Malware

ESET จับมือกับหน่วยงานกฎหมายทั่วโลกเพื่อยับยั้งบอทเน็ต Gamarue

Microsoft และ ESET ร่วมมือกับหน่วยงานกฎหมายยับยั้งการทำงานของบอทเน็ต Gamarue และมัลแวร์ Wauchos

ในตอนนี้หน่วยงานกฎหมายทั่วโลกกำลังพยายามยุดยั้งการทำงานของบอทเน็ตของมัลแวร์ที่ชื่อว่า Gamarue หรือในชื่อที่ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos ซึ่งบอทเน็ต Gamarue แอบทำงานอยู่ลับๆในโลกอินเตอร์เน็ตมาเป็นเวลาหลายปี หลายฝ่ายรู้จักมันในนามว่า Andromeda

ทาง Microsoft ชักชวน ESET ให้ความช่วยเหลือด้านเทคนิคในปฏิบัติการนี้ เนื่องจากนักวิจัยของ ESET ทำการสำรวจและติดตามบอทเน็ตนี้มาอย่างใกล้ชิด ทั้งติดตามเซิร์ฟเวอร์ C&C และศึกษากระบวนการแพร่กระจายบนระบบของผู้ใช้ โดยทาง Microsoft มีหน้าที่ให้ข้อมูลกับทางหน่วยงานกฎหมาย ข้อมูลที่ทาง Microsoft ให้กับหน่วยงานกฎหมายมีดังนี้:

  • รูปแบบบอทเน็ต 464 แบบ
  • มัลแวร์ที่เกี่ยวข้อง 80 สายพันธุ์
  • โดเมนและไอพี 1,214 โดเมน

Wauchos: การแพร่ระบาดทั่วโลก

Wauchos ถูกค้นพบเมื่อประมาณเดือนกันยายน 2011 และมีทั้งหมด 5 เวอร์ชั่น แตกต่างกันไปตามจุดประสงค์ของแฮกเกอร์ ในภาพด้านล่างเป็นพื้นที่แพร่ระบาดของ Wauchos ทั่วโลกในเวลาที่มีการระบาดมากที่สุด

fig1-768x362

จากข้อมูลของทาง Microsoft บอกว่าการตรวจจับมัลแวร์ Wauchos ตลอด 6 เดือนที่ผ่านมาเกิดขึ้นบนอุปกรณ์เกือบ 1.1 ล้านเครื่องต่อเดือน

จากงานวิจัยมากมาย ฝ่าย ESET ให้ข้อมูลว่าตลอดการติดตามในทุกๆเดือน ทาง ESET พบเซิร์ฟเวอร์ C&C หลายสิบอัน

“Wauchos is mostly used to steal credentials, and to download and install additional malware onto a system. Thus, if a system is compromised with Wauchos, it’s likely that there will be several other malware families lurking on the same system,” นักวิจัย ESET คุณ Jean-Ian Boutin

มัลแวร์ตัวต่อมาที่บอทเน็ตดาวน์โหลดก็คือ Kasidet หรือ Neutrino bot นิยมใช้ในการโจมตี DDoS Attack และต่อมาคือ Kelihos กับ Lethic spambot ที่ใช้ส่งอีเมล์สแปม

โครงสร้างของ Wauchos มีความยืดหยุ่นและสามารถติดตั้งปลั๊กอินเสริมได้ง่าย แฮกเกอร์สามารถติดตั้งมัลแวร์อื่นๆอย่าง Keylogger และ Formgrabber เพื่อนำไปขโมยข้อมูลสำคัญของผู้ใช้ได้ หรือติดตั้ง Rootkit เพื่อซุกซ่อนมัลแวร์อื่นๆเข้าไปในระบบก็ได้เช่นกัน

คงไม่แปลกเลยที่ Wauchos จะได้รับความนิยมในหมู่แฮกเกอร์ และมีช่องทางแพร่กระจายที่หลากหลาย ทั้งโซเชี่ยลมีเดีย ข้อความ USB อีเมล์สแปม และ Exploit kits

spam_screenshot_edited

หลายครั้งที่ Wauchos เข้าไปพัวพันกับแผนการมัลแวร์อื่นๆ และทาง ESET จับสังเกตได้ว่าถ้า Keyboard Layout ของระบบเป็นภาษา รัสเซีย ยูเครน เบรารุส หรือคาซัค โค้ดจะไม่ทำงาน ซึ่งอาจบอกเป็นนัยๆได้ว่าผู้พัฒนามัลแวร์คงอาศัยอยู่ในประเทศเหล่านี้

หลายปีที่ผ่านมานี้ทาง ESET ก็ได้ให้ข้อมูลเทคนิคมากมายเพื่อนำไปประกอบการสืบสวนสอบสวนทั้งบอทเน็ต Dorkbot และ Mumblehard เครือข่าย Avalanche fast-flux ที่ไว้เรียกใช้งานบอทเน็ต

สำหรับผู้ใช้ที่ต้องการตรวจสอบว่าระบบหรือคอมพิวเตอร์ของตัวเองนั้นมีมัลแวร์เหล่านี้ฝังตัวอยู่หรือไม่ ถ้าคุณเป็นผู้ใช้ ESET สามารถเปิดใช้งานการสแกนได้เลย แต่ถ้าไม่ใช่ทางเรามี ESET Online Scanner ไว้สำหรับค้นหาและกำจัดมัลแวร์ภายในเครื่องได้แบบฟรีๆ

Author: TOMÁŠ FOLTÝN
Source:
https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-worldwide-to-disrupt-gamarue-botnet/
Translated by: Worapon H.

%d bloggers like this: