นักวิจัยจาก Rapid7 เผยการวิเคราะห์ Skynet บอทเน็ตที่ทำงานบนเครือข่าย Tor

By pe3z Writer on Tag: Security, Tor, Botnet
Security

ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณีนักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีการใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต

นักวิจัยจากบริษัท Rapid7 ได้ทำการวิเคราะห์ตัวอย่างของบอทเน็ตที่ใช้ชื่อว่า Skynet ที่กำลังแพร่กระจายอยู่ตอนนี้ หลังจากพบว่ามีการอ้างจากบัญชีผู้ใช้งาน throwaway236236 ในเว็บไซต์ Reddit หัวข้อ IAmA ว่าเป็นผู้สร้างบอทเน็ตตัวนี้ จากภายในโพสต์ throwaway236236 ได้อ้างว่าเขาได้ทำการควบคุมบอทเน็ตกว่า 10,000 ตัว เพื่อให้มันทำการ DDoS และขุด BitCoin ผ่านทาง Tor (มีรูปประกอบ)

จากการวิเคราะห์พบว่าบอทเน็ต Skynet นี้มีการพัฒนามาจากบอทเน็ต ZeuS (ซึ่งเคยมีการเผยแพร่ซอร์สโค้ดอยู่ช่วงหนึ่ง) โดยแพร่กระจายภายในเว็บไซต์ประเภท warez ตัวโปรแกรมของบอทเน็ตนั้นมีขนาด 15 MB ซึ่งประกอบด้วยซอร์สโค้ด, ตัวติดตั้ง Tor สำหรับ Windows, โปรแกรม CGMiner เพื่อใช้ในการขุด BitCoin และไฟล์ขยะเพื่อเพิ่มขนาดของโปรแกรมบอทเน็ตบางส่วน

ในการทำงานของบอทเน็ตนั้น เมื่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างและรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่ หลังจากนั้นมันจะทำการสั่งรัน Tor Hidden Service ขึ้นภายใต้พอร์ตหมายเลข 55080 และโดเมนที่ถูกสร้างขึ้นภายใต้ .onion เพื่อรอรับคำสั่ง ผู้โจมตีจะทำการสั่งการบอทเน็ตผ่านทางเซิร์ฟเวอร์ IRC ที่บอทเน็ตได้เข้าร่วมอยู่เพื่อทำการ DDoS หรือดูสถานะของเครื่องเป้าหมายเป็นต้น

ส่วนของการขุด BitCoin นั้น throwaway236236 อ้างว่ามันเป็นฟังก์ชันการทำงานเล็กๆ ที่จะทำงานในเวลาที่คอมพิวเตอร์ไม่ได้ถูกใช้งานเป็นเวลา 2 นาที โดยอัตราของการขุดนั้นน้อยมากจนแทบไม่มีอาการผิดสังเกตเกิดขึ้นกับคอมพิวเตอร์ และเมื่อผู้ใช้ทำการขยับเมาส์หรือกดคีย์บอร์ดฟังก์ชันการขุดก็จะหยุดทำงานทันที

จากการแกะรอยโดยการใช้วิศวกรรมย้อนกลับนั้นพบว่า Skynet มีการแพร่กระจายอยู่ในทวีปยุโรปเป็นจำนวนมาก มีความเป็นไปได้ว่าจะมีคอมพิวเตอร์ที่ติดบอทเน็ตนั้นอยู่ 12 ถึง 15 ล้านเครื่อง อีกทั้งยังแสดงให้เห็นว่าเป้าหมายการโจมตีแบบ DDoS ของบอทเน็ตนั้นอยู่ในสหรัฐเป็นส่วนใหญ่ด้วย แต่ในตอนนี้ก็ยังไม่สามารถแกะรอยเจอผู้ควบคุม (Command & Control - C&C) บอทเน็ตได้

ทาง Rapid7 ได้ออกคำเตือนให้ผู้ใช้มีความระมัดระวังทุกครั้งก่อนที่จะรันโปรแกรมใดๆ และควรตระหนักไว้ว่าขนาดไฟล์ที่ใหญ่ก็อาจจะมีมัลแวร์บางประเภทแฝงตัวมาก็ได้ ควรทำการสแกนให้แน่ใจทุกครั้งก่อนจะรัน

ที่มา - Security Street Rapid7

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

olosol@hotmail.com Thu, 13/12/2012 - 02:51

"การใช้วิศวกรรมย้อนกลับ" ไม่รู้นะครับสำหรับผมคำว่า reverse engineering เข้าใจง่ายกว่าครับ
อ่านแล้วได้อารมณ์ประมาณ "ละมุนภัณฑ์" กับ "กระด้างภัณฑ์" ผมขอใช้ software กับ hardware ดีกว่า

PaPaSEK Thu, 13/12/2012 - 10:39

ถ้าเจอ "วิศวกรรมสังคม" จะไม่ลงไปดิ้นเหรอครับ

"วิศวกรรมย้อนกลับ" ผมว่าดีแล้วครับ เพราะมันได้ใจความไม่ต้องแปลซ้ำ

คำว่า "เทคโนโลยีสารสนเทศ" ฟังแล้วไม่ได้ใจความแต่ก็ไม่มีใครค้าน

ที่อยากสื่อคือ เพราะเรายังไม่คุ้นครับ

mementototem Thu, 13/12/2012 - 09:34

จะได้ไม่ผิดสังเกตไงครับ ไฟล์ warez ถ้ามันเล็กไป คนก็สงสัยว่า โหลดมาแล้วจะใช้ได้จริงหรือเปล่า แล้วจะไม่กล้าโหลดมาลองใช้ครับ

toooooooon Thu, 13/12/2012 - 10:22

ยุคนึงของ P2P ที่ผมเคยใช้ อย่าง Limewire เวลาหาไฟล์ ประเภทโปรแกรม หรือ เพลง หรือ หนัง มักจะเจอ ไฟล์ประเภท 1K จำนวนมาก และโดยเซ้นนั้น ส่วนใหญ่ คือไวรัส เพราะ ขนาดของไฟล์มันไม่สื่อ

caznova Thu, 13/12/2012 - 10:50

เห็นบอทใน IRC เยอะๆแบบนี้นึกถึงความหลังอย่างแรง ม.5ม.6กำลังเกรียนได้ที่เลย

http://www.megasecurity.org/trojans/c/caznova/Caznova_all.html

PR0GAM3 Thu, 13/12/2012 - 14:40

แค่คุณออกแบบในส่วน Stub เข้ารหัสโค้ดอันตรายด้วย MD5, RC4 ถอดรหัสด้วยคีย์ แอนตี้ไวรัสทุกชนิดก็สแกนไม่เจอแล้วครับ เมื่อรันโปรแกรมโค้ดอันตรายจะไม่ถูกโหลดในทันที มันจะ Hook กับระบบเพื่อดักจับ Events ของแอนตี้ไวรัสสแกน เพื่อหลบหลีกหรือหลอกแอนตี้ว่าเป็นโปรแกรมธรรมดาๆได้สําเร็จ ถ้าตัวมันถูกโหลดในโหมด Sandbox ก็ต้องทําการบายพาสกันต่อไป ซึ่งมันสามารถทําได้โดยการแพทซ์ทางเมมโมรี่ ถ้าโค้ดอันตรายถูกโหลดได้มันจะหยุดการทํางานของแอนตี้ไวรัสไปโดยปริยาย ถึงมันจะทํางานใน Kernel Mode ก็ตาม

POC.