Malware

Flashback Friday: โปรเจค Windigo

ย้อนรอยโปรเจคไวรัสมัลแวร์ Windigo ที่เคยกลืนกินเซิร์ฟเวอร์นับหมื่น

ตามล่าสัตว์ร้าย

สำหรับนักอ่านสาขาเทพนิยายทั้งหลายคงรู้จัก Windigo กันเป็นอย่างดี สัตว์ร้ายที่ไล่กินเนื้อสดๆเป็นอาหาร ในโลกของความปลอดภัยไซเบอร์ก็เช่นเดียวกัน มีภัยร้ายตัวหนึ่งที่คอยกัดกินเซิร์ฟเวอร์ ซึ่งผู้เชี่ยวชาญ ESET พบเมื่อปี 2012 ชื่อของมันตั้งตามความสามารถในจะกลืนเซิร์ฟเวอร์และสร้างหายนะให้กับเหยื่อผู้เคราะห์ร้าย เราจะมารู้จักเจ้าภัยตัวนี้กัน

ค้นพบครั้งแรก

การค้นพบครั้งแรกเกิดขึ้นเมื่อปี 2011 โดย Linux Foundation แผนการอันตรายนี้ถูกตั้งชื่อว่า “Windigo” และได้แทรกซึมเข้าเซิร์ฟเวอร์ประมาณ 25,000 เซิร์ฟเวอร์ในเวลาเพียงสองปี (2012-2014) ด้วยกลุ่มคนที่มีความสามารถทางเทคนิคในระดับเดียวกับผู้เชี่ยวชาญ

หลังจากได้รับไฟล์ตัวอย่าง Linux/Cdorked จากองค์กรความปลอดภัย Sucuri ในเดือนมีนาคม 2013 ทาง ESET ก็เริ่มเปิดโปรเจค Windigo เพื่อวิเคราะห์ขั้นตอนและวิธีการที่แฮกเกอร์ใช้ รวมถึงความเสียหายและขอบเขตของมัน

เมื่อผลงานวิจัยออกมาและสร้างความตื่นตัวให้กับผู้ใช้ งานวิจัยทั้งหมดนี้มีจุดประสงค์เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับการทำงานของเจ้าภัยร้ายนี้อย่างเชิงลึก และรายละเอียดวิธีการตรวจสอบคอมพิวเตอร์ที่โดนเล่นงาน

งานวิจัยได้ไปถึงสาธารณะและสังคมวงการความปลอดภัย แม้กระทั่งผู้ดำเนินการโปรเจค Windigo เองก็ยังได้เห็น และฝากเอาไว้ว่า: “Good job, ESET!”

ศัตรูสุดแสนฉลาด

ทีมที่ดำเนินงานโปรเจค Windigo นั้นไม่ใช่มือสมัครเล่น สังเกตได้จากการทำงาน เจาะช่องโหว่โดยใข้สิ่งที่เรียกว่า OpenSSH หรือ “open source alternative to proprietary Secure Shell Software (SSH)”

เมื่อมันสามารถเข้าถึงเซิร์ฟเวอร์ได้แล้ว พวกเขายังสามารถหาผู้ใช้ผ่านผู้ดูแลระบบ และเลือกเหยื่อจากกิจกรรมที่พวกเขาทำ

มากกว่านั้นผู้เขียนไวรัสมัลแวร์ยังสามารถหลบการตรวจจับด้วยเทคนิคอัพเกรตเซิร์ฟเวอร์ด้วยซอฟต์แวร์ใหม่เพื่อเขี่ยตัวตรวจสอบออกไป และสร้างซอฟต์แวร์ DNS backdoor เวอร์ชั่นใหม่ขึ้นมาในเดือนมิถุนายน ปี 2013

การค้นพบเบาะแส

อย่างที่กล่าวไปข้างต้น การตรวจสอบของ ESET นั้นเปิดเผยทั้งหมดของ Windigo และพบโดย Linux Foundation ตั้งแต่ปี 2011 และมีเซิร์ฟเวอร์ที่ได้รับผลกระทบประมาณ 25,000 เซิร์ฟเวอร์ในปี 2012-2014 ในประเทศฝรั่งเศส, อิตาลี, รัสเซีย, เม็กซิโกและแคนาดา

เซิร์ฟเวอร์โดนเล่นงานจะได้รับคำสั่งของแฮกเกอร์ให้แพร่กระจายสแปม, ขโมยข้อมูล, เปลี่ยนระบบนำเส้นทางของเว็บไซต์ไปยังโฆษณา และปล่อยไวรัสผ่าน ‘drive-by’ ดาวน์โหลด

จากการตรวจสอบยังพบการเชื่อมโยงกันระหว่าง “ส่วนประกอบมัลแวร์อันตรายอย่าง Linux/Cdorked, Perl/Calfbot และ Win32/Glupteba.M” ทำให้เราสรุปได้ว่าทั้งหมดนี้เกิดจากกลุ่มคนกลุ่มเดียวกัน

เล็กพริกขี้หนู

เมื่อเราเทียบ Windigo กับแผนภัยคุกคามอื่นๆแล้ว Windigo มีขนาดค่อนข้างเล็กเพราะจากรายงานของ ESET มีการยืนยันจำนวนเซิร์ฟเวอร์ที่ Windigo ควบคุมอยู่ประมาณ 10,000 เซิร์ฟเวอร์ในปี 2014

แต่ประเด็นก็คือเซิร์ฟเวอร์ที่ Windigo เลือกนั้น “ประกอบไปด้วยทรัพยากรจำนวนมากอย่าง Bandwidth, พื้นที่และคุณสมบัติที่สูง” เนื่องจากพวกเขาไม่ได้มีเป้าหมายเป็นคอมพิวเตอร์ส่วนตัว

จริงๆ Windigo สามารถส่งข้อความรบกวนหรือข้อความสแปมได้มากกว่า 35 ล้านข้อความต่อวัน ด้วยสิ่งที่พวกเขามี

เข้า Windigo ยังสามารถแทรกซึมเข้าระบบปฏิบัติการต่าง ไม่เว้นแม้แต่ Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (ผ่าน Cygwin) และ Linux นอกจากนี้ยังสามารถเข้าไปถึงองค์การใหญ่ๆอย่าง cPanel และ Linux Foundation

กลยุทธ์ลับ

Windigo มีวิธีการทำงานที่สามารถหลีกเลี่ยงการตรวจจับได้โดยการหยุดกิจกรรมที่เสี่ยงต่อการถูกตรวจจับ

ทาง ESET สังเกตว่า Windigo นั้นมีเป้าหมายเป็นเว็บไซต์เล็กๆ อย่างเว็บอนาจารมากกว่าเว็บไซต์ใหญ่ๆ อาจเป็นเพราะกฎเกณฑ์ที่น้อยกว่า และพวกเขายังสามารถใช้ทรัพยากรภายในเพื่อทำกิจกรรมอื่นๆได้มากกว่า

ผนึกกำลัง

สิ่งที่ ESET ทำก็คือการตรวจสอบและต่อกรกับแฮกเกอร์ ESET ร่วมมือกับหลายองค์กรผู้เชี่ยวชาญทั่วโลกเช่น CERT-Bund, the Swedish National Infrastructure for Computing, และ European Organisation for Nuclear Research (CERN) เพื่อฟอร์มทีมขึ้นมา

สัตว์ร้ายยังอยู่

เช่นเดียวกันกับภัยคุกคามอื่นๆ ซิกเนเจอร์เดียวไม่อาจสามารถตามจับไวรัสมัลแวร์ได้ หากมัลแวร์ตัวนั้นวิวัฒนาการที่แฮกเกอร์พัฒนาขึ้นมาเพื่อหลบหนีการตรวจจับ

แต่ตั้งแต่รายงานของ Windigo ออกมาเมื่อปี 2014 ESET ยังคงเตรียมการเพื่อรับมือกับ Linux/Windigo อยู่ และมัลแวร์ตัวอื่นๆ

Source: https://www.welivesecurity.com/2017/03/17/flashback-friday-operation-windigo/
Translated by: Worapon H.

%d bloggers like this: