Botnet Mariposa ใช้ worm แบบ AutoRun ช่วยในการแพร่ระบาด

April 25, 2010 by: admin

trend-microMariposa หรือแปลว่า “ผีเสื้อ” ในภาษาสเปน เป็นเครือข่ายของระบบที่ติดเชื้อแล้วกว่า 13 ล้านระบบใน 190 ประเทศทั่วโลก โดยทั้งหมดนี้บริหารจัดการผ่านเซิร์ฟเวอร์ออกคำสั่งและควบคุม (C&C) เพียงเซิร์ฟเวอร์เดียวที่อยู่ในสเปน บ็อตเน็ตสายพันธุ์นี้ได้รับการกล่าวขานว่าเป็นหนึ่งในเครือข่ายพีซีซอมบี้ที่มีขนาดใหญ่ที่สุดในโลก ไซเบอร์ นอกเหนือจากบ็อตเน็ต SDBOT IRC, DOWNAD/Conficker และ ZeuS โดยเริ่มเป็นที่รู้จักในเดือนพฤษภาคม 2552 และได้รับการสะกัดกั้นเมื่อเร็วๆ นี้ด้วยการปิดระบบและตามด้วยการจับกุมผู้ต้องสงสัยรายสำคัญๆ จำนวนสามราย

 

ภัยคุกคามที่เกิดขึ้น – ตามรอยปีกผีเสื้อ Mariposa

แม้ว่าบ็อตเน็ต Mariposa จะเริ่มเป็นที่รู้จักครั้งแรกในช่วงไตรมาสที่สองของปี 2552 แต่จริงๆ แล้วบ็อตเน็ตสายพันธุ์นี้เริ่มแพร่ระบาดตั้งแต่เดือนธันวาคม 2551 โดยปกติแล้วบ็อตเน็ตจะมีหน้าที่ในการลำเลียงไฟล์ไบนารีและไฟล์ที่เป็นอันตรายต่างๆ ที่ผู้ก่อการร้ายในโลกไซเบอร์สามารถนำไปใช้ได้อย่างหลากหลายวัตถุประสงค์ โดยนับตั้งแต่ที่บ็อตเน็ตสายพันธุ์นี้เริ่มมีชื่อเสียงมากขึ้น นักวิเคราะห์ด้านภัยคุกคามของบริษัท เทรนด์ ไมโคร พบว่า WORM_AUTORUN.ZRO ซึ่งเป็นหนอนที่ทำหน้าที่ในการดึงข้อมูลจากระบบที่เป็นอันตรายหรือติดเชื้อ ได้กลายเป็นส่วนหนึ่งของบ็อตเน็ต Mariposa แล้ว หนอนตัวนี้มีความสามารถในการแพร่ระบาดผ่านทางแอพพลิเคชั่นข้อความโต้ตอบแบบทันที (IM) เครือข่ายเพียร์ทูเพียร์ (P2P) และไดรฟ์แบบถอดได้ นอกจากนี้ ไฟล์ไบนารีบางไฟล์ยังสามารถแพร่ระบาดผ่านช่องโหว่ที่มีอยู่ในบราวเซอร์ Internet Explorer (IE) ได้อีกด้วย

clip_image002

ข้อมูลจาก http://blogs.zdnet.com/security/?p=5587

รูปที่ 1: ระบบทั่วโลกที่ติดเชื้อ Mariposa

clip_image004

รูปที่ 2: ไดอะแกรมการติดเชื้อ WORM_AUTORUN.ZRO

บริษัท ดีเฟนซ์ อินเทลลิเจนซ์ ธุรกิจเอกชนด้านการรักษาความปลอดภัยระบบสารสนเทศที่มีความเชี่ยว ชาญในด้านการป้องกันและตรวจสอบอันตรายในโลกไซเบอร์ได้ร่วมมือกับนักวิจัยและบริษัทด้านความปลอดภัยอื่นๆ เพื่อรับมือกับบ็อตเน็ต Mariposa ด้วยการจัดตั้งกลุ่มที่มีชื่อว่า Mariposa Working Group (MWG) โดยเมื่อเดือนที่แล้ว เจ้าหน้าที่ในระดับประเทศและนานาชาติภายใต้ความช่วยเหลือของ MWG ได้ทำการจับกุมผู้บริหารจัดการบ็อตเน็ต Mariposa สามรายที่รู้จักกันในชื่อ “netkairo” “jonyloleante” และ “ostiator”

โบยบินอิสระในโลกไซเบอร์

เช่นเดียวกับบ็อตเน็ตอื่นๆ Dias de Pesadilla (DDP) หรือเรียกอีกชื่อว่า Nightmare Days Team ได้ใช้ Mariposa ในการสร้างรายได้ให้กับตัวเอง โดยผู้เชี่ยวชาญพบว่าบ็อตเน็ตตัวนี้กำลังถูกใช้เพื่อขโมยข้อมูล (เช่น หมายเลขบัตรเครดิต รายละเอียดบัญชีธนาคาร ชื่อผู้ใช้และรหัสผ่านที่เข้าสู่ระบบของไซต์เครือข่ายสังคมต่างๆ และไฟล์สำคัญที่มีอยู่ในฮาร์ดดิสก์ของระบบที่ติดเชื้อ) จะเห็นได้ว่าอาชญากรไซเบอร์สามารถเลือกใช้วิธีการดำเนินงานได้หลากหลายวิธีมาก นอกจากนี้ ผู้เชี่ยวชาญยังพบด้วยว่า DDP ได้ขโมยเงินจากธนาคารโดยตรงโดยอาศัยกลุ่มคนที่ตกเป็นเหยื่อ (ในสหรัฐอเมริกาและแคนาดา) เพื่อช่วยในการโอนเงินที่ขโมยมาไปยังประเทศปลายทางที่ต้องการ

เมื่อวิเคราะห์โมเดลธุรกิจของ Mariposa เพิ่มเติมยังพบด้วยว่าผู้ดูแลระบบของ Mariposa ยังนำเสนอบริการใต้ดินให้แก่ผู้ที่สนใจอีกด้วย โดยบริการบางอย่างรวมถึงการเจาะระบบเซิร์ฟเวอร์เพื่อเข้าควบคุม โดยบ็อตที่เข้ารหัสไว้จะทำให้พวกเขาหลุดรอดจากการตรวจจับของแอพพลิเคชั่นความปลอดภัย และสร้างการเชื่อมต่อ VPN แบบไม่ระบุตัวตนที่เชื่อมต่อกับบ็อตของผู้ดูแลระบบได้ ขณะที่ส่วนอื่นๆ ของบ็อตเน็ต Mariposa ยังเปิดให้ผู้ดูแลระบบและองค์กรต่างๆ สามารถเช่าเพื่อนำไปใช้ตามความต้องการทางธุรกิจใต้ดินของตนได้ด้วย

ความเสี่ยงของผู้ใช้

ทั้งนี้ มีการตรวจพบการแพร่ระบาดของไฟล์ไบนารีของบ็อตเน็ต Mariposa กว่า 200 ไฟล์ โดยไฟล์ในกลุ่มที่ผู้ใช้ควรให้ความระมัดระวังคือตัวขโมยข้อมูลที่ไม่เพียงขโมยข้อมูลทางธนาคารเท่านั้นแต่ยังจะขโมยข้อมูลประจำตัวของผู้ใช้ด้วย บริษัท เทรนด์ ไมโครจึงขอแนะนำให้ผู้ใช้หมั่นอัพเดทโซลูชั่นความปลอดภัยของตนให้ทันสมัยอยู่ตลอดเวลา

นอกจากนี้ผู้ใช้ยังต้องระมัดระวังเมื่อเข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตรายที่ดูเหมือนเป็นเว็บไซต์ปกติด้วย จะเห็นได้ว่า ไฟล์ไบนารีของ Mariposa สามารถปฏิบัติการได้โดยอัตโนมัติเมื่อเข้าสู่ระบบผ่านอุปกรณ์แบบถอดได้ ดังนั้นผู้ใช้จึงควรปิดใช้งานคุณลักษณะ ‘ใช้งานอัตโนมัติ’ (AutoRun) ของระบบปฏิบัติการวินโดว์สเพื่อป้องกันไม่ให้โปรแกรมต่างๆ ในอุปกรณ์ดังกล่าวสามารถทำงานบนระบบของตนได้โดยอัตโนมัติ เมื่อต้องการเพิ่มความ ปลอดภัยสูงสุดให้กับอุปกรณ์แบบถอดได้

คำแนะนำและโซลูชั่นจากบริษัท เทรนด์ ไมโคร

โครงสร้างพื้นฐานของเครือข่ายป้องกันภัยอัจฉริยะ (เทรนด์ ไมโคร สมาร์ท โพรเท็คชั่น เน็ตเวิร์ค) ให้ความปลอดภัยที่ชาญฉลาดกว่าวิธีการดั้งเดิมต่างๆ โดยโซลูชั่นและบริการของบริษัท เทรนด์ ไมโคร นั่นคือสมาร์ท โพรเท็คชั่น เน็ตเวิร์คเป็นโครงสร้างพื้นฐานการรักษาความปลอดภัยของข้อมูลบน Cloud-Client ซึ่งจะปิดกั้นภัยคุกคามโดยอัตโนมัติก่อนที่จะมาถึงตัวคุณ เครือข่ายทั่วโลกของตัวตรวจจับภัยคุกคามอัจฉริยะจะให้ความ สำคัญกับการตรวจสอบระบบอีเมล เว็บ และเทคโนโลยีตรวจสอบประวัติไฟล์ตลอด 24 ชั่วโมงในทุกวัน ซึ่งจะให้การป้องกันที่ครอบคลุมต่อภัยคุกคามต่างๆ สำหรับสถานการณ์ปัจจุบันที่ภัยคุกคามมีความสามารถในระดับสูง มีปริมาณการโจมตีจำนวนมาก และมีการขยายตัวที่รวดเร็วของจำนวนจุดรับส่งข้อมูล (อุปกรณ์ต่างๆ ของผู้ใช้) ทำให้เกิดความต้องการระบบอัจฉริยะที่จะเข้ามาช่วยปกป้องภัยคุกคามได้ในทันทีและครอบคลุม ตลอดจนไม่มีภาระต่อระบบคลาวด์ โดยต้องสามารถป้องกันการล่วงละเมิดข้อมูล การทำลายชื่อเสียงธุรกิจ และสิ่งที่มีผลต่อประสิทธิภาพในการดำเนินงานขององค์กรด้วย

ทั้งนี้เครือข่ายป้องกันภัยอัจฉริยะ (สมาร์ท โพรเท็คชั่น เน็ตเวิร์ค) จะปกป้องผู้ใช้จากการโจมตีที่เกี่ยวข้องกับบ็อตเน็ต Mariposa ด้วยการตรวจจับและป้องกันการปฏิบัติการของ WORM_AUTORUN.ZRO ผ่านบริการตรวจสอบประวัติไฟล์ โดยผู้ใช้ที่ไม่ได้ใช้ผลิตภัณฑ์ของบริษัท เทรนด์ ไมโคร สามารถป้องกันภัยคุกคามข้อมูลได้โดยไม่เสียค่าใช้จ่ายใดๆ ด้วยเครื่องมือป้องกันภัยข้อมูลที่มีให้บริการ เช่น RUBotted ซึ่งจะตรวจสอบระบบคอมพิวเตอร์เพื่อดูกิจกรรมที่น่าสงสัยและตรวจสอบอย่างสม่ำเสมอด้วยบริการออนไลน์เพื่อระบุพฤติกรรมที่เกี่ยวข้องกับบ็อตตต่างๆ โดยเมื่อตรวจพบสิ่งที่อาจก่อให้เกิดการติดเชื้อได้ ระบบก็จะแจ้งเตือนให้ผู้ใช้สแกนและล้างข้อมูลที่เป็นอันตรายภายในคอมพิวเตอร์ของตน

บทความโดย บริษัท เทรนด์ ไมโคร อิงค์

ที่มา www.quickpc.co.th

 

Comments are closed.

:::ลิงค์ผู้สนับสนุนใจดีแวะชมกันหน่อยนะจ๊ะ::: แบตเตอรี่รถยนต์ :: สินเชื่อ