จากความร่วมมือของ ESET และผู้บังคับใช้กฎหมายทั่วโลกเพื่อขัดขวางการทำงานของบอทเน็ต บอทเน็ต (Botnet) หรือเครือข่ายของบอทที่รับคำสั่งจากผู้สร้าง เป็นมัลแวร์ชนิดหนึ่ง ซึ่ง Wauchos หรือในชื่อ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos หรือด้วยฉายา Gamarue และ Andromeda
ด้วยความร่วมมือของ Microsoft และ ESET ที่ช่วยสนับสนุนข้อมูลเชิงเทคนิคมาเป็นเวลานับปี หาเอกลักษณ์คำสั่งเฉพาะที่ใช้ติดต่อกับเซิร์ฟเวอร์ C&C และกระบวนการที่ใช้แทรกซึมเข้าสู่ระบบของเป้าหมาย
วันนี้นักวิจัยความปลอดภัยของ ESET คุณ Jean-Ian Boutin จะพูดถึงบทบาทของ ESET ในปฏิบัติการครั้งนี้
ถ้า Wauchos เป็นมัลแวร์ที่อยู่มานานที่สุด คำถามคืออะไรที่ทำให้ Wauchos อยู่มานานได้ขนาดนี้?
Wauchos เริ่มทำงานมาตั้งแต่ 2011 และเปิดขายอยู่ในฟอรั่มใต้ดิน ด้วยฟีเจอร์หลากหลาย และมีการพัฒนาขึ้นเรื่อยๆ จึงทำให้เหล่ามิฉาชีพออนไลน์ให้ความสนใจและใช้งานต่อเนื่อง
ทำไมการยับยั้ง Wauchos ถึงใช้เวลานาน?
ปฏิบัติการยับยั้ง Wauchos เริ่มตั้งแต่ปี 2015 เพื่อเตรียมความพร้อมฝ่ายกฎหมาย และเครื่องมือที่ใช้สำหรับการหยุดการทำงานบอทเน็ต เพราะตัวบอทเน็ตสามารถสร้างความเสียหายให้กับระบบอื่นๆได้ด้วย
ประเทศไหนบ้างที่มีการระบาดหนักที่สุด?
พื้นที่การแพร่ระบาดในช่วง 6 เดือนที่ผ่านมาอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ และอเมริการใต้
อุปกรณ์แบบไหนที่ได้รับผลกระทบมากที่สุด คอมพิวเตอร์ส่วนตัว, คอมพิวเตอร์ขององค์กร หรือเครื่องเซิร์ฟเวอร์?
Wauchos แพร่กระจายผ่านช่องทางโซเชี่ยลมีเดีย, อุปกรณ์ถอดเข้า–ออกอย่าง USB Flash Drive และป๊อปอัพ Drive-by Download บนเว็บไซต์ ซึ่งทั้งหมดนี้ไม่ได้ถูกกำหนดเป้าหมายว่าเป็นผู้ใช้ในบ้าน หรือองค์กร คอมพิวเตอร์ทุกเครื่องมีโอกาสที่จะกลายเป็นเหยื่อได้
หน้าที่ของคุณในปฏิบัติการนี้คืออะไร? และการร่วมมือกับ Microsoft และหน่วยงานบังคับใช้กฎหมายเป็นอย่างไรบ้าง?
บทบาทของเราในปฏิบัติการนี้คืองานฝั่งเทคนิคต่างๆ ผลการวิเคราะห์มัลแวร์ และ เซิร์ฟเวอร์ C&C ที่บอทเน็ตแต่ละตัวทำงานอยู่ ด้วยเหตุผลที่ Wauchos ถูกนำไปขายในตลาดมืด เราจึงจำเป็นต้องหยุดการทำงานมันลงพร้อมกัน ซึ่งเราก็มีหน้าที่ในการติดตามหาตำแหน่งของบอทเน็ต
คุณได้ตัวมัลแวร์เบื้องหลังบอทเน็ตและวิเคราะห์มันได้อย่างไร?
ขั้นตอนแรกเราวิเคราะห์โปรโตคอลของบอทเน็ต และพฤติกรรมของมันในแพลตฟอร์ม Botnet Tracker ในแพลตฟอร์มนี้สามารถวิเคราะห์ตัวอย่างที่ได้รับจากผู้ใช้งานของเราได้แบบอัตโนมัติ หาข้อมูลที่เกี่ยวข้องและเชื่อมต่อกับเซิร์ฟเวอร์ C&C ของมัลแวร์โดยตรง เท่านี้เราก็สามารถรวบรวมข้อมูลที่เกี่ยวข้องโดยใช้ตัวอย่างของ Wauchos ที่ได้รับมาจากผู้ใช้ที่รายงานเข้ามา
คุณทำงานอย่างไรโดยไม่ให้อาชญากรอย่างแฮกเกอร์รู้ตัว?
แน่นอนที่ปฏิบัติการนี้ต้องดำเนินการไปโดยไม่ให้แฮกเกอร์รู้ตัว ดังนั้นสิ่งที่เราทำก็คือการปิดบังตัวตนของเราให้เป็นความลับเท่านั้นเอง
Wauchos ส่งผลร้ายอะไรต่อคอมพิวเตอร์ที่มันฝังตัวอยู่?
จากที่ผ่านมา Wauchos ถูกใช้เป็นเครื่องมือในการขโมยข้อมูลรหัสล็อคอินต่างๆ จากปลั๊กอินและติดตั้งโปรแกรมอันตรายบนเครื่องคอมพิวเตอร์
สาเหตุที่ Wauchos เข้าไปในระบบ?
กระบวนการแพร่กระจายของ Wauchos ขึ้นอยู่กับแฮกเกอร์ที่ใช้งานมัน แต่ส่วนมากกระบวนการที่ใช้แพร่กระจาย Wauchos คือผ่าน Social Media, ข้อความ, อุปกรณ์ถอดเข้าถอดออกอย่าง USB หรือ Flash Drive และชุดเจาะช่องโหว่
ผู้ใช้จะรู้สึกได้หรือไม่ว่าคอมพิวเตอร์หรือระบบของตัวเองมี Wauchos ฝังอยู่?
ส่วนมากจะไม่รู้สึก
บอทเน็ตสร้างรายได้ให้กับแฮกเกอร์ได้อย่างไร แล้วบอทเน็ตถูกสร้างขึ้นมาเพื่ออะไร?
ถ้านับตัว Wauchos ที่ขายอยู่ในฟอรั่มใต้ดิน รายรับที่แฮกเกอร์จะได้ก็มาจากการขโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน และเป็นค่าใช้จ่ายในการติดตั้งโปรแกรมอะไรสักอย่างที่ฝังมัลแวร์เอาไว้
โครงสร้างเซิร์ฟเวอร์ C&C ของ Wauchos เป็นแบบไหน?
ผู้ควบคุม Wauchos ใช้เซิร์ฟเวอร์จากหลายพื้นที่พร้อมกัน ซึ่งเราต้องปิดมันลงพร้อมๆกัน
อะไรเป็นหลักฐานหรือตัวชี้วัดว่าเซิร์ฟเวอร์ C&C นี้เป็นของบอทเน็ต?
บอทของ Wauchos มีรูปแบบการติดต่อสื่อสารกับเครือข่าย ซึ่งทำให้เราสามารถออกแบบการป้องกันให้กับผู้ใช้ของเรา และทำให้เราสามารถตรวจจับมันได้
ทราฟฟิคของ C&C เป็นรูปแบบเข้ารหัสหรือไม่?
ใช่ครับ เป็นรูปแบบ RC4
มัลแวร์ของบอทเน็ตสามารถแทรกแซงฟังก์ชั่นของระบบปฏิบัติการได้อย่างไร?
Wauchos สามารถแทรกแซงได้หลายวิธี อย่างเช่น การปิด Windows Firewall, Windows Update และฟังก์ชั่น User Account Control
ทางผู้ผลิต Wauchos ได้ใช้ anti-VM หรือ anti-sandbox หรือไม่?
เนื่องด้วย Wauchos ถูกนำไปขายไว้ในตลาดมืด ดังนั้นแฮกเกอร์สามารถนำเอาไปดัดแปลง และทดลองต่างๆ รวมถึง anti-VM หรือ anti-sandbox ด้วย
จากประสบการณ์ยับยั้งบอทเน็ตของคุณ ในพื้นที่วางขาย Wauchos จะเป็นอย่างไร?
ผมว่ามันน่าจะค่อยๆฟื้นตัวขึ้นมาอย่างช้าๆ เนื่องจากการเอา Wauchos ออกจากระบบนั้นไม่ใช่เรื่องง่าย แต่ตราบใดที่เรายังคงเป็นผู้ควบคุมเซิร์ฟเวอร์ C&C อยู่ ก็จะไม่มีใครออกคำสั่งโจมตีเครื่องเหล่านี้ได้
อาการแบบไหนที่เป็นสัญญาณว่าคอมพิวเตอร์ของคุณถูกเอาไปเป็นบอทเน็ต?
ขึ้นอยู่กับสายพันธุ์ของมัลแวร์ ถ้าคุณเห็นอะไรแปลกๆอย่างโปรแกรมรักษาความปลอดภัยหยุดทำงาน หรือไม่อัพเดตอัตโนมัติ หรือคุณไม่สามารถอัพเดต Windows ได้ ถ้าหากคุณพบอาการเหล่านี้ หรืออื่นๆ คุณสามารถสแกนคอมพิวเตอร์ของคุณได้ฟรีๆ โดยใช้ ESET’s Online Scanner
เราจะมั่นใจได้ว่าเราจะไม่เป็นเหยื่อของบอทเน็ตได้อย่างไร?
มัลแวร์ส่วนมากไม่สามารถติดตั้งโปรแกรมอันตรายลงบนระบบของผู้ใช้ โดยที่ผู้ใช้ไม่รับรู้ได้ เพราะฉะนั้นผู้ใช้ต้องระมัดระวังในการติดตั้งโปรแกรมจากที่ๆไม่ปลอดภัย
Author: TOMÁŠ FOLTÝN
Source: https://www.welivesecurity.com/2018/01/04/wauchos-now-headed-extinction/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
จากความร่วมมือของ ESET และผู้บังคับใช้กฎหมายทั่วโลกเพื่อขัดขวางการทำงานของบอทเน็ต บอทเน็ต (Botnet) หรือเครือข่ายของบอทที่รับคำสั่งจากผู้สร้าง เป็นมัลแวร์ชนิดหนึ่ง ซึ่ง Wauchos หรือในชื่อ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos หรือด้วยฉายา Gamarue และ Andromeda
ด้วยความร่วมมือของ Microsoft และ ESET ที่ช่วยสนับสนุนข้อมูลเชิงเทคนิคมาเป็นเวลานับปี หาเอกลักษณ์คำสั่งเฉพาะที่ใช้ติดต่อกับเซิร์ฟเวอร์ C&C และกระบวนการที่ใช้แทรกซึมเข้าสู่ระบบของเป้าหมาย
วันนี้นักวิจัยความปลอดภัยของ ESET คุณ Jean-Ian Boutin จะพูดถึงบทบาทของ ESET ในปฏิบัติการครั้งนี้
ถ้า Wauchos เป็นมัลแวร์ที่อยู่มานานที่สุด คำถามคืออะไรที่ทำให้ Wauchos อยู่มานานได้ขนาดนี้?
Wauchos เริ่มทำงานมาตั้งแต่ 2011 และเปิดขายอยู่ในฟอรั่มใต้ดิน ด้วยฟีเจอร์หลากหลาย และมีการพัฒนาขึ้นเรื่อยๆ จึงทำให้เหล่ามิฉาชีพออนไลน์ให้ความสนใจและใช้งานต่อเนื่อง
ทำไมการยับยั้ง Wauchos ถึงใช้เวลานาน?
ปฏิบัติการยับยั้ง Wauchos เริ่มตั้งแต่ปี 2015 เพื่อเตรียมความพร้อมฝ่ายกฎหมาย และเครื่องมือที่ใช้สำหรับการหยุดการทำงานบอทเน็ต เพราะตัวบอทเน็ตสามารถสร้างความเสียหายให้กับระบบอื่นๆได้ด้วย
ประเทศไหนบ้างที่มีการระบาดหนักที่สุด?
พื้นที่การแพร่ระบาดในช่วง 6 เดือนที่ผ่านมาอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ และอเมริการใต้
อุปกรณ์แบบไหนที่ได้รับผลกระทบมากที่สุด คอมพิวเตอร์ส่วนตัว, คอมพิวเตอร์ขององค์กร หรือเครื่องเซิร์ฟเวอร์?
Wauchos แพร่กระจายผ่านช่องทางโซเชี่ยลมีเดีย, อุปกรณ์ถอดเข้า–ออกอย่าง USB Flash Drive และป๊อปอัพ Drive-by Download บนเว็บไซต์ ซึ่งทั้งหมดนี้ไม่ได้ถูกกำหนดเป้าหมายว่าเป็นผู้ใช้ในบ้าน หรือองค์กร คอมพิวเตอร์ทุกเครื่องมีโอกาสที่จะกลายเป็นเหยื่อได้
หน้าที่ของคุณในปฏิบัติการนี้คืออะไร? และการร่วมมือกับ Microsoft และหน่วยงานบังคับใช้กฎหมายเป็นอย่างไรบ้าง?
บทบาทของเราในปฏิบัติการนี้คืองานฝั่งเทคนิคต่างๆ ผลการวิเคราะห์มัลแวร์ และ เซิร์ฟเวอร์ C&C ที่บอทเน็ตแต่ละตัวทำงานอยู่ ด้วยเหตุผลที่ Wauchos ถูกนำไปขายในตลาดมืด เราจึงจำเป็นต้องหยุดการทำงานมันลงพร้อมกัน ซึ่งเราก็มีหน้าที่ในการติดตามหาตำแหน่งของบอทเน็ต
คุณได้ตัวมัลแวร์เบื้องหลังบอทเน็ตและวิเคราะห์มันได้อย่างไร?
ขั้นตอนแรกเราวิเคราะห์โปรโตคอลของบอทเน็ต และพฤติกรรมของมันในแพลตฟอร์ม Botnet Tracker ในแพลตฟอร์มนี้สามารถวิเคราะห์ตัวอย่างที่ได้รับจากผู้ใช้งานของเราได้แบบอัตโนมัติ หาข้อมูลที่เกี่ยวข้องและเชื่อมต่อกับเซิร์ฟเวอร์ C&C ของมัลแวร์โดยตรง เท่านี้เราก็สามารถรวบรวมข้อมูลที่เกี่ยวข้องโดยใช้ตัวอย่างของ Wauchos ที่ได้รับมาจากผู้ใช้ที่รายงานเข้ามา
คุณทำงานอย่างไรโดยไม่ให้อาชญากรอย่างแฮกเกอร์รู้ตัว?
แน่นอนที่ปฏิบัติการนี้ต้องดำเนินการไปโดยไม่ให้แฮกเกอร์รู้ตัว ดังนั้นสิ่งที่เราทำก็คือการปิดบังตัวตนของเราให้เป็นความลับเท่านั้นเอง
Wauchos ส่งผลร้ายอะไรต่อคอมพิวเตอร์ที่มันฝังตัวอยู่?
จากที่ผ่านมา Wauchos ถูกใช้เป็นเครื่องมือในการขโมยข้อมูลรหัสล็อคอินต่างๆ จากปลั๊กอินและติดตั้งโปรแกรมอันตรายบนเครื่องคอมพิวเตอร์
สาเหตุที่ Wauchos เข้าไปในระบบ?
กระบวนการแพร่กระจายของ Wauchos ขึ้นอยู่กับแฮกเกอร์ที่ใช้งานมัน แต่ส่วนมากกระบวนการที่ใช้แพร่กระจาย Wauchos คือผ่าน Social Media, ข้อความ, อุปกรณ์ถอดเข้าถอดออกอย่าง USB หรือ Flash Drive และชุดเจาะช่องโหว่
ผู้ใช้จะรู้สึกได้หรือไม่ว่าคอมพิวเตอร์หรือระบบของตัวเองมี Wauchos ฝังอยู่?
ส่วนมากจะไม่รู้สึก
บอทเน็ตสร้างรายได้ให้กับแฮกเกอร์ได้อย่างไร แล้วบอทเน็ตถูกสร้างขึ้นมาเพื่ออะไร?
ถ้านับตัว Wauchos ที่ขายอยู่ในฟอรั่มใต้ดิน รายรับที่แฮกเกอร์จะได้ก็มาจากการขโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน และเป็นค่าใช้จ่ายในการติดตั้งโปรแกรมอะไรสักอย่างที่ฝังมัลแวร์เอาไว้
โครงสร้างเซิร์ฟเวอร์ C&C ของ Wauchos เป็นแบบไหน?
ผู้ควบคุม Wauchos ใช้เซิร์ฟเวอร์จากหลายพื้นที่พร้อมกัน ซึ่งเราต้องปิดมันลงพร้อมๆกัน
อะไรเป็นหลักฐานหรือตัวชี้วัดว่าเซิร์ฟเวอร์ C&C นี้เป็นของบอทเน็ต?
บอทของ Wauchos มีรูปแบบการติดต่อสื่อสารกับเครือข่าย ซึ่งทำให้เราสามารถออกแบบการป้องกันให้กับผู้ใช้ของเรา และทำให้เราสามารถตรวจจับมันได้
ทราฟฟิคของ C&C เป็นรูปแบบเข้ารหัสหรือไม่?
ใช่ครับ เป็นรูปแบบ RC4
มัลแวร์ของบอทเน็ตสามารถแทรกแซงฟังก์ชั่นของระบบปฏิบัติการได้อย่างไร?
Wauchos สามารถแทรกแซงได้หลายวิธี อย่างเช่น การปิด Windows Firewall, Windows Update และฟังก์ชั่น User Account Control
ทางผู้ผลิต Wauchos ได้ใช้ anti-VM หรือ anti-sandbox หรือไม่?
เนื่องด้วย Wauchos ถูกนำไปขายไว้ในตลาดมืด ดังนั้นแฮกเกอร์สามารถนำเอาไปดัดแปลง และทดลองต่างๆ รวมถึง anti-VM หรือ anti-sandbox ด้วย
จากประสบการณ์ยับยั้งบอทเน็ตของคุณ ในพื้นที่วางขาย Wauchos จะเป็นอย่างไร?
ผมว่ามันน่าจะค่อยๆฟื้นตัวขึ้นมาอย่างช้าๆ เนื่องจากการเอา Wauchos ออกจากระบบนั้นไม่ใช่เรื่องง่าย แต่ตราบใดที่เรายังคงเป็นผู้ควบคุมเซิร์ฟเวอร์ C&C อยู่ ก็จะไม่มีใครออกคำสั่งโจมตีเครื่องเหล่านี้ได้
อาการแบบไหนที่เป็นสัญญาณว่าคอมพิวเตอร์ของคุณถูกเอาไปเป็นบอทเน็ต?
ขึ้นอยู่กับสายพันธุ์ของมัลแวร์ ถ้าคุณเห็นอะไรแปลกๆอย่างโปรแกรมรักษาความปลอดภัยหยุดทำงาน หรือไม่อัพเดตอัตโนมัติ หรือคุณไม่สามารถอัพเดต Windows ได้ ถ้าหากคุณพบอาการเหล่านี้ หรืออื่นๆ คุณสามารถสแกนคอมพิวเตอร์ของคุณได้ฟรีๆ โดยใช้ ESET’s Online Scanner
เราจะมั่นใจได้ว่าเราจะไม่เป็นเหยื่อของบอทเน็ตได้อย่างไร?
มัลแวร์ส่วนมากไม่สามารถติดตั้งโปรแกรมอันตรายลงบนระบบของผู้ใช้ โดยที่ผู้ใช้ไม่รับรู้ได้ เพราะฉะนั้นผู้ใช้ต้องระมัดระวังในการติดตั้งโปรแกรมจากที่ๆไม่ปลอดภัย
Author: TOMÁŠ FOLTÝN
Source: https://www.welivesecurity.com/2018/01/04/wauchos-now-headed-extinction/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: