Malware

ESET ช่วยเหลือปฏิบัติการระดับชาติเพื่อยับยั้ง Gamarue

ESET ร่วมกับ Microsoft และหน่วยงานกฎหมายร่วมมือกันติดตามและหยุดการทำงานบอทเน็ต Wauchos

ทีมงาน ESET ร่วมมือกับหน่วยงานบังคับใช้กฎหมาย เพื่อหยุดการทำงานบอทเน็ตที่อยู่บนอินเตอร์เน็ตมาเป็ฯเวลานาน อย่างบอทเน็ต Gamarue หรือ Andromeda ครั้งนี้มีกำลังจากหลายหน่วยงานทั้ง Microsoft, ESET และผู้บังคับใช้กฎหมายจากทั่วโลก

Gamarue หรือในชื่อที่ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos เริ่มพบตั้งแต่เดือนกันยายน 2011 หรือก่อนหน้า ส่วนมากพบในฟอรั่มใต้ดินและเป็นส่วนประกอบของเครื่องมือในแผนการอาชญากรรมไซเบอร์

Wauchos เคยเป็นหนึ่งในมัลแวร์ที่ทาง ESET ตรวจจับได้มากที่สุด ด้วยเหตุนี้ทาง Microsoft จึงให้ความร่วมมือในการกำจัดมัน เพื่อความปลอดภัยของผู้ใช้ในวงกว้าง

ทาง ESET มีหน้าที่ให้ข้อมูลวิเคราะห์เชิงเทคนิคของ Wauchos ทั้งหาเซิร์ฟเวอร์ C&C ติดตามกิจกรรมและการแพร่กระจายเข้าในระบบของผู้ใช้ สำหรับ Microsoft มีหน้าที่ให้ข้อมูลกับหน่วยงานกฎหมาย และให้ข้อมูลเกี่ยวกับ Wauchos:

  • 1,214 ไอพีและโดเมนที่ถูกควบคุมผ่านเซิร์ฟเวอร์ C&C
  • 464 บอทเน็ต
  • 80 มัลแวร์

ในรูปภาพด้านล่างจะแสดงให้เห็นการกระจายของ Wauchos ทั่วโลก เมื่อเดือนธันวาคมปี 2016 เป็นเวลาที่ Wauchos ระบาดหนักที่สุด ด้วยเหตุนี้เราจึงเลือกเวลานี้เป็นช่วงที่เราทำงานวิจัย

fig1-768x362

ถ้าคุณสงสัยว่าคอมพิวเตอร์ของคุณหรือระบบของคุณมี Wauchos อาศัยอยู่หรือไม่ ให้ลองสแกนด้วยโปรแกรมรักษาความปลอดภัย หรือ Online Scanner ของ ESET เพื่อค้นหาและกำจัด Wauchos และภัยคุกคามอื่นๆบนคอมพิวเตอร์ของคุณ

Wauchos คืออะไร?

Wauchos คือมัลแวร์ที่แพร่กระจายอยู่บนโลกอินเตอร์เน็ตมาเป็นเวลาหลายปี ในบทความนี้เราจะอธิบายถึงความสามารถและวิธีการแพร่กระจายของมัน

ความสามารถของมัลแวร์ Wauchos ก็คือการขโมยข้อมูล และดาวน์โหลดมัลแวร์ลงบนระบบ ซึ่งเท่ากับการเปิดทางให้มัลแวร์อื่นๆเข้ามาในระบบได้ด้วย

นอกจากนี้ Wauchos ยังรับรองการติดตั้งปลั๊กอินเสริม อย่างเช่น Keylogger, Formgrabber, Rootkit, SOCKS proxy และ TeamViewer bot ซึ่งการใช้งานแตกต่างไปตามเป้าหมายของแฮกเกอร์ โดยเวอร์ชั่นของ Wauchos จะมีตั้งแต่ 2.06, 2.07, 2.08, 2.09 และ 2.10 ใน 3 เวอร์ชั่นแรกถูกออกแบบมาเพื่อส่ง POST request ให้เซิร์ฟเวอร์ C&C ซึ่งในเวอร์ชั่นต่อมาผู้พัฒนาได้ถอน bv parameter ออกเพื่อหลีกเลี่ยงการตรวจจับ

หลังจากเวอร์ชั่น 2.06 หลุดออกมา จำนวน Wauchos ที่เราตรวจจับได้ก็มากขึ้น จนท้ายที่สุดในเวอร์ชั่น 2.10 ที่ระบาดมากที่สุด

ด้วยความสามารถในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C ทำให้ Wauchos ตอบโจทย์แฮกเกอร์จำนวนมาก ตลอดการสังเกตการณ์มัลแวร์ตัวนี้ เราพบเซิร์ฟเวอร์ C&C ของ Wauchos มากขึ้นทุกเดือน

การแพร่กระจาย

ด้วยความนิยมของ Wauchos ทำให้กระบวนการแพร่กระจายของมัลแวร์นั้นค่อนข้างหลากหลาย จากข้อมูลที่ผ่านมา Wauchos แพร่กระจายผ่านโซเชี่ยลมีเดีย, ข้อความ, USB, สแปม และ Exploit kits ในภาพด้านล่างจะเป็นอีเมล์สแปมที่มี Wauchos ติดมาด้วย

spam_screenshot_edited

Pay-per-install มัลแวร์

อย่างบอกในช่วงต้นบทความ Wauchos นั้นเป็นส่วนประกอบของมัลแวร์หลายสายพันธุ์ ด้วยระบบอัตโนมัติของเราทำให้เราได้รับสถิติที่มัลแวร์ Wauchos ดาวน์โหลดมัลแวร์อื่นๆ จากภาพด้านล่างจะเห็นปลั๊กอินที่ Wauchos ดาวน์โหลดขึ้นมาจากการออกคำสั่งผ่านเซิร์ฟเวอร์ C&C

fig6-768x499

การดาวน์โหลดครั้งแรกมักเป็นปลั๊กอิน อ้างอิงจากข้อมูลเมื่อเดือนธันวาคม 20161 มัลแวร์ที่เราพบมากที่สุดก็คือสแปมบอท Win32/Kasidet, Win32/Kelihos หรือ Win32/Lethic ซึ่งส่วนประกอบเหล่านี้จะถูกนำไปต่อยอด

สรุป

Wauchos เป็นบอทเน็ตที่สามารถเปลี่ยนรูปแบบได้ในทุกๆปี โดย ESET แกะรอยผ่านโครงสร้าง C&C เซิร์ฟเวอร์ ข้อมูลที่ได้มาอย่างพฤติกรรมของมัลแวร์ และอื่นๆ จะช่วยให้เราสามารถติดตามและจำกัด Wauchos ได้

โดย Wauchos ใช้วิธีบ้านๆในการแทรกซึมเข้าระบบ นั่นก็คือไฟล์ที่ติดไวรัส เพราะฉะนั้นผู้ใช้ต้องระมัดระวังเวลาเปิดไฟล์ ต่างไม่ว่าจะมาจากอีเมล์ หรือโซเชี่ยลมีเดีย ถ้าคุณคิดว่า Wauchos ได้แทรกซึมเข้าสู่ระบบคุณหรือไม่เรามีซอฟต์แวร์ Online Scanner ให้ใช้กัน ผลิตภัณฑ์ของ ESET สามารถตรวจจับมัลแวร์ Wauchos ได้เป็นพันๆสายพันธุ์ที่บอทเน็ตของ Wauchos แพร่กระจายอยู่

Author: JEAN-IAN BOUTIN
Source:
https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue/
Translated by: Worapon H.

%d bloggers like this: