มีการรื้อ Botnet เพิ่มมากขึ้นเรื่อยๆ แต่ในทางกลับกัน อาชญากรไซเบอร์ก็ไม่ยอมแพ้และมักจะค้นหาเทคนิคใหม่ๆ อยู่ตลอดเวลา คำอธิบาย
ดริเด็กซ์etบีโบนในปี 2558คริปโตล็อคเกอร์ในปี 2557เคลิโฮสในปี 2555คอนฟิกเกอร์ในปี 2009… ชื่อแปลก ๆ เหล่านี้ล้วนหมายถึงความยิ่งใหญ่บอตเน็ต– หรือเครือข่ายของคอมพิวเตอร์ที่ติดไวรัส – ซึ่งได้รับการรื้อถอนไปในช่วงไม่กี่ปีที่ผ่านมา การดำเนินการต่อต้านบ็อตเน็ตเหล่านี้เริ่มบ่อยขึ้นเรื่อยๆ และเกี่ยวข้องกับผู้มีบทบาทระดับชาติและนานาชาติมากขึ้นเรื่อยๆ เช่น ตำรวจ อัยการ เจ้าภาพ นักวิจัยด้านความปลอดภัย ISP ฯลฯ แต่การดำเนินการเหล่านี้มีการจัดการอย่างไร? และอุปสรรคสำคัญที่พบเจอคืออะไร? ในระหว่างการประชุม Botconf 2015 เรามีโอกาสได้พบกับนักวิจัยด้านความปลอดภัยที่เข้าร่วมในการลบเนื้อหาเหล่านี้หลายครั้ง John Bambenek พระองค์ประทานความเข้าใจอันลึกซึ้งแก่เรา
โดยหลักการแล้วการรื้อกบ็อตเน็ตประกอบด้วยการปิดการใช้งานเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เหนือสิ่งอื่นใดซึ่งเป็นตัวแทนขององค์ประกอบหลักในโครงสร้างของบ็อตเน็ต- ซึ่งมักจะเกี่ยวข้องกับการตรวจหาชื่อโดเมนที่พวกเขาใช้ จากนั้นติดต่อกับโฮสต์และผู้รับจดทะเบียนที่เกี่ยวข้อง บางครั้งชื่อโดเมนถูกฝังเป็นรายการคงที่ในมัลแวร์ การวิเคราะห์โค้ดที่เป็นอันตรายช่วยให้เราสามารถระบุตัวตนของเซิร์ฟเวอร์ที่ผิดกฎหมายเหล่านี้ได้ แต่อาชญากรไซเบอร์ได้พัฒนาเทคนิคมากมายที่ทำให้งานซับซ้อนยิ่งขึ้น
อัลกอริทึมเพื่อปกปิดเส้นทางของพวกเขา
จึงมีจำนวนมากบอตเน็ตขณะนี้มีอัลกอริธึมการสร้างชื่อโดเมน (Domain Generation Algorithm, DGA) แทนที่จะดึงออกมาจากรายการคงที่ มัลแวร์จะเรียกใช้อัลกอริธึมเพื่อทราบในแต่ละวันว่าควรติดต่อกับชื่อโดเมนใด“ตัวอย่างเช่น Conficker สร้างชื่อโดเมน 50,000 ชื่อต่อวัน และกระจายไปทั่วผู้รับจดทะเบียนนับพันราย”, ขีดเส้นใต้ จอห์น แบมเบเน็ค หากต้องการเข้าถึงเซิร์ฟเวอร์ที่ซ่อนอยู่เบื้องหลังชื่อเหล่านี้ คุณต้องทำวิศวกรรมย้อนกลับอัลกอริธึมนี้ก่อน“เมื่องานนี้เสร็จสิ้น เราจะสร้างชื่อโดเมนในอีกสองปีข้างหน้าและติดต่อโฮสต์เพื่อปิดการใช้งานหรือดักจับพวกเขา”, อธิบายผู้วิจัย.
การดำเนินการประเภทนี้จะทำงานเมื่ออัลกอริธึม DGA เป็นแบบคาดการณ์ได้ แต่บางแบบก็ไม่เป็นเช่นนั้น“ในกรณีหนึ่ง การคำนวณชื่อโดเมนจะขึ้นอยู่กับอัตราแลกเปลี่ยนเงินตรา ซึ่งเห็นได้ชัดว่าไม่สามารถคาดเดาได้ เราจึงต้องหาวิธีอื่น นี่เป็นหนึ่งในปัญหาใหญ่ในวันนี้”ฟ้องจอห์น แบมเบเน็ค
ทอร์คอยรับใช้ซอมบี้
ปัญหาอีกประการหนึ่ง: บอตเน็ตที่ใช้เครือข่ายการลบข้อมูลระบุตัวตนของ Tor แฮกเกอร์บางรายติดตั้งเซิร์ฟเวอร์ C&C ของตนเป็นบริการ Tor ที่ซ่อนอยู่ ซึ่งเครื่องที่ติดไวรัสจะติดต่อโดยใช้เบราว์เซอร์ของ Tor ที่ฝังอยู่ในมัลแวร์ ข้อได้เปรียบสำหรับอาชญากรไซเบอร์: แม้ว่าคุณจะทราบที่อยู่ .onion แต่ก็ไม่สามารถค้นหาเซิร์ฟเวอร์หรือโฮสต์ที่เกี่ยวข้องได้“อย่างไรก็ตาม การรับส่งข้อมูลของ Tor นั้นตรวจพบได้ง่ายและสามารถบล็อกในธุรกิจได้อย่างง่ายดาย น่าเสียดายที่นี่ไม่ใช่กรณีที่บ้าน และคอมพิวเตอร์สำหรับธุรกิจจำนวนมากในปัจจุบันเชื่อมต่อจากการเชื่อมต่อของผู้บริโภคเหล่านี้, อธิบายผู้วิจัย.
แต่ก็มีพัฒนาการเชิงบวกเช่นกัน ดังนั้นความร่วมมือระหว่างนักแสดงต่างๆ จึงทำงานได้ดีขึ้นเรื่อยๆ โดยเฉพาะระหว่างยุโรปและสหรัฐอเมริกา“กับรัสเซีย มันยากกว่า นอกจากนี้ แฮกเกอร์ชาวรัสเซียยังต้องแน่ใจว่าจะไม่แพร่เชื้อเครื่องในรัสเซีย เพื่อหลีกเลี่ยงปัญหากับตำรวจ"ระบุ John Bambenek แต่หลักการของความร่วมมือบางครั้งไม่ได้ขัดขวางการกระทำเดี่ยวบางอย่าง กรณีหนึ่งที่น่าจดจำคือกรณีของ Microsoft ซึ่งในปี 2014 ได้รับคำสั่งศาลให้บล็อกการรับส่งข้อมูลทั้งหมดจาก No-IP ซึ่งเป็นผู้ให้บริการ DNS“ผู้เชี่ยวชาญของ Microsoft ไม่ได้ทำการวิเคราะห์ความเสี่ยง เพื่อต่อต้านชื่อโดเมนที่ถูกบุกรุก 50,000 ชื่อ พวกเขาบล็อกลูกค้าหลายล้านรายที่ไม่เกี่ยวข้องกับเรื่องนี้โดยสิ้นเชิง ข้อผิดพลาดร้ายแรง », อธิบายผู้วิจัย. ชอบอะไรที่จะเอาชนะบอตเน็ตเหนือสิ่งอื่นใดคือความสามัคคีที่สร้างความเข้มแข็ง
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
