Microsoft และ ESET ร่วมมือกับหน่วยงานกฎหมายยับยั้งการทำงานของบอทเน็ต Gamarue และมัลแวร์ Wauchos

วันที่โพส
จำนวนผู้เข้าชม
46 ครั้ง

แชร์โพสนี้

ในตอนนี้หน่วยงานกฎหมายทั่วโลกกำลังพยายามหยุดยั้งการทำงานของบอทเน็ตของมัลแวร์ที่ชื่อว่า Gamarue หรือในชื่อที่ ESET ตรวจจับได้ว่า Win32/TrojanDownloader.Wauchos ซึ่งบอทเน็ต Gamarue แอบทำงานอยู่อย่างลับ ๆ ในโลกอินเตอร์เน็ตมาเป็นเวลานานหลายปี หลายฝ่ายรู้จักมันในนามว่า Andromeda

ทาง Microsoft ชักชวน ESET ให้ความช่วยเหลือด้านเทคนิคในปฏิบัติการนี้ เนื่องจากนักวิจัยของ ESET ทำการสำรวจและติดตามบอทเน็ตนี้มาอย่างใกล้ชิด ทั้งติดตามเซิร์ฟเวอร์ C&C และศึกษากระบวนการแพร่กระจายบนระบบของผู้ใช้ โดยทาง Microsoft มีหน้าที่ให้ข้อมูลกับทางหน่วยงานกฎหมาย ข้อมูลที่ทาง Microsoft ให้กับหน่วยงานกฎหมายมีดังนี้:

  • รูปแบบบอทเน็ต 464 แบบ
  • มัลแวร์ที่เกี่ยวข้อง 80 สายพันธุ์
  • โดเมนและไอพี 1,214 โดเมน

Wauchos: การแพร่ระบาดทั่วโลก

Wauchos ถูกค้นพบเมื่อประมาณเดือนกันยายน 2011 และมีทั้งหมด 5 เวอร์ชั่น แตกต่างกันไปตามจุดประสงค์ของแฮกเกอร์ ในภาพด้านล่างเป็นพื้นที่แพร่ระบาดของ Wauchos ทั่วโลกในเวลาที่มีการระบาดมากที่สุด

fig1-768x362

จากข้อมูลของทาง Microsoft บอกว่าการตรวจจับมัลแวร์ Wauchos ตลอด 6 เดือนที่ผ่านมาเกิดขึ้นบนอุปกรณ์เกือบ 1.1 ล้านเครื่องต่อเดือน

จากงานวิจัยมากมาย ฝ่าย ESET ให้ข้อมูลว่าตลอดการติดตามในทุกๆเดือน ทาง ESET พบเซิร์ฟเวอร์ C&C หลายสิบอัน

“Wauchos is mostly used to steal credentials, and to download and install additional malware onto a system. Thus, if a system is compromised with Wauchos, it’s likely that there will be several other malware families lurking on the same system,” นักวิจัย ESET คุณ Jean-Ian Boutin

มัลแวร์ตัวต่อมาที่บอทเน็ตดาวน์โหลดก็คือ Kasidet หรือ Neutrino bot นิยมใช้ในการโจมตี DDoS Attack และต่อมาคือ Kelihos กับ Lethic spambot ที่ใช้ส่งอีเมล์สแปม

โครงสร้างของ Wauchos มีความยืดหยุ่นและสามารถติดตั้งปลั๊กอินเสริมได้ง่าย แฮกเกอร์สามารถติดตั้งมัลแวร์อื่นๆอย่าง Keylogger และ Formgrabber เพื่อนำไปขโมยข้อมูลสำคัญของผู้ใช้ได้ หรือติดตั้ง Rootkit เพื่อซุกซ่อนมัลแวร์อื่น ๆ เข้าไปในระบบก็ได้เช่นกัน

คงไม่แปลกเลยที่ Wauchos จะได้รับความนิยมในหมู่แฮกเกอร์ และมีช่องทางแพร่กระจายที่หลากหลาย ทั้งโซเชี่ยลมีเดีย ข้อความ USB อีเมล์สแปม และ Exploit kits

spam_screenshot_edited

หลายครั้งที่ Wauchos เข้าไปพัวพันกับแผนการมัลแวร์อื่นๆ และทาง ESET จับสังเกตได้ว่าถ้า Keyboard Layout ของระบบเป็นภาษา รัสเซีย ยูเครน เบรารุส หรือคาซัค โค้ดจะไม่ทำงาน ซึ่งอาจบอกเป็นนัยได้ว่าผู้พัฒนามัลแวร์คงอาศัยอยู่ในประเทศเหล่านี้

หลายปีที่ผ่านมานี้ทาง ESET ก็ได้ให้ข้อมูลเทคนิคมากมายเพื่อนำไปประกอบการสืบสวนสอบสวนทั้งบอทเน็ต Dorkbot และ Mumblehard เครือข่าย Avalanche fast-flux ที่ไว้เรียกใช้งานบอทเน็ต

สำหรับผู้ใช้ที่ต้องการตรวจสอบว่าระบบหรือคอมพิวเตอร์ของตัวเองนั้นมีมัลแวร์เหล่านี้ฝังตัวอยู่หรือไม่ ถ้าคุณเป็นผู้ใช้ ESET สามารถเปิดใช้งานการสแกนได้เลย แต่ถ้าไม่ใช่ทางเรามี ESET Online Scanner ไว้สำหรับค้นหาและกำจัดมัลแวร์ภายในเครื่องได้แบบฟรีๆ

 

ขอขอบคุณ
Author: TOMÁŠ FOLTÝN
Source: 
https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-worldwide-to-disrupt-gamarue-botnet/
Translated by: Worapon H.(ข่าวการรักษาความปลอดภัย, มุมมองและข้อมูลเชิงลึกจากผู้เชี่ยวชาญจาก ESET)