มัลแวร์ตัวใหม่ที่จะเปลี่ยนอุปกรณ์ Network เป็นDDoS
พบมัลแวร์ตัวใหม่ ที่จะเปลี่ยนอุปกรณ์ Network ให้กลายเป็นเครื่องมือทำ DDoS
การระดมยิงระบบให้เกิดอาการระบบล่ม หรือ DDoS (Distributed Denial-of-Service) นั้น มักจะต้องใช้เครื่องมือบางอย่างในการรวบรวมเครื่องที่จะนำมาใช้ยิงระบบ โดยมากแล้วมักจะใช้มัลแวร์ประเภท Botnet เพื่อแปลงอุปกรณ์ของเหยื่อที่ไม่ได้มีส่วนเกี่ยวข้องด้วยรอบโลก มาเป็นเครื่องซอมบี้ (Zombie) ในการระดมยิงระบบ และข่าวนี้ก็เป็นอีกครั้งหนึ่งในการแพร่กระจายมัลแวร์ประเภทนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการระบาดของมัลแวร์ประเภท Botnet เพื่อใช้ในการยิง DDoS โดยตัวมัลแวร์นั้นจะมุ่งเน้นไปยังอุปกรณ์ต่าง ๆ ที่เกี่ยวข้องกับระบบเครือข่าย (Network) ไม่ว่าจะเป็นเราเตอร์ (Router), อุปกรณ์ IoT (Internet of Things) และอุปกรณ์จัดการเครือข่ายในระดับองค์กร (Enterprise) ซึ่งมัลแวร์ที่ถูกแพร่กระจายในแคมเปญนี้นั้นมีถึง 3 ตัว นั่นคือ CondiBot มัลแวร์แบบ Botnet สำหรับการทำ DDoS ที่ออกมาแบบมาเพื่อเข้าฝังตัวบนอุปกรณ์จัดการเครือข่ายที่ทำงานอยู่บนระบบปฏิบัติการ Linux และ Monaco มัลแวร์ประเภทสแกน Secure Shell เพื่อเข้าโจมตีระบบ หรือ SSH Scanner และท้ายสุดคือ Monero มัลแวร์สำหรับการขุดเหรียญคริปโตเคอร์เรนซี (Crypto Miner) สกุล Monero ที่จะถูกปล่อยลงเครื่องโดยฝีมือของมัลแวร์ Monaco หลังจากที่ฝังตัวลงบนระบบเสร็จเรียบร้อย โดยมัลแวร์ทั้งหมดนี้ถูกตรวจพบในช่วงต้นเดือนมีนาคมที่ผ่านมานี้เอง ซึ่ง 2 ตัวแรกนั้นเป็นมัลแวร์ใหม่ที่ไม่เคยได้ถูกบันทึกบนเครื่องมือตรวจหามัลแวร์ชื่อดัง อย่าง VirusTotal, ThreatFox และ Hybrid Analysis มาก่อนแต่อย่างใด
โดยทางทีมวิจัยจาก Eclypsium ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการป้องกันการโจมตีห่วงโซ่อุปทาน (Supply Chain Attacks) กล่าวว่า จากการตรวจสอบพฤติกรรมการแพร่กระจายของมัลแวร์นั้นทำให้สามารถสังเกตได้ว่า การโจมตีของมัลแวร์ชุดดังกล่าวไม่น่าจะมาจากฝีมือของแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hacker) แต่น่าจะมาจากกลุ่มแฮกเกอร์ที่หวังจะใช้งานทรัพยากรเครื่องของเหยื่อเพื่อขุด และทำกำไรจากเหรียญที่ขุดได้มากกว่า ซึ่งกลุ่มแฮกเกอร์ต่าง ๆ เหล่านี้มักจะใช้งานช่องโหว่ความปลอดภัยบนเครื่องของเหยื่อ โดยเฉพาะช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาระบบ หรือ Zero-Day มักจะถูกนำมาใช้งานมากเป็นพิเศษ และที่อันตรายไปกว่านั้นคือ อุปกรณ์ต่าง ๆ ที่แฮกเกอร์เพ่งเล็งเล่นงานในแคมเปญนี้ มักจะเป็นอุปกรณ์ที่ไม่สามารถรันเครื่องมือตรวจสอบความปลอดภัยตามปกติได้ ทำให้หลังฝังตัวได้แล้ว ทั้งแฮกเกอร์และมัลแวร์ก็จะสามารถฝังอยู่ภายในระบบได้อย่างยาวนานโดยไม่ถูกตรวจจับแต่อย่างใด
สำหรับการโจมตีด้วยมัลแวร์ CondiBot จะเริ่มต้นจากแฮกเกอร์ใช้งานเครื่องมือส่งไฟล์ (File Transfer Utility) เช่น wget, curl, tftp, และ ftpget ส่งไฟล์มัลแวร์ (Payload) ลงบนอุปกรณ์ Linux ที่มีช่องโหว่ความปลอดภัยอยู่ (ทางแหล่งข่าวไม่ได้ระบุว่าเป็นช่องโหว่ตัวใด) หลังจากที่ตัว Payload ถูกรันลงบนระบบเป้าหมายแล้ว มัลแวร์ก็จะเข้าทำการปิดเครื่องมือสำหรับรีบูทระบบ (Reboot Utility) ด้วยการเปลี่ยนสิทธิ์ของไฟล์ที่เกี่ยวข้องเป็น 000 ให้ไม่สามารถทำงานได้ จากนั้นจึงทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) แล้วลงทะเบียนหมายเลขระบุตัวตนเฉพาะตัวของบอท (Unique Bot Identifier) ในทันที
หลังจากที่ลงทะเบียนเสร็จแล้ว ตัวมัลแวร์ก็จะเข้าสู่ช่วงรอจังหวะการทำงานอีกครั้ง (Waiting Loop) และคอยรับคำสั่ง (Command) จากทางเซิร์ฟเวอร์ C2 ซึ่งเมื่อได้รับคำสั่งแล้ว ตัวมัลแวร์ก็จะทำการส่งเครื่องมือสำหร��ับการโจมตีเป้าหมาย (Attack Handlers) หนึ่งใน 32 ตัวออกไปทำหน้าที่ในทันที นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการจัดการลบมัลแวร์ประเภท Botnet ตัวอื่นที่อาจอยู่บนเครื่อง รวมทั้งเข้าจัดการกับ Process ชื่อว่า /bin/sora เพื่อให้มัลแวร์สามารถเข้าควบคุมเครื่องได้โดยสมบูรณ์อีกด้วย ด้วยการทำงานที่สมบูรณ์แบบเช่นนี้ ทำให้เป็นการยากมากที่จะจัดการมัลแวร์ นอกเสียจากจะสามารถเข้าถึงตัวเครื่องเพื่อจัดการโดยตรง
จากประสบการณ์ส่วนตัวในการทำงานกับระบบเครือข่าย พบว่าอุปกรณ์เน็ตเวิร์กต่าง ๆ เช่น เราเตอร์ หรืออุปกรณ์ IoT มักมีการตั้งค่าความปลอดภัยที่ไม่รัดกุม ทำให้เป็นเป้าหมายของมัลแวร์อย่าง CondiBot ที่สามารถเจาะเข้ามาผ่านช่องโหว่ Zero-Day ได้อย่างง่ายดาย มัลแวร์ CondiBot มีวิธีการโจมตีที่ซับซ้อน เช่น การใช้เครื่องมือส่งไฟล์ เช่น wget, curl เพื่อดาวน์โหลดตัว Payload ลงบนระบบเป้าหมาย และเมื่อฝังตัวสำเร็จแล้วจะปิดการทำงานของเครื่องมือรีบูท ทำให้ยากต่อการขจัด โดยมัลแวร์ยังสามารถติดต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อรอรับคำสั่งโจมตีและลบมัลแวร์ประเภท Botnet ตัวอื่นที่ทำงานพร้อมกัน เพื่อรักษาความเป็นเจ้าของเครื่อง ในฐานะที่ดูแลระบบเครือข่ายร่วมกับทีม ผมแนะนำให้เจ้าของระบบเร่งอัปเดตซอฟต์แวร์และเฟิร์มแวร์ของอุปกรณ์ รวมถึงตั้งค่าการป้องกันที่แข็งแกร่ง เช่น ปิดพอร์ต SSH ที่ไม่จำเป็น หรือใช้การยืนยันตัวตนแบบหลายขั้นตอน กล่าวคือหากอุปกรณ์ใดมีช่องโหว่หรือไม่ได้รับการป้องกันอย่างเหมาะสม ก็จะกลายเป็นเครื่องมือโจมตี DDoS ที่อยู่เบื้องหลังระบบล่มโดยไม่รู้ตัว อีกประเด็นที่สำคัญคือการตรวจสอบระบบด้วยเครื่องมือที่เหมาะสม เนื่องจากมัลแวร์ CondiBot สามารถซ่อนตัวได้ดีและไม่แสดงตัวในเครื่องมือตรวจจับทั่วไป การทำระบบมอนิเตอร์ความผิดปกติของทราฟฟิกเครือข่าย ซึ่งสามารถบ่งชี้พฤติกรรมอ๊อฟไลน์หรือพฤติกรรม Botnet ได้เป็นสิ่งจำเป็น สุดท้าย การให้ความรู้กับผู้ดูแลระบบและผู้ใช้งานเกี่ยวกับอันตรายจากมัลแวร์กลุ่ม Botnet และวิธีการรักษาความปลอดภัยขั้นพื้นฐาน จะช่วยลดความเสี่ยงในการถูกโจมตีและเพิ่มความมั่นคงปลอดภัยให้กับระบบเครือข่ายและองค์กรโดยรวมได้มากขึ้น
