Malware

วิจัย ESET: Wauchos กำลังจะสูญพันธุ์?

บอทเน็ต Wauchos จะหมดไปจากโลกนี้หรือไม่ หลังการรวมตัวกันของ Microsoft, ESET และหน่วยงานกฎหมายยุติการทำงาน

จากความร่วมมือของ ESET และผู้บังคับใช้กฎหมายทั่วโลกเพื่อขัดขวางการทำงานของบอทเน็ต บอทเน็ต (Botnet) หรือเครือข่ายของบอทที่รับคำสั่งจากผู้สร้าง เป็นมัลแวร์ชนิดหนึ่ง ซึ่ง Wauchos หรือในชื่อ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos หรือด้วยฉายา Gamarue และ Andromeda

ด้วยความร่วมมือของ Microsoft และ ESET ที่ช่วยสนับสนุนข้อมูลเชิงเทคนิคมาเป็นเวลานับปี หาเอกลักษณ์คำสั่งเฉพาะที่ใช้ติดต่อกับเซิร์ฟเวอร์ C&C และกระบวนการที่ใช้แทรกซึมเข้าสู่ระบบของเป้าหมาย

วันนี้นักวิจัยความปลอดภัยของ ESET คุณ Jean-Ian Boutin จะพูดถึงบทบาทของ ESET ในปฏิบัติการครั้งนี้

ถ้า Wauchos เป็นมัลแวร์ที่อยู่มานานที่สุด คำถามคืออะไรที่ทำให้ Wauchos อยู่มานานได้ขนาดนี้?

Wauchos เริ่มทำงานมาตั้งแต่ 2011 และเปิดขายอยู่ในฟอรั่มใต้ดิน ด้วยฟีเจอร์หลากหลาย และมีการพัฒนาขึ้นเรื่อยๆ จึงทำให้เหล่ามิฉาชีพออนไลน์ให้ความสนใจและใช้งานต่อเนื่อง

ทำไมการยับยั้ง Wauchos ถึงใช้เวลานาน?

ปฏิบัติการยับยั้ง Wauchos เริ่มตั้งแต่ปี 2015 เพื่อเตรียมความพร้อมฝ่ายกฎหมาย และเครื่องมือที่ใช้สำหรับการหยุดการทำงานบอทเน็ต เพราะตัวบอทเน็ตสามารถสร้างความเสียหายให้กับระบบอื่นๆได้ด้วย

ประเทศไหนบ้างที่มีการระบาดหนักที่สุด?

พื้นที่การแพร่ระบาดในช่วง 6 เดือนที่ผ่านมาอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ และอเมริการใต้

อุปกรณ์แบบไหนที่ได้รับผลกระทบมากที่สุด คอมพิวเตอร์ส่วนตัว, คอมพิวเตอร์ขององค์กร หรือเครื่องเซิร์ฟเวอร์?

Wauchos แพร่กระจายผ่านช่องทางโซเชี่ยลมีเดีย, อุปกรณ์ถอดเข้าออกอย่าง USB Flash Drive และป๊อปอัพ Drive-by Download บนเว็บไซต์ ซึ่งทั้งหมดนี้ไม่ได้ถูกกำหนดเป้าหมายว่าเป็นผู้ใช้ในบ้าน หรือองค์กร คอมพิวเตอร์ทุกเครื่องมีโอกาสที่จะกลายเป็นเหยื่อได้

หน้าที่ของคุณในปฏิบัติการนี้คืออะไร? และการร่วมมือกับ Microsoft และหน่วยงานบังคับใช้กฎหมายเป็นอย่างไรบ้าง?

บทบาทของเราในปฏิบัติการนี้คืองานฝั่งเทคนิคต่างๆ ผลการวิเคราะห์มัลแวร์ และ เซิร์ฟเวอร์ C&C ที่บอทเน็ตแต่ละตัวทำงานอยู่ ด้วยเหตุผลที่ Wauchos ถูกนำไปขายในตลาดมืด เราจึงจำเป็นต้องหยุดการทำงานมันลงพร้อมกัน ซึ่งเราก็มีหน้าที่ในการติดตามหาตำแหน่งของบอทเน็ต

คุณได้ตัวมัลแวร์เบื้องหลังบอทเน็ตและวิเคราะห์มันได้อย่างไร?

ขั้นตอนแรกเราวิเคราะห์โปรโตคอลของบอทเน็ต และพฤติกรรมของมันในแพลตฟอร์ม Botnet Tracker ในแพลตฟอร์มนี้สามารถวิเคราะห์ตัวอย่างที่ได้รับจากผู้ใช้งานของเราได้แบบอัตโนมัติ หาข้อมูลที่เกี่ยวข้องและเชื่อมต่อกับเซิร์ฟเวอร์ C&C ของมัลแวร์โดยตรง เท่านี้เราก็สามารถรวบรวมข้อมูลที่เกี่ยวข้องโดยใช้ตัวอย่างของ Wauchos ที่ได้รับมาจากผู้ใช้ที่รายงานเข้ามา

คุณทำงานอย่างไรโดยไม่ให้อาชญากรอย่างแฮกเกอร์รู้ตัว?

แน่นอนที่ปฏิบัติการนี้ต้องดำเนินการไปโดยไม่ให้แฮกเกอร์รู้ตัว ดังนั้นสิ่งที่เราทำก็คือการปิดบังตัวตนของเราให้เป็นความลับเท่านั้นเอง

Wauchos ส่งผลร้ายอะไรต่อคอมพิวเตอร์ที่มันฝังตัวอยู่?

จากที่ผ่านมา Wauchos ถูกใช้เป็นเครื่องมือในการขโมยข้อมูลรหัสล็อคอินต่างๆ จากปลั๊กอินและติดตั้งโปรแกรมอันตรายบนเครื่องคอมพิวเตอร์

สาเหตุที่ Wauchos เข้าไปในระบบ?

Wauchos_interview2-768x465

กระบวนการแพร่กระจายของ Wauchos ขึ้นอยู่กับแฮกเกอร์ที่ใช้งานมัน แต่ส่วนมากกระบวนการที่ใช้แพร่กระจาย Wauchos คือผ่าน Social Media, ข้อความ, อุปกรณ์ถอดเข้าถอดออกอย่าง USB หรือ Flash Drive และชุดเจาะช่องโหว่

ผู้ใช้จะรู้สึกได้หรือไม่ว่าคอมพิวเตอร์หรือระบบของตัวเองมี Wauchos ฝังอยู่?

ส่วนมากจะไม่รู้สึก

บอทเน็ตสร้างรายได้ให้กับแฮกเกอร์ได้อย่างไร แล้วบอทเน็ตถูกสร้างขึ้นมาเพื่ออะไร?

ถ้านับตัว Wauchos ที่ขายอยู่ในฟอรั่มใต้ดิน รายรับที่แฮกเกอร์จะได้ก็มาจากการขโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน และเป็นค่าใช้จ่ายในการติดตั้งโปรแกรมอะไรสักอย่างที่ฝังมัลแวร์เอาไว้

โครงสร้างเซิร์ฟเวอร์ C&C ของ Wauchos เป็นแบบไหน?

ผู้ควบคุม Wauchos ใช้เซิร์ฟเวอร์จากหลายพื้นที่พร้อมกัน ซึ่งเราต้องปิดมันลงพร้อมๆกัน

อะไรเป็นหลักฐานหรือตัวชี้วัดว่าเซิร์ฟเวอร์ C&C นี้เป็นของบอทเน็ต?

บอทของ Wauchos มีรูปแบบการติดต่อสื่อสารกับเครือข่าย ซึ่งทำให้เราสามารถออกแบบการป้องกันให้กับผู้ใช้ของเรา และทำให้เราสามารถตรวจจับมันได้

ทราฟฟิคของ C&C เป็นรูปแบบเข้ารหัสหรือไม่?

ใช่ครับ เป็นรูปแบบ RC4

มัลแวร์ของบอทเน็ตสามารถแทรกแซงฟังก์ชั่นของระบบปฏิบัติการได้อย่างไร?

Wauchos สามารถแทรกแซงได้หลายวิธี อย่างเช่น การปิด Windows Firewall, Windows Update และฟังก์ชั่น User Account Control

ทางผู้ผลิต Wauchos ได้ใช้ anti-VM หรือ anti-sandbox หรือไม่?

เนื่องด้วย Wauchos ถูกนำไปขายไว้ในตลาดมืด ดังนั้นแฮกเกอร์สามารถนำเอาไปดัดแปลง และทดลองต่างๆ รวมถึง anti-VM หรือ anti-sandbox ด้วย

จากประสบการณ์ยับยั้งบอทเน็ตของคุณ ในพื้นที่วางขาย Wauchos จะเป็นอย่างไร?

ผมว่ามันน่าจะค่อยๆฟื้นตัวขึ้นมาอย่างช้าๆ เนื่องจากการเอา Wauchos ออกจากระบบนั้นไม่ใช่เรื่องง่าย แต่ตราบใดที่เรายังคงเป็นผู้ควบคุมเซิร์ฟเวอร์ C&C อยู่ ก็จะไม่มีใครออกคำสั่งโจมตีเครื่องเหล่านี้ได้

อาการแบบไหนที่เป็นสัญญาณว่าคอมพิวเตอร์ของคุณถูกเอาไปเป็นบอทเน็ต?

ขึ้นอยู่กับสายพันธุ์ของมัลแวร์ ถ้าคุณเห็นอะไรแปลกๆอย่างโปรแกรมรักษาความปลอดภัยหยุดทำงาน หรือไม่อัพเดตอัตโนมัติ หรือคุณไม่สามารถอัพเดต Windows ได้ ถ้าหากคุณพบอาการเหล่านี้ หรืออื่นๆ คุณสามารถสแกนคอมพิวเตอร์ของคุณได้ฟรีๆ โดยใช้ ESET’s Online Scanner

เราจะมั่นใจได้ว่าเราจะไม่เป็นเหยื่อของบอทเน็ตได้อย่างไร?

มัลแวร์ส่วนมากไม่สามารถติดตั้งโปรแกรมอันตรายลงบนระบบของผู้ใช้ โดยที่ผู้ใช้ไม่รับรู้ได้ เพราะฉะนั้นผู้ใช้ต้องระมัดระวังในการติดตั้งโปรแกรมจากที่ๆไม่ปลอดภัย

Author: TOMÁŠ FOLTÝN
Source:
https://www.welivesecurity.com/2018/01/04/wauchos-now-headed-extinction/
Translated by: Worapon H.

%d bloggers like this: