Malware

Botnets ภัยอันตรายที่ซ่อนอยู่ใต้เงาของ Ransomware

อีกหนึ่งภัยคุกคามที่ซ่อนตัวมานาน และยังคงเป็นเครื่องมือของแฮกเกอร์มาตลอด บอทเน็ต

ด้วยข่าวของโปรแกรมเรียกค่าไถ่ WannaCryptor ที่สื่อทุกแขนงออกมาพูดถึงอย่างต่อเนื่อง แต่เมื่อเราพิจารณาดูดีๆแล้ว ยังมีอีกภัยหนึ่งที่ยังคงทำงาน โดยอาศัยร่มเงาของภัยอื่นๆ

เราทราบดีว่าโปรแกรมเรียกค่าไถ่นั้นร้ายกาจแค่ไหน ความสามารถที่ทำให้เครื่องคอมพิวเตอร์ของเราใช้งานไม่ได้ แต่มีใครบ้างจะนึกถึงสิ่งที่มีความสามารถคล้ายคลึงกันอย่าง Botnet ที่สามารถเข้าควบคุมเครือข่าย Network ได้

ความน่ากลัวอย่างหนึ่งของ Botnet ที่อาจน่ากลัวยิ่งกว่า Ransomware ก็คือโอกาสที่แฮกเกอร์จะเปิดใช้งานเจ้าสิ่งนี้บนเครื่องของผู้ใช้ มีโอกาสสูงเกือบ 100% ก็ว่าได้ เพราะ Botnet สามารถทำงานโดยไม่ให้ใครรู้ได้ ต่างกับ Ransomware ที่เห็นได้อย่างชัดเจน

Botnet ไม่เพียงสร้างความเดือดร้อนให้กับเจ้าของเครื่องเท่านั้น แต่ยังสามารถถูกใช้เป็นเครื่องมือเพื่อสร้างความเดือดร้อนให้กับเครื่องคอมพิวเตอร์เครื่องอื่นๆ อย่างการถูกใช้เป็นแหล่งส่งอีเมล์สแปม ส่งอีเมล์ปลอม หรือแม้กระทั่งแพร่กระจาย Ransomware และหมัดเด็ดของมันก็คือ DDoS Attack ที่สามารถล่มเซิร์ฟเวอร์หรือเว็บไซต์ใหญ่ๆได้อย่างง่ายดาย

นอกจากนี้ Botnet ยังสามารถเจาะเข้าไปในเครื่องของผู้ใช้เพื่อค้นหารายละเอียดบัญชีธนาคารหรือโซเชี่ยลมีเดีย หรือใช้เป็นกำลังขุดหาเงินสกุล Bitcoin และอีกอย่างก็คือผู้บังคับ Botnet สามารถล็อคคอมพิวเตอร์เครื่องนั้นได้เหมือนกับ Ransomware

พัฒนาการของ Botnet

ในบรรดาอาชญากรรมไซเบอร์ทั้งหมด แฮกเกอร์ผู้ใช้ Botnet นับว่าเป็นผู้ที่ใช้ประโยชน์จากคอมพิวเตอร์ที่หามาได้มากที่สุด โดยส่วนมากจะใช้เพื่อทำเงินด้วยการส่งสแปม ในแต่ละวัน Botnet สามารถส่งสแปมได้เป็นล้านครั้ง ยกตัวอย่าง Botnet Marina ที่สามารถส่งอีเมล์สแปมได้ถึง 900 ล้านครั้งต่อวัน

และสาเหตุที่ Botnet ที่ใหญ่ที่สุดในโลกโดนตรวจสอบก็เป็นเพราะขนาดการทำงานของมันใหญ่เกินที่จะหลบซ่อนจากผู้ตรวจสอบได้ ดังนั้นผู้เขียน Botnet จึงต้องหาทางหลีกเลี่ยงการตรวจจับ ด้วยการทิ้งเซิร์ฟเวอร์หลัก และใช้ P2P รับ-ส่งคำสั่งแทน

เมื่อช่วงเดือนธันวาคม 2016 Botnet Avalance ถูกปิดตัวลงด้วยความช่วยเหลือขององค์กรความปลอดภัย และ ESET โครงสร้างพื้นฐานของ Avalance มีความยืดหยุ่นมากกว่า Fast-Flux เนื่องจากความถี่ของการเปลี่ยน IP และ เซิร์ฟเวอร์ C&C และชื่อเซิร์ฟเวอร์ จนถูกขนานนามว่าเป็น Doubled Fast-Flux

Botnet ทั้งหมดทั้งมวลมีจำนวนมากกว่า 800,000 โดเมน และ 220 เซิร์ฟเวอร์ ซึ่งมีผู้ได้รับผลกระทบมากกว่าล้านราย โดยครึ่งหนึ่งทราบโดยผู้ให้บริการอินเตอร์เน็ต Avalance แพร่กระจายมัลแวร์หลายตัว โดยส่วนมากใช้เพื่อ ขโมยข้อมูล และแพร่กระจาย Ransomware

Botnets: ไม่ใช่เรื่องส่วนตัว

Botnet ไม่ได้สร้างผลกระทบแค่เพียงคอมพิวเตอร์เครื่องที่แฮกเกอร์เจาะเข้าไป แต่ทั้งเซิร์ฟเวอร์ และอื่นๆก็เป็นประโยชน์กับแฮกเกอร์เช่นเดียวกัน

เว็บเซิร์ฟเวอร์ที่บอทเน็ตอาศัยอยู่สามารถสร้างทราฟฟิค ได้มากกว่าคอมพิวเตอร์ทั่วไป ถือว่าเหมาะสมที่จะใช้ปล่อยสแปมเป็นอย่างยิ่ง

อุปกรณ์ที่สามารถเชื่อมต่ออินเตอร์เน็ตได้ (IoT) ก็ถือว่าเป็นกองกำลังสำคัญของบอทเน็ตเช่นเดียวกัน แต่แนวโน้มการเพิ่มขึ้นของ IoT นั้นค่อนข้างเร็ว Gartner บอกกับเราว่าจำนวนของอุปกรณ์ที่สามารถเชื่อมต่ออินเตอร์เน็ตได้อาจมีจำนวนสูงถึง 208 ล้านภายใน 2020

เข้ายึดเซิร์ฟเวอร์

Operation Windigo หนึ่งในเซิร์ฟเวอร์บอทเน็ตขนาดยักษ์ที่ ESET เคยตรวจสอบเมื่อปี 2014 ทางเราพบว่าเซิร์ฟเวอร์มากกว่า 25,000 ถูกควบคุมโดยบอทเน็ตในช่วงเวลา 2 ปีของการทำงาน โดยถูกใช้เพื่อส่งเนื้อหาอันตรายและเคยส่งสแปมจำนวน 35 ล้านครั้งต่อวัน

Mumblehard เป็นอีกหนึ่งบอทเน็ตที่ถูกปิดตัวลง แต่ก่อนที่จะถูกปิดตัวมันได้เข้าไปอยู่เซิร์ฟเวอร์มากกว่า 4,000 เซิร์ฟเวอร์ และใช้ส่งสแปม โดยแฮกเกอร์เขียนสคริปต์และอ้างอิงกับ Blacklist ของ Spamhaus Composite Blocking List เพื่อหา IP ของ Spam-bots และเมื่อพบ IP ที่ตรงกันสคริปต์จะทำการลบ IP นั้นออก

เข้ายึด IoT

IoT Botnet เป็ฯที่รู้จักครั้งแรกเมื่อเดือนตุลาคม 2016 เมื่อระบบของผู้ให้บริการ Domain Name System (DNS) ชื่อว่า Dyn ถูกใช้เพื่อเริ่มต้นการโจมตี DDoS Attack ที่ทำให้เว็บไซต์อย่าง Twitter, SoundCloud, Spotify และอื่นๆ หยุดทำงานชั่วคราว ด้วยความช่วยเหลือด้านข้อมูลของ Mirai Botnet

Mirai เป็นเครือข่ายที่ได้มาจากผู้ใช้กล้องวงจรปิด และเร้าเตอร์ โดยซอฟต์แวร์ของ Mirai จะสแกนหาช่องโหว่ของอุปกรณ์ อย่างอุปกรณืที่ไม่อัพเดต หรือใช้รหัสผ่านเริ่มต้นและดึงเข้ามาเป็นส่วนหนึ่งของบอทเน็ต

ภัยคุกคามที่ถูกมองข้าม: ถ้าบอทเน็ตมีโปรแกรมเรียกค่าไถ่

บอทเน็ตมีความสามารถที่อันตรายกว่าโปรแกรมเรียกค่าไถ่ เพราะเมื่อเทียบกับโปรแกรมเรียกค่าไถ่ WannaCryptor กระทบคอมพิวเตอร์เพียง 350,000 เครื่อง แต่บอทเน็ตมีคอมพิวเตอร์นับล้าน

จากการตรวจสอบเราพบว่าบอทเน็ตมีจำนวนมากกว่า 500 ล้านเครื่องทั่วโลก และมีจำนวนเพิ่มขึ้นเรื่อยๆทุกปี แต่เพียงแฮกเกอร์ไม่สั่งให้เข้ารหัส และด้วยโอกาสในการเข้าเครื่องเกือบ 100% ยิ่งทำให้บอทเน็ตอันตรายเข้าไปใหญ่

การป้องกันบอทเน็ต

สำหรับบอทเน็ตต้องอาศัยการป้องกันหลายชั้น ด้วยโปรแกรมรักษาความปลอดภัยที่มีฟังก์ชั่น Botnet Protection ที่ช่วยตรวจจับการสื่อสารที่ต้องสงสัย เพื่อขัดขวางและรายงานต่อผู้ใช้ ซึ่งฟังก์ชั่นนี้อยู่ในผลิตภัณฑ์รักษาความปลอดภัยของ ESET

โปรแกรมเรียกค่าไถ่ (Ransomware) เป็นภัยร้ายแรงที่สร้างความเสียหายและเห็นได้ง่าย ในขณะที่บอทเน็ตทำงานอยู่เบื้องหลังจนเราไม่อาจสังเกตเห็น ดังนั้นอย่าปล่อยให้องค์กรของคุณมีช่องโหว่ให้ภัยเหล่านี้โจมตีคุณและองค์กรของคุณได้

Source: https://www.welivesecurity.com/2017/06/07/botnets-overshadowed-ransomware-media/
Translated by: Worapon H.

%d bloggers like this: