှလွဲ၍ ကျန်သော အရာများဟာ မူလ online banking site နှင့် ပုံစံတူပင်ဖြစ်သည်။ NetKey ဆိုတာ online လုပ်ငန်းများအတွက် အသုံးပြုမည့်value များကို random ထုတ်ပေးခြင်းမျိုး ဖြစ်ပါတယ်။ အထက်ပါအကြောင်းအရာများကို ဖော်ပြရခြင်းမှာ ယနေ့ကမဘာတွင် onlineအနှောင့်အယှက်များ ဖြစ်ပေါ်နေသောကြောင့် စာဖတ်သူများကို အသိပညာပွားများစေရန် ရေးသားဖော်ပြလိုက်ခြင်းဖြစ်ပါတယ်…..