BOTNET ภัยร้ายที่ต้องระวัง |
![]() |
![]() |
![]() |
วันพฤหัสบดีที่ 23 สิงหาคม 2012 เวลา 09:50 |
BOTNET ภัยร้ายที่ต้องระวังวันนี้ พูดเจาะลึก เรื่อง BOTNET โดยเฉพาะ เป็นเรื่องไม่ไกลตัวคนทำเว็บ และเป็นเรื่องใกล้ตัวคนที่ใช้ internet เลยทีเดียวเรื่องนี้เริ่มจากเว็บลูกค้าผมรายหนึ่ง อยู่ดีๆก็เจอ request file รูปภาพไฟล์เดียว เป็นจะนวนมากๆ เท่าที่ track ดูคือ 300 request ต่อวินาที มาจาก IP ที่หลากหลายทั่วโลกที่ไม่ซ้ำกันเลย ทีแรก ผมเข้าใจว่าลูกค้าเอา banner เว็บตัวเองไปติดเว็บใหญ่ระดับประเทศ ที่มีคนเปิดเป็นล้านๆคน ซึ่งมันจะคล้ายแบบนี้เลย แต่ที่ผมสังเกตุอย่างหนึ่งแล้วพบว่า มันมี parameter แนบมาด้วย ซึ่งเป็นตัวหนังสือผสมตัวเลขที่สุ่มไปเรื่อยๆ ผมเริ่มรู้สึกว่ามันไม่ใช่แล้ว จนตรวจสอบไปใน log ของเว็บลูกค้า พบว่ามีการ FTP ไฟล์นี้มาวาง ก่อนจะโดนยิงไม่นาน ซึ่งตรวจสอบย้อนกลับพบว่าเป็น IP มาจาก รัสเซีย เท่านั้น พอจะประเมินสถานการณ์ออกแล้ว ว่าผมกำลังโดนคุกคามทาง internet แล้ว แต่ผมยังไม่รู้ว่าเค้าเรียกว่าอะไร จากนั้นเลยถามเพื่อนผม ที่เชี่ยวชาญเรื่อง network มาก บอกว่า อ๋อ มันคือ BOTNET ที่เป็นต้นเหตุของบทความนี้ เราจะมาทำความรู้จักกับมันโดยละเอียดกัน เพราะว่าเครื่องที่คุณกำลังอ่านเว็บผมนี้ อาจจะเป็นหน่วยหนึ่งใน BOTNET ที่กำลังโจมตีเครื่องคนอื่นอยู่โดยที่คุณไม่ได้รู้ตัวเลยก็เป็นได้ครับ จำนวน BOTNET ในไทย เลขสุดท้ายที่ผมเห็นหลายปีก่อนคือ 50,000 เครื่องปัจจุบันน่าจะหลายแสนเครื่องครับ ที่เป็นเครือข่าย BOTNET โดยที่เจ้าของเครื่องไม่ได้ยินยอมเลย (และไม่รู้ตัวด้วยซ้ำ) อธิบาย BOTNET แบบเข้าใจง่ายๆผมจะอธิบายทาง technical แบบยากๆเอาไว้ด้านล่างอีกทีนะครับ จุดเริ่มต้นของ BOTNET เริ่มต้นจาก hacker เขียนโปรแกรมแบบ malware เพื่อติดตั้งในเครื่องของเหยื่อก่อน ไม่ว่าจะด้วยวิธีการไหนก็ตาม เพราะว่ามาได้หลากหลายวิธีมาก ขึ้นอยู่กับเทคนิคการแพร่กระจาย แต่ส่วนใหญ่แล้ว เครื่องที่ติด จะเกิดจากการที่เครื่อง ไม่ได้ update software ที่ใช้ ก็คือ ไม่ได้ update windows หรือ linux version นั่นแหล่ะ เพราะว่าสิ่งที่เค้าให้เรา update คือสิ่งที่ช่วยอุดรูรั่วต่างๆที่มีคนค้นพบครับ ไม่ใช่แค่การเพิ่ม function ใหม่อย่างเดียว อย่างที่หลายคนเข้าใจ และอีกเหตุก็คือ เครื่องที่ไม่มี firewall ในเครื่องครับ ไม่รอดเช่นกัน หลังจากที่เครื่องของเหยื่อติด malware ไปแล้วเรียบร้อย เครื่องนั้นจะเรียกว่า zombie ครับ โดย hacker จะเป็นหัวหน้าทัพ จากนั้น hacker ก็จะเพิ่มปริมาณ zombie ไปเรื่อยๆ ก็คือทำให้ติด malware กันเยอะๆขึ้นไปเรื่อยๆ ด้วยการแพร่กระจายกัน ในเครื่องที่มีรูโหว่อย่างที่เล่าไปแล้วครับ ท้ายที่สุด hacker ที่เป็นแม่ทัพ จะมี zombie ในมือ เป็นจำนวนมากมาย หลายล้านเครื่องครับ(ระดับแสนเครื่องนี้ จิ้บจ๊อยมาก) ซึ่งแน่นอนที่สุด ก็คือ แม่ทัพสั่งอะไร zombie เหล่านั้น ก็พร้อมจะทำตามอย่างไม่ต้องสงสัยครับ เคยมี case มาเล่าให้ฟังว่าอยู่ดีๆ เครื่องที่ใช้ แล้ว save ไฟล์ไว้ที่หน้าจอ แล้วก็ถูกลบไปเฉยๆ อะไรแบบนี้เป็นต้นครับ นั่นคือเครื่องคุณเป็น 1 ใน zombie ไปแล้วเรียบร้อย เพราะว่าเค้าจะสั่งให้เครื่อง zombie เหล่านั้นทำอะไรก็ได้ แม้กระทั่งทำลายทิ้งก็ตาม(ลบข้อมูลให้เกลี้ยง) ทีนี้ เมื่อแม่ทัพ ได้รับคำสั่ง หรือหมั่นใส้ใคร หรือ รับเงินจ้างจากใคร ก็จะส่งคำสั่งออกไปที่ กองทัพ zombie ทั้งหมดให้ออกไปถล่มทีเดียวพร้อมกันเลย เครื่องที่เป็นเป้าหมาย ก็จะต้องทำงานหนักเพราะว่าต้องเจอกับกองทัพ zombie จำนวนมากเข้าโจมตีพร้อมกัน(ก็มากันเป็นล้านเครื่อง) สุดท้ายเครื่องไม่พัง ก็ทำงานไม่ไหวค้างไป หรือได้รับผลกระทบอย่างน้อยอะไรบางอย่างแน่นอน ส่วนการโจมตี น่าจะมีหลายรูปแบบ แต่ไม่ซับซ้อนครับ อย่างผม พึ่งเจอก็คือ สั่งให้กองทัพ มาโหลดไฟล์เดียวจากเว็บเว็บหนึ่งที่อยู่ในเครื่องผมครับ track วันนึงมาเป็นสิบล้านครับ โดนต่อเนื่องหลายวันเหมือนกัน กว่าผมจะแก้ไข และป้องกันออกไป จนไม่มีผลกระทบกับระบบ (ดีว่า เครื่อง server แรง เลยไม่เป็นอะไรเท่าไร ไม่งั้น ดับอนาถแล้วแน่ๆ) BOTNET ใน แบบ ยากๆการติด BOTNETสามารถติด malicious software ได้จากหลากหลายรูปแบบ ไม่ว่าจะเป็นการ download มาเอง หรือจากช่องโหว่ของ web browser หรือจาก การรัน trojan horse จากโปรแกรมต่างๆ ซึ่งอาจจะมาในอีเมล โดยเครื่องที่ถูกติดตั้ง malicious software เหล่านี้ จะถูกควบคุมเครื่องจากระยะไกลได้จาก hacker ที่ควบคุม โดย trojan สามารถ ทำลายตัวเอง หรือว่า update หรือแก้ไข module ตัวเองได้อีกด้วย การแพร่กระจายเราจะเรียก BOTNET ในชื่อ malicious software (โปรแกรมไม่พึงประสงค์ ซึ่งมีหลากหลายรูปแบบ) โดย BOTNET มีหลายรูปแบบเช่นกัน แต่จะทำงานในแบบเฉพาะตัวกันไป และทำงานได้หลากหลายรูปแบบด้วย ขึ้นอยู่กับผู้ที่สร้างมันขึ้นมา ซึ่ง BOTNET เราจะใช้อ้างถึงกลุ่มของ bot (เช่น IRC bots) โดยหมายถึง กลุ่มเครื่องที่มี malicious software เหล่านี้ทำงานอยู่ในเครื่อง (เราจะเรียกอีกชื่อว่า zombie computer) โดย zombie computer เหล่านี้(มีมากมายหลายหมื่นหลายแสนเครื่อง) จะมีผู้ควบคุมสูงสุด ชื่อว่า "bot herder" หรือ "bot master" จะควบคุมโดยการส่งคำสั่งมาจากทีไหนก็ได้ในโลก โดยอาศัยเครือข่ายแบบ IRC network ในการส่งคำสั่งต่อ และเครื่องที่เป็น zombie ก็จะรับคำสั่งและทำตามนั้น bot จะแอบรันโดยทำงานติดต่อกับ server โดยอาศัยการรับส่งข้อมูลที่เหมือนกับ IRC ,twitter, IM ใช้งานกันอยู่ เพื่อให้ยากในการตรวจจับ ที่ร้ายกว่านั้นก็คือ bot มันสามารถทำงานด้วยการ scan หาเหยื่อรายใหม่ได้ด้วยตัวมันเอง (เพราะได้รับคำสั่งมา) เพื่อหาช่องว่างในเครือข่ายที่ใช้งานอยู่ หรือเจาะเข้าไปในกรณีที่ รหัสผ่านง่ายๆ เท่าที่ผมตรวจสอบดู พบว่า เครื่องที่อยู่ในประเทศไทย มาโจมตีผมก็มีไม่น้อยเหมือนกัน (เช็คจาก IP) แปลว่าคนไทยเอง ก็ยังมีอีกมาก ที่ละเลยเรื่องเหล่านี้ จริงๆ ผมว่ามันผิดตั้งแต่ เลือกใช้ software ละเมิดลิขสิทธ์ แล้วล่ะครับ เพราะว่า windows ที่ละเมิดลิขสิทธ์จะ update windows หรือ update patch อะไรไม่ได้ ทำให้เครื่องมีช่องว่าง รูโหว่ พรุนเต็มไปหมด จริงๆรูโหว่เหล่านี้มันไม่ได้พึ่งมีนะครับ มันมีตั้งแต่ตอนติดตั้ง windows แล้วล่ะ เพียงแต่ว่า รูแต่ละรู ใช้เวลาระยะหนึ่ง จนกว่าจะมีคนมาพบเจอ ซึ่งใช้เวลามากน้อยไม่เท่ากัน แต่นับวันก็ยิ่งมีคนเจอเยอะขึ้นไงครับ รูปแบบการโจมตีDDOS - Denial-of-service attacks เป็นชื่อเรียกของการที่มี เครื่องจำนวนมากๆ เรียกใช้งานเข้าไปที่เป้าหมายเดียวกันโดยอัตโนมัติ ซึ่งการเรียกใช้งานนี้ จะเป็นการเรียกใช้งานที่หนักกว่าการใช้งานตามปกติมากๆ ทำให้ปลายทางตอบสนองไม่ทัน จนกระทั่งทำงานไม่ไหวไปในที่สุด
การป้องกัน ไม่ให้เครื่องเราติด malware หรือ กลายเป็น Zombie ไม่ยากเลยครับ เพียงแค่คุณ ใช้ windows ลิขสิทธ์ และต่อ internet เพื่อ update อย่างน้อยเดือนละ ครั้งเดียวก็เพียงพอ รวมทั้งต้องใช้ personal firewall ด้วย ตัวนี้หาโหลดได้ฟรีครับ (ผมใช้ COMODO firewall) และต้องไม่ลืมติดตั้ง antivirus พร้อม กด update รายชื่อไวรัสใหม่อย่างน้อยเดือนละครั้ง(และ scan ด้วยนะ) และที่สำคัญที่สุด คือไม่เปิดเว็บที่ไม่รู้จัก และไม่กดติดตั้งไฟล์หรือโปรแกรมอะไรที่คิดว่าน่าจะไม่ปลอดภัย หรือไม่ทราบที่มาแน่ชัด แต่บางครั้ง คุณอาจจะโดนหลอกให้ติดตั้ง ด้วยความสะเพร่า อันนี้ antivirus จะช่วยได้ในระดับหนึ่งครับ (ถ้า update มันนะ) อ้อ คุณต้องเลิกใช้ internet explorer version 6 หรือต่ำกว่าด้วย หรือถ้าใช้ version ที่ใหม่กว่าก็ต้อง หมั่น update ด้วยเช่นกัน (ใน version ตัวเอง ก็มี update เรื่อยๆ เช่น internet explorer version 8 ก็จะมีการ update เพื่อปรับความปลอดภัย เรื่อยๆโดยไม่ใช่การ update เป็น version 9) สำหรับคนที่ไม่เคยใช้ anti virus หรือใช้แต่ไม่เคย update เลย ,ใช้ windows เถื่อนที่ไม่เคย update , ไม่ใช้ firewall ก็ให้พึงระวัง ตอนนี้เครื่องอาจจะกลายเป็น 1 ใน zombie โดยไม่รู้ตัวไปแล้วก็ได้ครับ |