ผมได้เคยเขียนข่าวในรูปแบบนี้ไปครั้งหนึ่งแล้วจากกรณ ีนักวิจัยด้านความปลอดภัยวัย 17 ปีพบบอทเน็ตบนเครือข่าย Tor ซึ่งในตอนนั้นก็ยังไม่มีข้อมูลมากเท่าไรนัก แต่สำหรับข่าวนี้เป็นการยืนยันในสถานการณ์จริงที่มีก ารใช้ความสามารถของ Tor ในการสั่งการทำงานของบอทเน็ต
นักวิจัยจากบริษัท Rapid 7 ได้ทำการวิเคราะห์ตัวอย่างของบอทเน็ตที่ใช้ชื่อว่า Skynet ที่กำลังแพร่กระจายอยู่ตอนนี้ หลังจากพบว่ามีการอ้างจากบัญชีผู้ใช้งาน throwaway236236 ในเว็บไซต์ Reddit หัวข้อ IAmA ว่าเป็นผู้สร้างบอทเน็ตตัวนี้ จากภายในโพสต์ throwaway236236 ได้อ้างว่าเขาได้ทำการควบคุมบอทเน็ตกว่า 10,000 ตัว เพื่อให้มันทำการ DDoS และขุด BitCoin ผ่านทาง Tor (มีรูปประกอบ)
จากการวิเคราะห์พบว่าบอทเน็ต Skynet นี้มีการพัฒนามาจากบอทเน็ต ZeuS (ซึ่งเคยมีการเผยแพร่ซอร์สโค้ดอยู่ช่วงหนึ่ง) โดยแพร่กระจายภายในเว็บไซต์ประเภท warez ตัวโปรแกรมของบอทเน็ตนั้นมีขนาด 15 MB ซึ่งประกอบด้วยซอร์สโค้ด, ตัวติดตั้ง Tor สำหรับ Windows, โปรแกรม CGMiner เพื่อใช้ในการขุด BitCoin และไฟล์ขยะเพื่อเพิ่มขนาดของโปรแกรมบอทเน็ตบางส่วน
ในการทำงานของบอทเน็ตนั้น เมื่่อผู้ใช้งานคลิกรันโปรแกรมบอทเน็ตจะทำการสร้างแล ะรวมตัวเองเข้ากับโปรเซสที่กำลังทำงานอยู่ หลังจากนั้นมันจะทำการสั่งรัน Tor Hidden Service ขึ้นภายใต้พอร์ตหมายเลข 55080 และโดเมนที่ถูกสร้างขึ้นภายใต้ .onion เพื่อรอรับคำสั่ง ผู้โจมตีจะทำการสั่งการบอทเน็ตผ่านทางเซิร์ฟเวอร์ IRC ที่บอทเน็ตได้เข้าร่วมอยู่เพื่อทำการ DDoS หรือดูสถานะของเครื่องเป้าหมายเป็นต้น
ส่วนของการขุด BitCoin นั้น throwaway236236 อ้างว่ามันเป็นฟังก์ชันการทำงานเล็กๆ ที่จะทำงานในเวลาที่คอมพิวเตอร์ไม่ได้ถูกใช้งานเป็นเ วลา 2 นาที โดยอัตราของการขุดนั้นน้อยมากจนแทบไม่มีอาการผิดสังเ กตเกิดขึ้นกับคอมพิวเตอร์ และเมื่อผู้ใช้ทำการขยับเมาส์หรือกดคีย์บอร์ดฟังก์ชั นการขุดก็จะหยุดทำงานทันที
จากการแกะรอยโดยการใช้วิศวกรรมย้อนกลับนั้นพบว่า Skynet มีการแพร่กระจายอยู่ในทวีปยุโรปเป็นจำนวนมาก มีความเป็นไปได้ว่าจะมีคอมพิวเตอร์ที่ติดบอทเน็ตนั้น อยู่ 12 ถึง 15 ล้านเครื่อง อีกทั้งยังแสดงให้เห็นว่าเป้าหมายการโจมตีแบบ DDoS ของบอทเน็ตนั้นอยู่ในสหรัฐเป็นส่วนใหญ่ด้วย แต่ในตอนนี้ก็ยังไม่สามารถแกะรอยเจอผู้ C&C บอทเน็ตได้
ทาง Rapid7 ได้ออกคำเตือนให้ผู้ใช้มีความระมัดระวังทุกครั้งก่อน ที่จะรันโปรแกรมใดๆ และควรตระหนักไว้ว่าขนาดไฟล์ที่ใหญ่ก็อาจจะมีมัลแวร์ บางประเภทแฝงตัวมาก็ได้ ควรทำการสแกนให้แน่ใจทุกครั้งก่อนจะรัน
ที่มา - Security Street Rapid7


อ่านต่อ...