BOTNET ภัยร้ายที่ต้องระวัง

     วันนี้ พูดเจาะลึก เรื่อง BOTNET โดยเฉพาะ เป็นเรื่องไม่ไกลตัวคนทำเว็บ และเป็นเรื่องใกล้ตัวคนที่ใช้ internet เลยทีเดียว

     เรื่องนี้เริ่มจากเว็บลูกค้าผมรายหนึ่ง อยู่ดีๆก็เจอ request file รูปภาพไฟล์เดียว เป็นจะนวนมากๆ เท่าที่ track ดูคือ 300 request ต่อวินาที มาจาก IP ที่หลากหลายทั่วโลกที่ไม่ซ้ำกันเลย ทีแรก ผมเข้าใจว่าลูกค้าเอา banner เว็บตัวเองไปติดเว็บใหญ่ระดับประเทศ ที่มีคนเปิดเป็นล้านๆคน ซึ่งมันจะคล้ายแบบนี้เลย แต่ที่ผมสังเกตุอย่างหนึ่งแล้วพบว่า มันมี parameter แนบมาด้วย ซึ่งเป็นตัวหนังสือผสมตัวเลขที่สุ่มไปเรื่อยๆ ผมเริ่มรู้สึกว่ามันไม่ใช่แล้ว จนตรวจสอบไปใน log ของเว็บลูกค้า พบว่ามีการ FTP ไฟล์นี้มาวาง ก่อนจะโดนยิงไม่นาน ซึ่งตรวจสอบย้อนกลับพบว่าเป็น IP มาจาก รัสเซีย เท่านั้น พอจะประเมินสถานการณ์ออกแล้ว ว่าผมกำลังโดนคุกคามทาง internet แล้ว แต่ผมยังไม่รู้ว่าเค้าเรียกว่าอะไร จากนั้นเลยถามเพื่อนผม ที่เชี่ยวชาญเรื่อง network มาก บอกว่า อ๋อ มันคือ BOTNET ที่เป็นต้นเหตุของบทความนี้ เราจะมาทำความรู้จักกับมันโดยละเอียดกัน เพราะว่าเครื่องที่คุณกำลังอ่านเว็บผมนี้ อาจจะเป็นหน่วยหนึ่งใน BOTNET ที่กำลังโจมตีเครื่องคนอื่นอยู่โดยที่คุณไม่ได้รู้ตัวเลยก็เป็นได้ครับ

     จำนวน BOTNET ในไทย เลขสุดท้ายที่ผมเห็นหลายปีก่อนคือ 50,000 เครื่องปัจจุบันน่าจะหลายแสนเครื่องครับ ที่เป็นเครือข่าย BOTNET โดยที่เจ้าของเครื่องไม่ได้ยินยอมเลย (และไม่รู้ตัวด้วยซ้ำ)

อธิบาย BOTNET แบบเข้าใจง่ายๆ

ผมจะอธิบายทาง technical แบบยากๆเอาไว้ด้านล่างอีกทีนะครับ

จุดเริ่มต้นของ BOTNET เริ่มต้นจาก hacker เขียนโปรแกรมแบบ malware เพื่อติดตั้งในเครื่องของเหยื่อก่อน ไม่ว่าจะด้วยวิธีการไหนก็ตาม เพราะว่ามาได้หลากหลายวิธีมาก ขึ้นอยู่กับเทคนิคการแพร่กระจาย แต่ส่วนใหญ่แล้ว เครื่องที่ติด จะเกิดจากการที่เครื่อง ไม่ได้ update software ที่ใช้ ก็คือ ไม่ได้ update windows หรือ linux version นั่นแหล่ะ เพราะว่าสิ่งที่เค้าให้เรา update คือสิ่งที่ช่วยอุดรูรั่วต่างๆที่มีคนค้นพบครับ ไม่ใช่แค่การเพิ่ม function ใหม่อย่างเดียว อย่างที่หลายคนเข้าใจ และอีกเหตุก็คือ เครื่องที่ไม่มี firewall ในเครื่องครับ ไม่รอดเช่นกัน

หลังจากที่เครื่องของเหยื่อติด malware ไปแล้วเรียบร้อย เครื่องนั้นจะเรียกว่า zombie ครับ โดย hacker จะเป็นหัวหน้าทัพ จากนั้น hacker ก็จะเพิ่มปริมาณ zombie ไปเรื่อยๆ ก็คือทำให้ติด malware กันเยอะๆขึ้นไปเรื่อยๆ ด้วยการแพร่กระจายกัน ในเครื่องที่มีรูโหว่อย่างที่เล่าไปแล้วครับ

ท้ายที่สุด hacker ที่เป็นแม่ทัพ จะมี zombie ในมือ เป็นจำนวนมากมาย หลายล้านเครื่องครับ(ระดับแสนเครื่องนี้ จิ้บจ๊อยมาก) ซึ่งแน่นอนที่สุด ก็คือ แม่ทัพสั่งอะไร zombie เหล่านั้น ก็พร้อมจะทำตามอย่างไม่ต้องสงสัยครับ เคยมี case มาเล่าให้ฟังว่าอยู่ดีๆ เครื่องที่ใช้ แล้ว save ไฟล์ไว้ที่หน้าจอ แล้วก็ถูกลบไปเฉยๆ อะไรแบบนี้เป็นต้นครับ นั่นคือเครื่องคุณเป็น 1 ใน zombie ไปแล้วเรียบร้อย เพราะว่าเค้าจะสั่งให้เครื่อง zombie เหล่านั้นทำอะไรก็ได้ แม้กระทั่งทำลายทิ้งก็ตาม(ลบข้อมูลให้เกลี้ยง)

ทีนี้ เมื่อแม่ทัพ ได้รับคำสั่ง หรือหมั่นใส้ใคร หรือ รับเงินจ้างจากใคร ก็จะส่งคำสั่งออกไปที่ กองทัพ zombie ทั้งหมดให้ออกไปถล่มทีเดียวพร้อมกันเลย เครื่องที่เป็นเป้าหมาย ก็จะต้องทำงานหนักเพราะว่าต้องเจอกับกองทัพ zombie จำนวนมากเข้าโจมตีพร้อมกัน(ก็มากันเป็นล้านเครื่อง) สุดท้ายเครื่องไม่พัง ก็ทำงานไม่ไหวค้างไป หรือได้รับผลกระทบอย่างน้อยอะไรบางอย่างแน่นอน ส่วนการโจมตี น่าจะมีหลายรูปแบบ แต่ไม่ซับซ้อนครับ อย่างผม พึ่งเจอก็คือ สั่งให้กองทัพ มาโหลดไฟล์เดียวจากเว็บเว็บหนึ่งที่อยู่ในเครื่องผมครับ track วันนึงมาเป็นสิบล้านครับ โดนต่อเนื่องหลายวันเหมือนกัน กว่าผมจะแก้ไข และป้องกันออกไป จนไม่มีผลกระทบกับระบบ (ดีว่า เครื่อง server แรง เลยไม่เป็นอะไรเท่าไร ไม่งั้น ดับอนาถแล้วแน่ๆ)

BOTNET ใน แบบ ยากๆ

การติด BOTNET

     สามารถติด malicious software ได้จากหลากหลายรูปแบบ ไม่ว่าจะเป็นการ download มาเอง หรือจากช่องโหว่ของ web browser หรือจาก การรัน trojan horse จากโปรแกรมต่างๆ ซึ่งอาจจะมาในอีเมล โดยเครื่องที่ถูกติดตั้ง malicious software เหล่านี้ จะถูกควบคุมเครื่องจากระยะไกลได้จาก hacker ที่ควบคุม โดย trojan สามารถ ทำลายตัวเอง หรือว่า update หรือแก้ไข module ตัวเองได้อีกด้วย

การแพร่กระจาย

     เราจะเรียก BOTNET ในชื่อ malicious software (โปรแกรมไม่พึงประสงค์ ซึ่งมีหลากหลายรูปแบบ) โดย BOTNET มีหลายรูปแบบเช่นกัน แต่จะทำงานในแบบเฉพาะตัวกันไป และทำงานได้หลากหลายรูปแบบด้วย ขึ้นอยู่กับผู้ที่สร้างมันขึ้นมา 

     ซึ่ง BOTNET เราจะใช้อ้างถึงกลุ่มของ bot (เช่น IRC bots) โดยหมายถึง กลุ่มเครื่องที่มี malicious software เหล่านี้ทำงานอยู่ในเครื่อง (เราจะเรียกอีกชื่อว่า zombie computer)

     โดย zombie computer เหล่านี้(มีมากมายหลายหมื่นหลายแสนเครื่อง) จะมีผู้ควบคุมสูงสุด ชื่อว่า "bot herder" หรือ "bot master" จะควบคุมโดยการส่งคำสั่งมาจากทีไหนก็ได้ในโลก โดยอาศัยเครือข่ายแบบ IRC network ในการส่งคำสั่งต่อ และเครื่องที่เป็น zombie ก็จะรับคำสั่งและทำตามนั้น

     bot จะแอบรันโดยทำงานติดต่อกับ server โดยอาศัยการรับส่งข้อมูลที่เหมือนกับ IRC ,twitter, IM ใช้งานกันอยู่ เพื่อให้ยากในการตรวจจับ ที่ร้ายกว่านั้นก็คือ bot มันสามารถทำงานด้วยการ scan หาเหยื่อรายใหม่ได้ด้วยตัวมันเอง (เพราะได้รับคำสั่งมา) เพื่อหาช่องว่างในเครือข่ายที่ใช้งานอยู่ หรือเจาะเข้าไปในกรณีที่ รหัสผ่านง่ายๆ

     เท่าที่ผมตรวจสอบดู พบว่า เครื่องที่อยู่ในประเทศไทย มาโจมตีผมก็มีไม่น้อยเหมือนกัน (เช็คจาก IP) แปลว่าคนไทยเอง ก็ยังมีอีกมาก ที่ละเลยเรื่องเหล่านี้ จริงๆ ผมว่ามันผิดตั้งแต่ เลือกใช้ software ละเมิดลิขสิทธ์ แล้วล่ะครับ เพราะว่า windows ที่ละเมิดลิขสิทธ์จะ update windows หรือ update patch อะไรไม่ได้ ทำให้เครื่องมีช่องว่าง รูโหว่ พรุนเต็มไปหมด จริงๆรูโหว่เหล่านี้มันไม่ได้พึ่งมีนะครับ มันมีตั้งแต่ตอนติดตั้ง windows แล้วล่ะ เพียงแต่ว่า รูแต่ละรู ใช้เวลาระยะหนึ่ง จนกว่าจะมีคนมาพบเจอ ซึ่งใช้เวลามากน้อยไม่เท่ากัน แต่นับวันก็ยิ่งมีคนเจอเยอะขึ้นไงครับ

รูปแบบการโจมตี

DDOS - Denial-of-service attacks เป็นชื่อเรียกของการที่มี เครื่องจำนวนมากๆ เรียกใช้งานเข้าไปที่เป้าหมายเดียวกันโดยอัตโนมัติ ซึ่งการเรียกใช้งานนี้ จะเป็นการเรียกใช้งานที่หนักกว่าการใช้งานตามปกติมากๆ ทำให้ปลายทางตอบสนองไม่ทัน จนกระทั่งทำงานไม่ไหวไปในที่สุด

• Adware - ก็คือ แสดงข้อความ หรือโฆษณาในเครื่องขึ้นมาเฉยๆ โดยที่ เจ้าของเครื่องยังงง ว่ามาจากไหน เรายังไม่ได้เปิดโปรแกรมอะไรเลยเป็นต้น หรืออย่างเช่น ไปเปลี่ยนป้ายโฆษณาในบางเว็บ ให้ชี้ไปที่อื่น
• Spyware - เป็นโปรแกรมที่ทำหน้าที่เก็บข้อมูลของเจ้าของเครื่อง แล้วส่งไปให้ bot master ไม่ว่าจะเป็น รหัสผ่าน รหัสบัตรเครดิต หรือว่าอื่นๆก็ได้ทั้งหมด แม้กระทั่งข้อมูลส่วนตัวที่กรอกไปด้วยก็ตาม โดยอาจจะเอาไปขายต่อ หรือเอาไปใช้ปลอมตัวตน เพื่อสร้างความเสียหายได้ ตัวอย่างหนึ่งเช่น Aurora botnet
• E-mail spam - เป็นอีเมลที่จะส่งออกไปในนามเจ้าของเครื่อง โดยที่เจ้าของเครื่องไม่ได้รู้เรื่องด้วยเลย  โดยอาจจะเป็นโฆษณา หรือ สร้างความรำคาญ หรือ โปรแกรมตัวมันเอง(แพร่เชื่อ)
• Click fraud - เป็นการเปลี่ยนเว็บปลายทางที่ เจ้าของเครื่องคลิกไป ให้ไปเข้าเว็บตามที่ bot master กำหนดไว้
• Fast flux - เป็นการใช้ DNS ช่วย โดยเปลี่ยน dns จากเว็บปกติ ให้ชี้ไปที่ server ที่ bot master ต้องการ (ซึ่งได้สร้างเว็บหลอก เหมือนเว็บจริงเอาไว้รออยู่แล้ว)
• Brute-forcing - เป็นการสั่งให้เครื่องไปทดสอบ login เครื่องอื่น ใน protocol ต่างๆ ไม่ว่าจะเป็ฯ FTP, SMTP, SSH
• The worm behavior - botnet บางตัว ถูกออกแบบให้ชอนใชไปในเครือข่ายได้ด้วยตัวเอง และจะติดไปเรื่อย
• Scareware - เป็นการติดตั้ง virus ลงเครื่อง เช่น แนะนำให้ ซื้อโปรแกรม anti virus ปลอมโดยที่ไม่รู้ตัว เพื่อให้เอาโปรแกรมเข้ามาติดตั้งในเครื่อง

     การป้องกัน ไม่ให้เครื่องเราติด malware หรือ กลายเป็น Zombie ไม่ยากเลยครับ เพียงแค่คุณ ใช้ windows ลิขสิทธ์ และต่อ internet เพื่อ update อย่างน้อยเดือนละ ครั้งเดียวก็เพียงพอ รวมทั้งต้องใช้ personal firewall ด้วย ตัวนี้หาโหลดได้ฟรีครับ (ผมใช้ COMODO firewall) และต้องไม่ลืมติดตั้ง antivirus พร้อม กด update รายชื่อไวรัสใหม่อย่างน้อยเดือนละครั้ง(และ scan ด้วยนะ) และที่สำคัญที่สุด คือไม่เปิดเว็บที่ไม่รู้จัก และไม่กดติดตั้งไฟล์หรือโปรแกรมอะไรที่คิดว่าน่าจะไม่ปลอดภัย หรือไม่ทราบที่มาแน่ชัด แต่บางครั้ง คุณอาจจะโดนหลอกให้ติดตั้ง ด้วยความสะเพร่า อันนี้ antivirus จะช่วยได้ในระดับหนึ่งครับ (ถ้า update มันนะ) อ้อ คุณต้องเลิกใช้ internet explorer version 6 หรือต่ำกว่าด้วย หรือถ้าใช้ version ที่ใหม่กว่าก็ต้อง หมั่น update ด้วยเช่นกัน (ใน version ตัวเอง ก็มี update เรื่อยๆ เช่น internet explorer version 8 ก็จะมีการ update เพื่อปรับความปลอดภัย เรื่อยๆโดยไม่ใช่การ update เป็น version 9)

     สำหรับคนที่ไม่เคยใช้ anti virus หรือใช้แต่ไม่เคย update เลย ,ใช้ windows เถื่อนที่ไม่เคย update , ไม่ใช้ firewall ก็ให้พึงระวัง ตอนนี้เครื่องอาจจะกลายเป็น 1 ใน zombie โดยไม่รู้ตัวไปแล้วก็ได้ครับ