Black Hat Asia 2023

Microsoft ผนึกกำลังพันธมิตรทลายเครือข่าย Botnet TrickBot แต่ไม่สำเร็จ

Microsoft ได้ร่วมกับพันธมิตรหลายฝ่ายเพื่อร่วมกันทำลายเครือข่ายของ Botnet รายใหญ่ที่มีเหยื่อแล้วมากกว่าล้านเครื่อง อย่างไรก็แม้ความพยายามครั้งแรกจะยังไม่สำเร็จ แต่ก็มีความก้าวหน้าในหลายด้าน

TrickBot Botnet

TrickBot ถือเป็น Botnet ที่ประสบความสำเร็จอย่างมากตัวหนึ่ง เพราะปัจจุบันมีเหยื่อในเครือข่ายมากกว่าล้านเครื่อง โดยเริ่มปฏิบัติการมาตั้งแต่ปี 2016 ในรูปแบบของ Banking Trojan ต่อมาได้พัฒนาเป็น Downloader ให้บริการธุรกิจแบบ Malware-as-a-service (MaaS) แก่กลุ่มคนร้ายอื่นเข้ามาใช้ได้ ที่นำไปสู่การปล่อยแรนซัมแวร์เช่น Ryuk และ Conti รวมไปถึงปฏิบัติการอันตรายอื่นๆ

ปฏิบัติการทำลายล้างของ Microsoft

ล่าสุดเมื่อไม่กี่วันก่อน Microsoft ได้จับมือกับพันธมิตรหลายฝ่ายอาทิเช่น Financial Service Information Sharing and Analysis Center (การรวมตัวของสถาบันการเงินเพื่อช่วยปกป้องโครงสร้างพื้นฐานการให้บริการทางการเงิน เนื่องจาก TrickBot ได้สร้างความเสียหายแก่ลูกค้าธนาคารต่างๆ) รวมไปถึงพันธมิตรทางด้านเทคนิคอย่าง ESET, NTT, Symantec และ Black Lotus Labs เพื่อพยายามสกัดกั้นและปิดเซิร์ฟเวอร์ควบคุมของ TrickBot โดยอันที่จริงแล้วทีมงานได้ร่วมมือกันเก็บข้อมูลการโจมตีมาระยะหนึ่งแล้ว

อีกประเด็นหนึ่งคือ Microsoft ได้ยื่นขออำนาจต่อศาลว่า TrickBot มีการละเมิดสิขลิทธิ์ของ Windows SDK ของตน เพื่อไปก่อให้เกิดความเสียหายแก่บุคคลอื่น และศาลก็ได้เห็นชอบข้อเรียกร้องนี้แล้ว

ความพยายามล้มเหลว

ในปฏิบัติการนี้ผู้เชี่ยวชาญทราบถึงโอกาสสำเร็จดีว่าไม่มากนัก เพราะหลังจากความพยายามของฝ่ายป้องกัน ทางคนร้ายได้ย้ายเซิร์ฟเวอร์ไปยัง DNS ในระบบ Decentralize และกลับมาได้ในวันถัดมา แต่เชื่อว่าคนร้ายก็ต้องเหนื่อยอยู่บ้าง อย่างไรก็ดีมีผลลัพธ์ที่เป็นไปในทางบวกแม้ความพยายามจะไม่สำเร็จดังนี้

  • Microsoft และพันธมิตรได้ส่งสารไปยังลูกค้า MaaS แล้วว่าเครือข่ายที่เชื่อว่าเหนือเมฆนี้ สามารถถูกรบกวนได้ และปัจจุบันถูกจับตาแล้ว ซึ่งปฏิบัติการต่างๆ ที่ผ่านช่องทางนี้ย่อมมีความเสี่ยง หรือพูดง่ายๆ ว่าพยายามทำให้เครือข่าย TrickBot เสียชื่อในวงวารของการให้บริการ
  • ช่วยให้เหยื่อมีช่วงเวลาที่หลุดจากการโจมตีบ้างและชะลอการปฏิบัติการร้ายๆ ที่กำลังดำเนินอยู่
  • จากหลักฐานที่ยื่นขออำนาจศาล ทำให้ทีมทางกฏหมายของ Microsoft และการตอบโต้กลับ สามารถค้นหาเพื่อแจ้งเตือนหรือเข้าไปช่วยเหลือเหยื่อได้มากขึ้น หรือการมีอำนาจกฏหมายอยู่ในมือแล้วนั่นเอง

ที่มา : https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/ และ https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet/ และ https://redmondmag.com/articles/2020/10/13/microsoft-patents-trickbot-network.aspx


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …