รู้จักกับ Ponmocup: Botnet ที่แพร่กระจายไปยังคอมพิวเตอร์กว่า 15 ล้านเครื่อง และขโมยเงินไปจากนับล้านบัญชี

Ponmocup คือหนึ่งใน Botnet ที่ประสบความสำเร็จในการโจมตีมากที่สุดตัวหนึ่ง และมีอายุยาวนานที่สุดตัวหนึ่ง ซึ่งน่าจะทำเงินให้กับเจ้าของที่สันนิษฐานว่าเป็นชาวรัสเซียไปแล้วกว่าหลายล้านดอลลาร์ และทางทีมงานนักวิจัยจาก Fox IT ก็ได้ออกมาตีแผ่ถึงความร้ายจากของ Ponmocup ในงานประชุม BotConf ในสัปดาห์ที่ผ่านมาดังนี้

Ponmocup นี้ถูกค้นพบครั้งแรกในปี 2006 ภายใต้ชื่อของ Vundo หรือ Virtumonde ซึ่งเป็น Botnet ที่ประสบความสำเร็จเป็นอย่างมากในการแพร่กระจายและหลบซ่อนตัว และถูกพัฒนามาอย่างต่อเนื่องยาวนานจนถึงปัจจุบันโดยคาดว่าเป็นฝีมือของผู้ที่มีความรู้อย่างลึกซึ้งในสถาปัตยกรรมต่างๆ ของ Microsoft Windows เป็นอย่างดี และมีความเชี่ยวชาญทางด้านการพัฒนา Malware เป็นอย่างมาก รวมถึงยังมีความเป็นไปได้สูงที่จะเป็นชาวรัสเซียอีกด้วย

Ponmocup นี้ถูกพัฒนาด้วยภาษา C++ ให้กลายเป็น Malware Framework ที่สามารถรองรับเป้าหมายในการโจมตีรูปแบบใดๆ ก็ได้เหมือนกับ Malware ที่ซับซ้อนในปัจจุบัน แต่ตัว Ponmocup นี้ถูกใช้ให้มุ่งเน้นไปที่การหลบซ่อนให้พ้นจากการถูกตรวจจับ และอยู่รอดให้นานที่สุดเพื่อสร้างรายได้ให้แก่ผู้พัฒนาสูงสุด โดยจุดที่น่าสนใจคือผู้พัฒนา Ponmocup นี้ได้ทำการปรับปรุงมันอย่างจริงจัง ทำให้มันมี Plug-ins สำหรับเสริมความสามารถกว่า 25 ชุด และแตกกระจายตัวเองออกเป็น 4,000 กว่ารูปแบบเลยทีเดียว โดยมีข้อมูลที่น่าสนใจดังนี้

ponmocup_botnet_diagram

  • ถูกตรวจจับโดย Anti-virus ได้ยาก เพราะมีการเข้ารหัสสำหรับแต่ละเครื่องที่ติดเชื้อแยกต่างหาก และยังติดตั้งตัวเองลงไปในตำแหน่งที่ต่างๆ กันสำหรับเหยื่อแต่ละรายอีกด้วย
  • แพร่กระจายผ่านทาง Domain ที่ใช้ครั้งเดียวทิ้ง ทำให้ไม่สามารถตรวจจับจาก Domain ที่ใช้ในการแพร่กระจายได้
  • สามารถขโมย Credential ของ FTP และ Facebook ได้ทันที เพื่อใช้เป็นฐานในการแพร่กระจายต่อไป
  • มี Plug-in สำหรับใช้หาเงินจากโฆษณาแบบ Pay-per-Click (PPC) ที่ถูกพัฒนาอย่างต่อเนื่องมากที่สุด
  • ถูกใช้โจมตีเหยื่อที่อาศัยอยู่ในประเทศที่พูดภาษาอังกฤษเป็นหลัก เพื่อเข้าถึงข้อมูลทางธนาคารและการลงทุนของเหยื่อ สำหรับใช้ในการขโมยเงิน โดยแรกเริ่มนี้ Ponmocup ถูกใช้โจมตี
  • ทั้งประเทศที่ใช้ภาษาอังกฤษและประเทศแถบยุโรป จนในปี 2012 ก็ลดสโคปลงมาเหลือเพียงประเทศที่ใช้ภาษาอังกฤษเท่านั้น
  • สามารถขโมยเงินจาก Bitcoin ได้

ในแง่มุมของการแพร่กระจายนั้น Ponmocup มีวิธีการในการแพร่กระจายที่หลากหลายมาก และแต่ละขั้นตอนในการโจมตีก็มีวิธีหลบหลีกการตรวจจับ Malware เฉพาะด้วย รวมถึงการทำ Reverse Engineering นั้นก็เป็นไปได้ยากมากเพราะแต่ละ String ที่ใช้ใน Malware นั้นถูกเข้ารหัสและถอดรหัสด้วย Algorithm ที่หลากหลาย โดยอ้างอิงจากข้อมูลต่างๆ ที่มีอยู่บนเครื่องของเหยื่อเอง

ทางด้านของ Backend ของระบบ Ponmocup สำหรับใช้ทำ Command and Control เองนี้ก็ถูกออกแบบเป็นอย่างดีให้มีทั้งความทนทาน, ประสิทธิภาพ และการหลบซ่อนตัวจากการตรวจจับเป็นอย่างดี โดยมีการใช้ Proxy Group ที่แตกต่างกันออกไปสำหรับเหยื่อแต่ละราย

อีกความน่าสนใจของ Ponmocup ก็คือวิธีการที่ใช้ในการหลบเลี่ยงการวิเคราะห์ Malware ที่ Ponmocup มีการตรวจสอบทั้งเครือข่ายของเหยื่อที่ติดไป, ตัวเครื่องของเหยื่อเอง, การทำ Virtualize, เครื่องมือที่มีติดตั้งอยู่ภายในเครื่องของเหยื่อ อีกทั้งยังมีการลองส่ง Payload ปลอมเพื่อตรวจสอบดูด้วยว่ามีการตรวจจับหรือไม่ ทั้งนี้ก็เพื่อให้ Ponmocup สามารถแอบแฝงตัวต่อไปและยากต่อการถูกตรวจจับให้ได้มากที่สุดนั่นเอง

รายละเอียดของ Ponmocup นี้ยาวมาก แต่ก็ยอมรับว่าอ่านสนุกมากเช่นกัน โดยสำหรับผู้ที่สนใจอยากอ่านเอกสารวิชาการฉบับเต็ม สามารถโหลดได้จาก https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf เลยครับ อย่างน้อยสำหรับในไทยก็ยังถือเป็นโชคดีที่คงไม่โดน Botnet ตัวนี้เพราะเราไม่ได้ใช้ภาษาอังกฤษเป็นหลักกัน แต่โลกกนี้ก็ยังมีภัยอื่นๆ ให้ระวังกันอีกเยอะครับ ดังนั้นใช้คอมพิวเตอร์หรือ Smartphone ก็ควรใช้ด้วยความระมัดระวังครับ

ที่มา: http://www.theregister.co.uk/2015/12/03/ponmocup_is_the_15_million_machine_botnet_youve_never_heard_of/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปไฮไลท์ UiPath Workshop ออนไลน์และออฟไลน์ งาน Techsauce Global Summit 2020

ในงาน Techsauce Global Summit 2020: Special Edition – Evolving Together เมื่อต้นเดือนตุลาคมที่ผ่านมา ทีมงานTechTalkThai ได้รับเชิญไปร่วมงาน Workshop เพื่อเรียนรู้การสร้างบอท RPA …

ลงทะเบียนเข้าร่วมงาน Dell Technologies Forum 2020 วันนี้รับสิทธิลุ้นโน๊คบุ้ค Dell Latitude 7400 2-in-1 ทันที !!

คุณอาจเป็นหนึ่งในห้าผู้โชคดีที่ได้เป็นเจ้าของ Dell Latitude 7400 2-in-1 โน๊ตบุคระดับพรีเมี่ยมสำหรับธุรกิจที่สามารถปรับเป็นแทปเลตตามความต้องการใช้งานได้ หากคุณลงทะเบียนร่วมงานก่อนวันที่ 31 ตุลาคม 2563 ลงทะเบียนด่วน และเข้าร่วมงาน Dell Technologies Forum เพื่อรับสิทธิ์ในการร่วมชิงเป็นหนึ่งในห้าผู้โชคดีที่จะได้เป็นเจ้าของรางวัล Early Bird ด้วยวิธีง่ายๆ ไม่ยุ่งยาก