นักวิจัยจาก Rapid7 เผยการวิเคราะห์ Skynet บอทเน็ตที่ทำงานบนเครือข่าย Tor

By: pe3z
Writer
on 13 December 2012 - 01:28 Tags:
Topics: 
Security
Tor
Botnet
Node Thumbnail

ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณี นักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีการใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต

นักวิจัยจากบริษัท Rapid7 ได้ทำการวิเคราะห์ตัวอย่างของบอทเน็ตที่ใช้ชื่อว่า Skynet ที่กำลังแพร่กระจายอยู่ตอนนี้ หลังจากพบว่ามีการอ้างจากบัญชีผู้ใช้งาน throwaway236236 ใน เว็บไซต์ Reddit หัวข้อ IAmA ว่าเป็นผู้สร้างบอทเน็ตตัวนี้ จากภายในโพสต์ throwaway236236 ได้อ้างว่าเขาได้ทำการควบคุมบอทเน็ตกว่า 10,000 ตัว เพื่อให้มันทำการ DDoS และขุด BitCoin ผ่านทาง Tor ( มีรูปประกอบ )

จากการวิเคราะห์พบว่าบอทเน็ต Skynet นี้มีการพัฒนามาจากบอทเน็ต ZeuS (ซึ่งเคยมีการเผยแพร่ซอร์สโค้ดอยู่ช่วงหนึ่ง) โดยแพร่กระจายภายในเว็บไซต์ประเภท warez ตัวโปรแกรมของบอทเน็ตนั้นมีขนาด 15 MB ซึ่งประกอบด้วยซอร์สโค้ด, ตัวติดตั้ง Tor สำหรับ Windows, โปรแกรม CGMiner เพื่อใช้ในการขุด BitCoin และไฟล์ขยะเพื่อเพิ่มขนาดของโปรแกรมบอทเน็ตบางส่วน

ในการทำงานของบอทเน็ตนั้น เมื่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่ หลังจากนั้นมันจะทำการสั่งรัน Tor Hidden Service ขึ้นภายใต้พอร์ตหมายเลข 55080 และโดเมนที่ถูกสร้างขึ้นภายใต้ .onion เพื่อรอรับคำสั่ง ผู้โจมตีจะทำการสั่งการบอทเน็ตผ่านทางเซิร์ฟเวอร์ IRC ที่บอทเน็ตได้เข้าร่วมอยู่เพื่อทำการ DDoS หรือดูสถานะของเครื่องเป้าหมายเป็นต้น

ส่วนของการขุด BitCoin นั้น throwaway236236 อ้างว่ามันเป็นฟังก์ชันการทำงานเล็กๆ ที่จะทำงานในเวลาที่คอมพิวเตอร์ไม่ได้ถูกใช้งานเป็นเวลา 2 นาที โดยอัตราของการขุดนั้นน้อยมากจนแทบไม่มีอาการผิดสังเกตเกิดขึ้นกับคอมพิวเตอร์ และเมื่อผู้ใช้ทำการขยับเมาส์หรือกดคีย์บอร์ดฟังก์ชันการขุดก็จะหยุดทำงานทันที

จากการแกะรอยโดยการใช้วิศวกรรมย้อนกลับนั้นพบว่า Skynet มีการแพร่กระจายอยู่ในทวีปยุโรปเป็นจำนวนมาก มีความเป็นไปได้ว่าจะมีคอมพิวเตอร์ที่ติดบอทเน็ตนั้นอยู่ 12 ถึง 15 ล้านเครื่อง อีกทั้งยังแสดงให้เห็นว่าเป้าหมายการโจมตีแบบ DDoS ของบอทเน็ตนั้นอยู่ในสหรัฐเป็นส่วนใหญ่ด้วย แต่ในตอนนี้ก็ยังไม่สามารถแกะรอยเจอผู้ควบคุม (Command & Control - C&C) บอทเน็ตได้

ทาง Rapid7 ได้ออกคำเตือนให้ผู้ใช้มีความระมัดระวังทุกครั้งก่อนที่จะรันโปรแกรมใดๆ และควรตระหนักไว้ว่าขนาดไฟล์ที่ใหญ่ก็อาจจะมีมัลแวร์บางประเภทแฝงตัวมาก็ได้ ควรทำการสแกนให้แน่ใจทุกครั้งก่อนจะรัน

ที่มา - Security Street Rapid7

Get latest news from Blognone

Comments

By: itpcc
Contributor iPhone Red Hat Ubuntu
on 13 December 2012 - 01:46 #518047
itpcc's picture

ในเมืองไทย มันจะมีเยอะมั้ยเนีย?

บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: sakuraba
Windows Phone Windows
on 13 December 2012 - 02:37 #518053
sakuraba's picture

Terminator

By: HOCKER
Red HatSUSE Ubuntu Windows
on 13 December 2012 - 02:47 #518054 Reply to:518053

Terminator

By: JackieNP
Contributor Ubuntu
on 13 December 2012 - 03:47 #518062 Reply to:518053
JackieNP's picture

มันจะสั่งยิงนิวเคลียร์ป่าวเนี่ย

รักนะคะคนดีของฉัน

By: Priesdelly
Contributor Android Windows
on 13 December 2012 - 07:56 #518075 Reply to:518053
Priesdelly's picture

นึกเหมือนกัน ฮ่าๆ

By: olosol@hotmail.com
iPhone Windows Phone Android Blackberry
on 13 December 2012 - 02:51 #518055

"การใช้วิศวกรรมย้อนกลับ" ไม่รู้นะครับสำหรับผมคำว่า reverse engineering เข้าใจง่ายกว่าครับอ่านแล้วได้อารมณ์ประมาณ "ละมุนภัณฑ์" กับ "กระด้างภัณฑ์" ผมขอใช้ software กับ hardware ดีกว่า

By: PaPaSEK
Contributor Android WindowsIn Love
on 13 December 2012 - 10:39 #518106 Reply to:518055
PaPaSEK's picture

ถ้าเจอ "วิศวกรรมสังคม" จะไม่ลงไปดิ้นเหรอครับ

"วิศวกรรมย้อนกลับ" ผมว่าดีแล้วครับ เพราะมันได้ใจความไม่ต้องแปลซ้ำ

คำว่า "เทคโนโลยีสารสนเทศ" ฟังแล้วไม่ได้ใจความแต่ก็ไม่มีใครค้าน

ที่อยากสื่อคือ เพราะเรายังไม่คุ้นครับ

By: au8ust
Android Symbian Windows
on 13 December 2012 - 11:56 #518129 Reply to:518055

จริง ๆ หลายคำในภาษาอังกฤษ มันก็ฟังแปลก ๆ นะ แค่เราไม่สนใจเองมั้ง

By: hisoft
Contributor Windows Phone Windows
on 13 December 2012 - 12:09 #518132 Reply to:518129
hisoft's picture

จริงครับ แต่คนส่วนมากไม่เห็นว่ามันแปลกเองมากกว่า

By: buzdesign on 13 December 2012 - 03:25 #518058

โอ้วพระเจ้าจอร์จติดต่อซาร่าด่วน

By: panurat2000
Contributor Symbian Ubuntu In Love
on 13 December 2012 - 05:14 #518067
panurat2000's picture

เมื่่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่

เมื่่อ => เมื่อ

By: nuntawat
Writer Android WindowsIn Love
on 13 December 2012 - 05:54 #518070 Reply to:518067
nuntawat's picture
  • Rapid 7 -> Rapid7
  • ข่าวยาว รบกวนใส่ break ด้วยครับ
  • "ผู้ C&C" ? น่าจะอธิบายไว้ที่ท้ายข่าวด้วยครับ

น่ากลัวนะ

By: PaPaSEK
Contributor Android WindowsIn Love
on 13 December 2012 - 10:41 #518109 Reply to:518070
PaPaSEK's picture

ไม่เคยเล่น Command & Conquer เหรอครับ =*=

ผมก็งงนะ C&C ดูแล้วไม่ใช่คำศัพท์ที่คนทั่วๆ ไปจะรู้ น่ามีคำอธิบายด้วย

By: iammeng
Contributor iPhone Android Windows
on 13 December 2012 - 11:12 #518117 Reply to:518070
iammeng's picture

Command & Control ? C2 ย่อเกิน

By: pe3z
Writer
on 13 December 2012 - 11:40 #518125 Reply to:518067

แก้ไขแล้วครับ ขอบคุณครับ

By: zerocool
Contributor iPhone Android
on 13 December 2012 - 06:38 #518071
zerocool's picture

ประเทศไทยน่าจะเยอะ

That is the way things are.

By: hisoft
Contributor Windows Phone Windows
on 13 December 2012 - 08:42 #518087
hisoft's picture

เจ๋งเลย XD

แต่ - -" 15MB พร้อมไฟล์ขยะเพื่อเพิ่มขนาดนี่มันอะไรกัน

By: mementototem
Contributor Jusci's Writer Android Windows
on 13 December 2012 - 09:34 #518092 Reply to:518087
mementototem's picture

จะได้ไม่ผิดสังเกตไงครับ ไฟล์ warez ถ้ามันเล็กไป คนก็สงสัยว่า โหลดมาแล้วจะใช้ได้จริงหรือเปล่า แล้วจะไม่กล้าโหลดมาลองใช้ครับ

Jusci - Google Plus - Twitter

By: toooooooon
iPhone Windows Phone Android Blackberry
on 13 December 2012 - 10:22 #518099 Reply to:518087

ยุคนึงของ P2P ที่ผมเคยใช้ อย่าง Limewire เวลาหาไฟล์ ประเภทโปรแกรม หรือ เพลง หรือ หนัง มักจะเจอ ไฟล์ประเภท 1K จำนวนมาก และโดยเซ้นนั้น ส่วนใหญ่ คือไวรัส เพราะ ขนาดของไฟล์มันไม่สื่อ

By: dangsystem
iPhone Android Blackberry Windows
on 13 December 2012 - 09:12 #518088
dangsystem's picture

อืม มีชื่อเครื่องเราเปล่าหว่า แต่ในจอไม่มีชื่อเครื่องเราน่ะ

By: caznova
Android Red Hat Ubuntu Windows
on 13 December 2012 - 10:50 #518111
caznova's picture

เห็นบอทใน IRC เยอะๆแบบนี้นึกถึงความหลังอย่างแรง ม.5ม.6กำลังเกรียนได้ที่เลย

http://www.megasecurity.org/trojans/c/caznova/Caznova_all.html

By: wichate
Android
on 13 December 2012 - 12:15 #518133

จากรูป คนใช้ MSE เยอะมาก ขนาด norton internet security ยังจับไม่เจอเลย

By: PaPaSEK
Contributor Android WindowsIn Love
on 13 December 2012 - 14:48 #518166 Reply to:518133
PaPaSEK's picture

มันจี๊ดที่สุดตรงนี้แหละครับ บอกได้หมดว่าใช้ตัวไหน แถมยังทำงานได้ต่อ

ตอกหน้าอย่างแรง

By: benwrk
Windows Phone Windows
on 14 December 2012 - 00:50 #518545 Reply to:518133
benwrk's picture

+1 ไม่มีอะไรเจอ

ปล. มีไทยติดโผด้วย

By: Jai_Magical
iPhone Windows
on 13 December 2012 - 12:44 #518140
Jai_Magical's picture

ต้องใช้อะไรตรวจถึงหาเจอนะ

By: PR0GAM3
iPhone Windows Phone Android Windows
on 13 December 2012 - 14:40 #518161
PR0GAM3's picture

แค่คุณออกแบบในส่วน Stub เข้ารหัสโค้ดอันตรายด้วย MD5, RC4 ถอดรหัสด้วยคีย์ แอนตี้ไวรัสทุกชนิดก็สแกนไม่เจอแล้วครับ เมื่อรันโปรแกรมโค้ดอันตรายจะไม่ถูกโหลดในทันที มันจะ Hook กับระบบเพื่อดักจับ Events ของแอนตี้ไวรัสสแกน เพื่อหลบหลีกหรือหลอกแอนตี้ว่าเป็นโปรแกรมธรรมดาๆได้สําเร็จ ถ้าตัวมันถูกโหลดในโหมด Sandbox ก็ต้องทําการบายพาสกันต่อไป ซึ่งมันสามารถทําได้โดยการแพทซ์ทางเมมโมรี่ ถ้าโค้ดอันตรายถูกโหลดได้มันจะหยุดการทํางานของแอนตี้ไวรัสไปโดยปริยาย ถึงมันจะทํางานใน Kernel Mode ก็ตาม

POC.

By: wichate
Android
on 14 December 2012 - 09:44 #518665 Reply to:518161

ที่เจอหนักๆ อีกตัวก็คือ W32.Sality ครับ เป็นไวรัสเก่า แต่ทุกวันนี้ก็ยังไม่มี Scanvirus ตัวไหนจับได้