Clear
Lead Graphic Papers

ปฏิบัติการทลายเครือข่าย Necurs botnet มัลแวร์อันตรายที่แพร่กระจายกว่า 9 ล้านเครื่องทั่วโลก

วันที่ประกาศ: 11 มีนาคม 2563
ปรับปรุงล่าสุด: 11 มีนาคม 2563
เรื่อง: ปฏิบัติการทลายเครือข่าย Necurs botnet มัลแวร์อันตรายที่แพร่กระจายกว่า 9 ล้านเครื่องทั่วโลก

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Google+

รายละเอียดเบื้องต้นเกี่ยวกับ Necurs botnet

Necurs เป็นมัลแวร์ประเภท botnet ที่พบการแพร่ระบาดมาตั้งแต่ปี 2555 ตัวมัลแวร์แพร่กระจายผ่านไฟล์แนบในอีเมลและแพร่ผ่านการเจาะระบบฝังสคริปต์ในเว็บไซต์ หลังจากที่เข้าไปติดในเครื่องของเหยื่อได้แล้ว ตัวมัลแวร์จะเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ที่ใช้สำหรับสั่งการและควบคุม (Command & Control หรือ C2) โดยผู้ควบคุมมัลแวร์สามารถใช้เครื่องที่ตกเป็นเหยื่อในการส่งอีเมลสแปม ขโมยข้อมูล หรือดาวน์โหลดมัลแวร์อื่นๆ มาติดตั้งเพิ่มเติมในเครื่องได้ (เช่น มัลแวร์เรียกค่าไถ่หรือมัลแวร์ขุดเงินดิจิทัล) [1] [2] จากสถิติที่ทาง Microsoft ได้รวบรวมไว้ พบว่าเครื่องคอมพิวเตอร์กว่า 9 ล้านเครื่องทั่วโลกติดมัลแวร์ Necurs โดยประเทศไทยอยู่ในอันดับที่ 4 ของประเทศที่ตกเป็นเหยื่อ

ส่วนงาน Digital Crimes Unit ของทาง Microsoft ได้ร่วมมือกับผู้เชี่ยวชาญด้านเทคนิค หน่วยงาน CERT และหน่วยงานด้านกฎหมายใน 35 ประเทศทั่วโลกเพื่อแกะรอยและติดตามเครือข่าย Necurs botnet โดยในการทลายเครือข่าย botnet นั้นจำเป็นต้องอาศัยความร่วมมือและการประสานงานกับหน่วยงานต่างๆ ทั่วโลกเพื่อบุกยึดเซิร์ฟเวอร์ที่เป็นเครื่อง C2 และตัดเครือข่ายที่เกี่ยวข้องกับมัลแวร์ไปพร้อมๆ กัน เพื่อป้องกันไม่ให้มีการแพร่กระจายมัลแวร์ออกไปอีก หลังจากที่ใช้เวลาเตรียมการมาเป็นระยะเวลาหนึ่ง ในที่สุดเมื่อวันที่ 11 มีนาคม 2563 (ตามเวลาในประเทศไทย) ทาง Microsoft ก็ได้เปิดเผยรายละเอียดของแผนปฏิบัติการนี้อย่างเป็นทางการ [3] [4]

สาเหตุที่ทำให้การทลายเครือข่ายของ Necurs botnet จำเป็นต้องอาศัยความร่วมมือจากหน่วยงานทั่วโลกนั้นเกิดจาก 2 ปัจจัยหลักๆ คือ ตัว botnet ใช้เทคนิคที่ชื่อว่า DGA (Domain Generation Algorithm) เพื่อลดความเสี่ยงจากการติดตามและการปิดกั้นการเชื่อมต่อของมัลแวร์กับเครื่อง C2 รวมถึงใช้เทคนิค P2P (Peer-to-Peer) ในการติดต่อและแลกเปลี่ยนข้อมูลระหว่างเครื่องที่ตกเป็นเหยื่อด้วยกัน

ผู้พัฒนามัลแวร์ได้นำเทคนิค DGA มาใช้สำหรับเพิ่มประสิทธิภาพในการเชื่อมต่อจากเครื่องเหยื่อไปยังเครื่อง C2 ผ่านชื่อโดเมนเนมที่มีความหลากหลาย โดยมัลแวร์มีอัลกอริทึมสำหรับสร้างรายการโดเมนของเครื่อง C2 ในรูปแบบสุ่ม และมีกระบวนการเชื่อมต่อไปยังโดเมนเหล่านี้อย่างเป็นระบบ ในขณะเดียวกันผู้พัฒนามัลแวร์ก็ได้จดทะเบียนชื่อโดเมนที่ได้จากเทคนิค DGA นี้ไว้เพื่อให้สามารถบริหารจัดการเปลี่ยนเส้นทางการเชื่อมต่อได้อย่างง่ายดาย แม้โดเมนใดโดเมนหนึ่งถูกระงับการใช้งาน แต่มัลแวร์เองยังคงสามารถเรียกหาชื่อโดเมนอื่น ๆ ที่ถูกสร้างขึ้นตามอัลกอริทึมได้อยู่

[5] [6]

เทคนิค P2P นั้นเป็นวิธีการสื่อสารแลกเปลี่ยนข้อมูลระหว่างเครื่องที่ติด botnet ด้วยกันเองโดยไม่จำเป็นต้องอาศัยศูนย์กลาง จุดประสงค์เพื่อให้เครือข่าย botnet ยังสามารถทำงานต่อได้ถึงแม้โดเมนของเครื่อง C2 จะไม่สามารถติดต่อแล้ว [7] [8]

เนื่องจากในขั้นตอนของการทลายเครือข่าย Necurs botnet นั้นต้องอาศัยทั้งการยึดโดเมนที่ถูกใช้สำหรับการติดต่อสื่อสารของมัลแวร์ ยึดเครื่อง C2 และบล็อคการเชื่อมต่อเครื่องที่ติดมัลแวร์เพื่อไม่ให้สามารถเชื่อมต่อและแลกเปลี่ยนข้อมูลกันได้อีก กระบวนการเหล่านี้จึงต้องอาศัยความร่วมมือจากผู้ที่เกี่ยวข้องหลายส่วน โดยเฉพาะอย่างยิ่งผู้ใช้งานทั่วไปที่ตกเป็นเหยื่อของมัลแวร์

รายละเอียดเบื้องต้นเกี่ยวกับปฏิบัติการทลายเครือข่าย botnet

สำหรับการยึดโดเมนที่เกี่ยวข้องกับมัลแวร์ เนื่องจากอัลกอริทึมของการสุ่มชื่อโดเมนนั้นสามารถคาดเดาได้ ทาง Microsoft จึงได้ทำการวิเคราะห์ขยายผลรายการโดเมนภายใต้เทคนิค DGA ของมัลแวร์ และยึดโดเมนจำนวน 6 ล้านรายการไว้เรียบร้อยแล้ว ซึ่งเป็นโดเมนที่เครื่องที่ติด botnet จะติดต่อไปนับตั้งแต่ปัจจุบันนี้จนถึงอีก 25 เดือนข้างหน้า จุดประสงค์ของการยึดโดเมนเหล่านี้เพื่อไม่ให้ถูกนำมาใช้สำหรับการติดต่อสื่อสารของมัลแวร์ รวมถึงการควบคุมและสั่งการไปยังเครื่องเหยื่อได้อีก (หลังจากนี้หากตรวจสอบข้อมูลจะพบว่าเครื่องที่ติดมัลแวร์จะติดต่อไปยังโดเมนที่อยู่ภายใต้การดูแลของทาง Microsoft เอง)

ในประเทศไทย ข้อมูลล่าสุด ณ วันที่เผยแพร่บทความนี้ รายการไอพีแอดเดรสของเครื่อง C2 นั้น พบว่าไม่สามารถเข้าถึงได้แล้ว แต่ยังมีเครื่องคอมพิวเตอร์ที่ติด botnet และเปิดการเชื่อมต่อผ่าน P2P อยู่จำนวนหนึ่ง ซึ่งทางไทยเซิร์ตจะดำเนินการประสานงานแจ้งข้อมูลกับผู้ให้บริการอินเทอร์เน็ตและหน่วยงานที่เกี่ยวข้องเพื่อดำเนินการตามข้อแนะนำต่อไป ทั้งนี้ รายละเอียดที่เกี่ยวข้องกับการดำเนินการทางกฎหมายสามารถศึกษาเพิ่มเติมได้จากเอกสารอ้างอิงที่ https://www.noticeofpleadings.com/necurs/

ข้อแนะนำในการป้องกันและแก้ไข

การจะตรวจสอบว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ตกเป็นเหยื่อของ Necurs botnet หรือไม่นั้น ในเบื้องต้นทาง Microsoft ได้แนะนำให้ผู้ใช้ดาวน์โหลดโปรแกรม Security Scanner มาใช้ในการตรวจสอบ (โปรแกรมดังกล่าวสามารถตรวจจับมัลแวร์อื่นๆ ที่ถูกระบุในฐานข้อมูลของ Microsoft ได้ด้วย) ซึ่งเครื่องมือนี้สามารถดาวน์โหลดได้ฟรีจาก https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

เนื่องจากเครื่องคอมพิวเตอร์ที่ติด Necurs botnet อาจถูกใช้ดาวน์โหลดมัลแวร์อื่นชนิดอื่นมาติดตั้งเพิ่มเติมในภายหลังได้ เพื่อป้องกันและลดผลกระทบในส่วนนี้ ผู้ใช้ควรอัปเดตระบบปฏิบัติการ ซอฟต์แวร์ที่เกี่ยวข้อง รวมถึงฐานข้อมูลของโปรแกรมแอนติไวรัสให้เป็นเวอร์ชันล่าสุด เพื่อลดความเสี่ยง

อ้างอิง

  1. https://blog.talosintelligence.com/2018/01/the-many-tentacles-of-necurs-botnet.html
  2. https://blog.talosintelligence.com/2018/10/anatomy-of-sextortion-scam.html
  3. https://blogs.microsoft.com/on-the-issues/2020/03/10/necurs-botnet-cyber-crime-disrupt/
  4. https://thehackernews.com/2020/03/necurs-botnet-takedown.html
  5. https://threatpost.com/necurs-botnet-hide-payloads/142334/
  6. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/necurs-spam-uses-dns-txt-records-for-redirection/
  7. https://www.malwaretech.com/2016/02/necursp2p-hybrid-peer-to-peer-necurs.html
  8. https://www.cert.pl/en/news/single/necurs-hybrid-spam-botnet/
Clear