นักวิจัยจาก Rapid7 เผยการวิเคราะห์ Skynet บอทเน็ตที่ทำงานบนเครือข่าย Tor

by pe3z
12 December 2012 - 17:28
Read full version on Blognone.com

ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณีนักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีการใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต

นักวิจัยจากบริษัท Rapid7 ได้ทำการวิเคราะห์ตัวอย่างของบอทเน็ตที่ใช้ชื่อว่า Skynet ที่กำลังแพร่กระจายอยู่ตอนนี้ หลังจากพบว่ามีการอ้างจากบัญชีผู้ใช้งาน throwaway236236 ในเว็บไซต์ Reddit หัวข้อ IAmA ว่าเป็นผู้สร้างบอทเน็ตตัวนี้ จากภายในโพสต์ throwaway236236 ได้อ้างว่าเขาได้ทำการควบคุมบอทเน็ตกว่า 10,000 ตัว เพื่อให้มันทำการ DDoS และขุด BitCoin ผ่านทาง Tor (มีรูปประกอบ)

จากการวิเคราะห์พบว่าบอทเน็ต Skynet นี้มีการพัฒนามาจากบอทเน็ต ZeuS (ซึ่งเคยมีการเผยแพร่ซอร์สโค้ดอยู่ช่วงหนึ่ง) โดยแพร่กระจายภายในเว็บไซต์ประเภท warez ตัวโปรแกรมของบอทเน็ตนั้นมีขนาด 15 MB ซึ่งประกอบด้วยซอร์สโค้ด, ตัวติดตั้ง Tor สำหรับ Windows, โปรแกรม CGMiner เพื่อใช้ในการขุด BitCoin และไฟล์ขยะเพื่อเพิ่มขนาดของโปรแกรมบอทเน็ตบางส่วน

ในการทำงานของบอทเน็ตนั้น เมื่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่ หลังจากนั้นมันจะทำการสั่งรัน Tor Hidden Service ขึ้นภายใต้พอร์ตหมายเลข 55080 และโดเมนที่ถูกสร้างขึ้นภายใต้ .onion เพื่อรอรับคำสั่ง ผู้โจมตีจะทำการสั่งการบอทเน็ตผ่านทางเซิร์ฟเวอร์ IRC ที่บอทเน็ตได้เข้าร่วมอยู่เพื่อทำการ DDoS หรือดูสถานะของเครื่องเป้าหมายเป็นต้น

ส่วนของการขุด BitCoin นั้น throwaway236236 อ้างว่ามันเป็นฟังก์ชันการทำงานเล็กๆ ที่จะทำงานในเวลาที่คอมพิวเตอร์ไม่ได้ถูกใช้งานเป็นเวลา 2 นาที โดยอัตราของการขุดนั้นน้อยมากจนแทบไม่มีอาการผิดสังเกตเกิดขึ้นกับคอมพิวเตอร์ และเมื่อผู้ใช้ทำการขยับเมาส์หรือกดคีย์บอร์ดฟังก์ชันการขุดก็จะหยุดทำงานทันที

จากการแกะรอยโดยการใช้วิศวกรรมย้อนกลับนั้นพบว่า Skynet มีการแพร่กระจายอยู่ในทวีปยุโรปเป็นจำนวนมาก มีความเป็นไปได้ว่าจะมีคอมพิวเตอร์ที่ติดบอทเน็ตนั้นอยู่ 12 ถึง 15 ล้านเครื่อง อีกทั้งยังแสดงให้เห็นว่าเป้าหมายการโจมตีแบบ DDoS ของบอทเน็ตนั้นอยู่ในสหรัฐเป็นส่วนใหญ่ด้วย แต่ในตอนนี้ก็ยังไม่สามารถแกะรอยเจอผู้ควบคุม (Command & Control - C&C) บอทเน็ตได้

ทาง Rapid7 ได้ออกคำเตือนให้ผู้ใช้มีความระมัดระวังทุกครั้งก่อนที่จะรันโปรแกรมใดๆ และควรตระหนักไว้ว่าขนาดไฟล์ที่ใหญ่ก็อาจจะมีมัลแวร์บางประเภทแฝงตัวมาก็ได้ ควรทำการสแกนให้แน่ใจทุกครั้งก่อนจะรัน

ที่มา - Security Street Rapid7

Read on Full Site
Blognone Jobs Premium