นักวิจัยจาก Rapid7 เผยการวิเคราะห์ Skynet บอทเน็ตที่ทำงานบนเครือข่าย Tor

By: pe3z
Writer
on 13 December 2012 - 01:28 Tags:
Topics: 
Security
Tor
Botnet
Node Thumbnail

ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณีนักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีการใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต

นักวิจัยจากบริษัท Rapid7 ได้ทำการวิเคราะห์ตัวอย่างของบอทเน็ตที่ใช้ชื่อว่า Skynet ที่กำลังแพร่กระจายอยู่ตอนนี้ หลังจากพบว่ามีการอ้างจากบัญชีผู้ใช้งาน throwaway236236 ในเว็บไซต์ Reddit หัวข้อ IAmA ว่าเป็นผู้สร้างบอทเน็ตตัวนี้ จากภายในโพสต์ throwaway236236 ได้อ้างว่าเขาได้ทำการควบคุมบอทเน็ตกว่า 10,000 ตัว เพื่อให้มันทำการ DDoS และขุด BitCoin ผ่านทาง Tor (มีรูปประกอบ)

จากการวิเคราะห์พบว่าบอทเน็ต Skynet นี้มีการพัฒนามาจากบอทเน็ต ZeuS (ซึ่งเคยมีการเผยแพร่ซอร์สโค้ดอยู่ช่วงหนึ่ง) โดยแพร่กระจายภายในเว็บไซต์ประเภท warez ตัวโปรแกรมของบอทเน็ตนั้นมีขนาด 15 MB ซึ่งประกอบด้วยซอร์สโค้ด, ตัวติดตั้ง Tor สำหรับ Windows, โปรแกรม CGMiner เพื่อใช้ในการขุด BitCoin และไฟล์ขยะเพื่อเพิ่มขนาดของโปรแกรมบอทเน็ตบางส่วน

ในการทำงานของบอทเน็ตนั้น เมื่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่ หลังจากนั้นมันจะทำการสั่งรัน Tor Hidden Service ขึ้นภายใต้พอร์ตหมายเลข 55080 และโดเมนที่ถูกสร้างขึ้นภายใต้ .onion เพื่อรอรับคำสั่ง ผู้โจมตีจะทำการสั่งการบอทเน็ตผ่านทางเซิร์ฟเวอร์ IRC ที่บอทเน็ตได้เข้าร่วมอยู่เพื่อทำการ DDoS หรือดูสถานะของเครื่องเป้าหมายเป็นต้น

ส่วนของการขุด BitCoin นั้น throwaway236236 อ้างว่ามันเป็นฟังก์ชันการทำงานเล็กๆ ที่จะทำงานในเวลาที่คอมพิวเตอร์ไม่ได้ถูกใช้งานเป็นเวลา 2 นาที โดยอัตราของการขุดนั้นน้อยมากจนแทบไม่มีอาการผิดสังเกตเกิดขึ้นกับคอมพิวเตอร์ และเมื่อผู้ใช้ทำการขยับเมาส์หรือกดคีย์บอร์ดฟังก์ชันการขุดก็จะหยุดทำงานทันที

จากการแกะรอยโดยการใช้วิศวกรรมย้อนกลับนั้นพบว่า Skynet มีการแพร่กระจายอยู่ในทวีปยุโรปเป็นจำนวนมาก มีความเป็นไปได้ว่าจะมีคอมพิวเตอร์ที่ติดบอทเน็ตนั้นอยู่ 12 ถึง 15 ล้านเครื่อง อีกทั้งยังแสดงให้เห็นว่าเป้าหมายการโจมตีแบบ DDoS ของบอทเน็ตนั้นอยู่ในสหรัฐเป็นส่วนใหญ่ด้วย แต่ในตอนนี้ก็ยังไม่สามารถแกะรอยเจอผู้ควบคุม (Command & Control - C&C) บอทเน็ตได้

ทาง Rapid7 ได้ออกคำเตือนให้ผู้ใช้มีความระมัดระวังทุกครั้งก่อนที่จะรันโปรแกรมใดๆ และควรตระหนักไว้ว่าขนาดไฟล์ที่ใหญ่ก็อาจจะมีมัลแวร์บางประเภทแฝงตัวมาก็ได้ ควรทำการสแกนให้แน่ใจทุกครั้งก่อนจะรัน

ที่มา - Security Street Rapid7

Get latest news from Blognone

Comments

By: itpcc
ContributoriPhoneRed HatUbuntu
on 13 December 2012 - 01:46 #518047
itpcc's picture

ในเมืองไทย มันจะมีเยอะมั้ยเนีย?

บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: sakuraba
Windows PhoneWindows
on 13 December 2012 - 02:37 #518053
sakuraba's picture

Terminator

By: HOCKER
Red HatSUSEUbuntuWindows
on 13 December 2012 - 02:47 #518054 Reply to:518053

Terminator

By: JackieNP
ContributorUbuntu
on 13 December 2012 - 03:47 #518062 Reply to:518053
JackieNP's picture

มันจะสั่งยิงนิวเคลียร์ป่าวเนี่ย

รักนะคะคนดีของฉัน

By: Priesdelly
ContributorAndroidWindows
on 13 December 2012 - 07:56 #518075 Reply to:518053
Priesdelly's picture

นึกเหมือนกัน ฮ่าๆ

By: olosol@hotmail.com
iPhoneWindows PhoneAndroidBlackberry
on 13 December 2012 - 02:51 #518055

"การใช้วิศวกรรมย้อนกลับ" ไม่รู้นะครับสำหรับผมคำว่า reverse engineering เข้าใจง่ายกว่าครับ
อ่านแล้วได้อารมณ์ประมาณ "ละมุนภัณฑ์" กับ "กระด้างภัณฑ์" ผมขอใช้ software กับ hardware ดีกว่า

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 13 December 2012 - 10:39 #518106 Reply to:518055
PaPaSEK's picture

ถ้าเจอ "วิศวกรรมสังคม" จะไม่ลงไปดิ้นเหรอครับ

"วิศวกรรมย้อนกลับ" ผมว่าดีแล้วครับ เพราะมันได้ใจความไม่ต้องแปลซ้ำ

คำว่า "เทคโนโลยีสารสนเทศ" ฟังแล้วไม่ได้ใจความแต่ก็ไม่มีใครค้าน

ที่อยากสื่อคือ เพราะเรายังไม่คุ้นครับ

By: au8ust
AndroidSymbianWindows
on 13 December 2012 - 11:56 #518129 Reply to:518055

จริง ๆ หลายคำในภาษาอังกฤษ มันก็ฟังแปลก ๆ นะ แค่เราไม่สนใจเองมั้ง

By: hisoft
ContributorWindows PhoneWindows
on 13 December 2012 - 12:09 #518132 Reply to:518129
hisoft's picture

จริงครับ แต่คนส่วนมากไม่เห็นว่ามันแปลกเองมากกว่า

By: buzdesign on 13 December 2012 - 03:25 #518058

โอ้วพระเจ้าจอร์จติดต่อซาร่าด่วน

By: panurat2000
ContributorSymbianUbuntuIn Love
on 13 December 2012 - 05:14 #518067
panurat2000's picture

เมื่่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่

เมื่่อ => เมื่อ

By: nuntawat
WriterAndroidWindowsIn Love
on 13 December 2012 - 05:54 #518070 Reply to:518067
nuntawat's picture
  • Rapid 7 -> Rapid7
  • ข่าวยาว รบกวนใส่ break ด้วยครับ
  • "ผู้ C&C" ? น่าจะอธิบายไว้ที่ท้ายข่าวด้วยครับ

น่ากลัวนะ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 13 December 2012 - 10:41 #518109 Reply to:518070
PaPaSEK's picture

ไม่เคยเล่น Command & Conquer เหรอครับ =*=

ผมก็งงนะ C&C ดูแล้วไม่ใช่คำศัพท์ที่คนทั่วๆ ไปจะรู้ น่ามีคำอธิบายด้วย

By: iammeng
ContributoriPhoneAndroidWindows
on 13 December 2012 - 11:12 #518117 Reply to:518070
iammeng's picture

Command & Control ? C2 ย่อเกิน

By: pe3z
Writer
on 13 December 2012 - 11:40 #518125 Reply to:518067

แก้ไขแล้วครับ ขอบคุณครับ

By: zerocool
ContributoriPhoneAndroid
on 13 December 2012 - 06:38 #518071
zerocool's picture

ประเทศไทยน่าจะเยอะ

That is the way things are.

By: hisoft
ContributorWindows PhoneWindows
on 13 December 2012 - 08:42 #518087
hisoft's picture

เจ๋งเลย XD

แต่ - -" 15MB พร้อมไฟล์ขยะเพื่อเพิ่มขนาดนี่มันอะไรกัน

By: mementototem
ContributorJusci's WriterAndroidWindows
on 13 December 2012 - 09:34 #518092 Reply to:518087
mementototem's picture

จะได้ไม่ผิดสังเกตไงครับ ไฟล์ warez ถ้ามันเล็กไป คนก็สงสัยว่า โหลดมาแล้วจะใช้ได้จริงหรือเปล่า แล้วจะไม่กล้าโหลดมาลองใช้ครับ

Jusci - Google Plus - Twitter

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 13 December 2012 - 10:22 #518099 Reply to:518087

ยุคนึงของ P2P ที่ผมเคยใช้ อย่าง Limewire เวลาหาไฟล์ ประเภทโปรแกรม หรือ เพลง หรือ หนัง มักจะเจอ ไฟล์ประเภท 1K จำนวนมาก และโดยเซ้นนั้น ส่วนใหญ่ คือไวรัส เพราะ ขนาดของไฟล์มันไม่สื่อ

By: dangsystem
iPhoneAndroidBlackberryWindows
on 13 December 2012 - 09:12 #518088
dangsystem's picture

อืม มีชื่อเครื่องเราเปล่าหว่า แต่ในจอไม่มีชื่อเครื่องเราน่ะ

By: caznova
AndroidRed HatUbuntuWindows
on 13 December 2012 - 10:50 #518111
caznova's picture

เห็นบอทใน IRC เยอะๆแบบนี้นึกถึงความหลังอย่างแรง ม.5ม.6กำลังเกรียนได้ที่เลย

http://www.megasecurity.org/trojans/c/caznova/Caznova_all.html

By: wichate
Android
on 13 December 2012 - 12:15 #518133

จากรูป คนใช้ MSE เยอะมาก ขนาด norton internet security ยังจับไม่เจอเลย

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 13 December 2012 - 14:48 #518166 Reply to:518133
PaPaSEK's picture

มันจี๊ดที่สุดตรงนี้แหละครับ บอกได้หมดว่าใช้ตัวไหน แถมยังทำงานได้ต่อ

ตอกหน้าอย่างแรง

By: benwrk
Windows PhoneWindows
on 14 December 2012 - 00:50 #518545 Reply to:518133
benwrk's picture

+1 ไม่มีอะไรเจอ

ปล. มีไทยติดโผด้วย

By: Jai_Magical
iPhoneWindows
on 13 December 2012 - 12:44 #518140
Jai_Magical's picture

ต้องใช้อะไรตรวจถึงหาเจอนะ

By: PR0GAM3
iPhoneWindows PhoneAndroidWindows
on 13 December 2012 - 14:40 #518161
PR0GAM3's picture

แค่คุณออกแบบในส่วน Stub เข้ารหัสโค้ดอันตรายด้วย MD5, RC4 ถอดรหัสด้วยคีย์ แอนตี้ไวรัสทุกชนิดก็สแกนไม่เจอแล้วครับ เมื่อรันโปรแกรมโค้ดอันตรายจะไม่ถูกโหลดในทันที มันจะ Hook กับระบบเพื่อดักจับ Events ของแอนตี้ไวรัสสแกน เพื่อหลบหลีกหรือหลอกแอนตี้ว่าเป็นโปรแกรมธรรมดาๆได้สําเร็จ ถ้าตัวมันถูกโหลดในโหมด Sandbox ก็ต้องทําการบายพาสกันต่อไป ซึ่งมันสามารถทําได้โดยการแพทซ์ทางเมมโมรี่ ถ้าโค้ดอันตรายถูกโหลดได้มันจะหยุดการทํางานของแอนตี้ไวรัสไปโดยปริยาย ถึงมันจะทํางานใน Kernel Mode ก็ตาม

POC.

By: wichate
Android
on 14 December 2012 - 09:44 #518665 Reply to:518161

ที่เจอหนักๆ อีกตัวก็คือ W32.Sality ครับ เป็นไวรัสเก่า แต่ทุกวันนี้ก็ยังไม่มี Scanvirus ตัวไหนจับได้