Sponsored Ads

ไม่พบฟีด

iTnews - Technology

16 ตุลาคม 2562

iTnews

รับออกแบบและดูแลเว็บไซด์โดย Webmaster มืออาชีพ กับประสปการ์ณ 15 ปี ในการสร้างและดูแลเว็บไซต์
ด้วยราคาสุดประหยัด ราคาเริ่มต้นที่ 3500 

ติดต่อสอบถาม Email choochoo1503@gmail.com tel.0918782814 

 

1 1 1 1 1 1 1 1 1 1 Rating 2.83 (3 Votes)

บอตเน็ต ( BOTNET) หรือ roBOT NETwork

   คือภัยคุกคามต่อผู้ใช้งานอินเทอร์เน็ตรูปแบบใหม่ ซึ่งแฮ็กเกอร์เขียนโปรแกรมบอตเน็ตโดยใช้เทคนิคการโจมตีเครือข่ายอินเทอรเ์ น็ตด้วยโปรแกรมประสงค์ร้าย (Malware)

ที่ซับซ้อนและมีรูปแบบที่หลากหลายกว่าไวรัสคอมพิวเตอร์หรือหนอนอินเทอร์เน็ตทั่วไป บอตเน็ตที่ถูกสร้างขึ้นนี้อาจเป็นเครื่องมือที่ใช้ส่งสแปมเมล์ (Spam Mail) และ Phishing (อ่านรายละเอียดเพิ่มเติมที่http://www.thaicert.nectec.or.th/paper/basic/phishing.php) ซึ่งเป็นวิธีการสร้างความเสียหายให้กับระบบเครือข่ายอินเทอร์เน็ตได้ นอกจากนี้พบว่ามีการนำบอตเน็ตไปใช้เป็นเครื่องมือประกอบอาชญากรรมทางคอมพิวเตอร์อื่น ๆ อีกด้วย เช่น การขู่กรรโชกทรัพย์ ซึ่งจะกล่าวให้ทราบต่อไป เป็นต้นจากข้อมูลรายงานระยะหลัง ๆ พบว่าภัยคุกคามจากไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ตมีระดับความรุนแรงลดลงเมื่อเทียบกับปัญหาที่เกิดจากบอตเน็ต ล่าสุดในต้นปี พ.ศ. 2548 กลุ่มนักวิจัยชาวรัสเซียใน Kaspersky Lab ได้ประมาณการว่า อาจจะมีเครื่องคอมพิวเตอร์ถูกบุกรุกและลักลอบใช้ เพื่อทำให้กลายเป็นส่วนหนึ่งของบอตเน็ตเพิ่มขึ้นถึง 50,000 เครื่องต่อเดือน ซึ่งแสดงให้เห็นว่าอัตราการขยายตัวของบอตเน็ตอยู่ในระดับ
ค่อนข้างสูง ผู้ใช้คอมพิวเตอร์ทั่วไปควรที่จะตระหนักถึงภัยดังกล่าวโดยเฉพาะอย่างยิ่งปัญหาของบอทเน็ตอาจทวีความรุนแรงมากขึ้นในประเทศไทยเมื่อจำนวนผู้ใช้เครือข่ายอินเทอร์เน็ตออนไลน์ประเภทบรอดแบนด์อย่างระบบ ADSL มีมากขึ้นในช่วงปีที่ผ่านมา การขยายตัวของบริการบรอดแบนด์ทำให้เครื่องคอมพิวเตอร์ที่ออนไลน์อยู่ ตลอดเวลาบนอินเทอร์เน็ตมีจำนวนมากยิ่งขึ้น หากผู้ใช้ทั่วไปขาดความเข้าใจถึงการป้องกันความปลอดภัยแก่เครื่องคอมพิวเตอร์ของตนเอง โดยที่ไม่เพิ่มความระมัดระวังด้วยการอุดช่องโหว่ของระบบปฏิบัติการ ติดตั้งไฟร์วอลล์และระบบความปลอดภัยของข้อมูลอื่น ๆ ก็อาจจะทำให้ตกเป็นเครื่องมือของแฮ็กเกอร์ผู้สร้างบอตเน็ตได้โดยง่าย ในบทความนี้เราจะอธิบายถึงหลักการทำงานของบอตเน็ต ผลกระทบของภัยคุกคามดังกล่าว รวมไปถึงแนวทางป้องกันและแก้ไขให้ทราบ

 

botnet

                   รูป แสดงขั้นตอนการทำงานของบอตเน็ต

 

การทำงานของบอตเน็ต

   ลักษณะที่สำคัญของบอตเน็ตก็คือจะมีศูนย์กลางควบคุมและสั่งการโดยแฮ็กเกอร์อยู่ที่ใดที่หนึ่งบนอินเทอร์เน็ต กลไกการทำงานของบอตเน็ตถูกออกแบบให้มีการแพร่กระจายตัวเพื่อหาเครื่องใหม่ให้เข้ามาอยู่ในกลุ่มและมีความสามารถในการแก้ไขโปรแกรมของบอตที่ฝังตัวอยู่บนเครื่องคอมพิวเตอร์ผีดิบเพื่อเปลี่ยนแปลง รูปแบบการบุกรุก ลักลอบใช้งานและสั่งการผ่านศูนย์ควบคุม ซึ่งองค์ประกอบหลักของบอตเน็ตได้แก่เครื่องคอมพิวเตอร์สั่งการระยะ ไกลของแฮ็กเกอร์

   เครื่องเซิร์ฟเวอร์ของห้องสนทนา IRC ที่เป็นจุดนัดพบระหว่างกลุ่มของบอตและแฮ็กเกอร์เพื่อรอรับคำสั่ง กลุ่มของ DNS เซิร์ฟเวอร์ซึ่งเป็นทางผ่านเพื่อทำให้บอตสามารถหาเครื่องเซิร์ฟเวอร์ของห้องสนทนา IRC เจอได้ นอกจากนี้ยังมีกลุ่มของเครื่องคอมพิวเตอร์ต่าง ๆ บนเครือข่ายอินเทอร์เน็ตที่เป็นเป้าหมายของบอตเน็ตและกลุ่มที่ได้กลายเป็นส่วนหนึ่งของบอตเน็ตไปแล้วกระบวนการทำงานของบอตเน็ตมีขั้นตอนดังรูปที่ 1 เริ่มจากแฮ็กเกอร์ที่เป็นเจ้าของบอตเน็ตจะสร้างบอตเน็ตด้วยการติดตั้งเซิร์ฟเวอร์ห้องสนทนา IRC เตรียมไว้ ณ ที่ใดที่หนึ่งบนเครือข่ายอินเทอร์เน็ต โดยอาจเป็นเซิร์ฟเวอร์ที่ถูกต้องตามกฏหมายหรือเป็นเครื่องที่ถูกบุกรุกเพื่อนำมาใช้เป็นเซิร์ฟเวอร์ห้องสนทนา IRC ก็ตามหลังจากนั้นแฮ็กเกอร์ก็จะทำการลงทะเบียนชื่อโดเมนและหมายเลข IP ของเซิร์ฟเวอร์ห้องสนทนา IRC ไว้กับบริการ DNS บนอินเทอร์เน็ต

   เพื่อให้บอตสามารถค้นหาเซิร์ฟเวอร์ของห้องสนทนาอื่น ๆ ที่แฮ็กเกอร์ผู้นั้นได้ติดตั้งบอตไว้ก่อนแล้วเมื่อโครงสร้างหลักข้างต้นพร้อมแล้ว แฮ็กเกอร์ก็จะเริ่มทำการโจมตีเครื่องคอมพิวเตอร์เครื่องอื่น ๆ บนอินเตอร์เน็ตเพื่อค้นหาเหยื่อสำหรับติดตั้งบอตและทำให้เครื่องคอมพิวเตอร์เหล่านั้นกลายเป็นเครื่องคอมพิวเตอร์ผีดิบ โปรแกรมโจมตีของบอตส่วนใหญ่ที่นิยมมักจะอยู่ในรูปแบบของหนอนอินเทอร์เน็ตหรือโปรแกรมโจมตีคอมพิวเตอร์ที่ฝังตัวอยู่ในโปรแกรมประยุกต์ต่าง ๆ เช่นการโจมตีโดยอาศัยข้อมูลทางเว็บไซด์ที่แฮ็กเกอร์อาจจะทำการฝังโปรแกรมประสงค์ร้ายต่าง ๆ ไว้บนเว็บเซิร์ฟเวอร์ก่อนอยู่แล้ว หรือการซ่อนโปรแกรมประสงค์ร้ายผ่านทางการแชร์ไฟล์ในแบบ peer-to-peer เพื่อที่จะลักลอบเข้าไปติดตั้งโปรแกรมโทรจันสำหรับบอตเน็ตในเครื่องคอมพิวเตอร์ของเหยื่อผู้เคราะห์ร้าย เป็นต้น

   เมื่อบอตสามารถทำงานบนเครื่องคอมพิวเตอร์ผีดิบได้แล้ว บอตก็จะทำการติดต่อกับ DNS เซิร์ฟเวอร์โดยอัตโนมัติเพื่อค้นหาเซิร์ฟเวอร์ห้องสนทนา IRC ที่แฮ็กเกอร์ติดตั้งรอไว้ เมื่อพบเซิร์ฟเวอร์แล้วบอตก็จะทำการล็อกอินเข้าไปเพื่อรอรับคำสั่งจากแฮ็กเกอร์ เมื่อถึงเวลาที่ต้องการและมีจำนวนบอตมากเพียงพอแฮ็กเกอร์ก็จะล็อกอินผ่านเครอื่ งควบคุมบอตเน็ตหลัก (zombie master machine) เข้าสู่ระบบ IRC เซิร์ฟเวอร์นั้นเพื่อทำการออกคำสั่งต่าง ๆ เช่นให้ทำการโจมตีแบบ DDoS (Distributed Denial of Service) ไปยังเครื่องคอมพิวเตอร์เป้าหมายต่าง ๆ บนระบบเครือข่ายอินเทอร์เน็ต หรือทำการส่งสแปมแมล์สร้างความรำคาญให้กับผู้ใช้อินเทอร์เน็ตทั่วไปได้

   นอกจากนี้แฮ็กเกอร์ยังสามารถที่จะสั่งการให้เกิดการแพร่กระจายและจู่โจมด้วยไวรัสคอมพิวเตอร์โดยอาศัยเครื่องคอมพิวเตอร์ผีดิบได้อีกด้วย ซึ่งจะส่งผลให้มีการติดตั้งบอตเพิ่มขึ้นบนเครื่องคอมพิวเตอร์อื่น ๆ อีกนับพันเครื่องในระบบเครือข่ายอินเทอร์เน็ตต่อไป นอกจากนี้เทคนิคที่เครื่องคอมพิวเตอร์ผีดิบนิยมใช้โจมตีเครื่องคอมพิวเตอร์อื่น ๆ ก็คือการโจมตีโดยอาศัยโปรโตคอลปกติทั่วไป เช่นโปรโตคอลของเว็บ เป็นต้น ประกอบกับเทคนิคการปลอมแปลงหมายเลข IP ของผู้ส่งหรือที่เรียกว่าเทคนิค IP Spoofing ส่งผลให้การค้นหาต้นกำเนิดของบอตเน็ตที่แท้จริงนั้นทำได้ยากมากยิ่งขึ้น

   ดังนั้นจึงไม่น่าแปลกใจเลยว่าในปัจจุบันจำนวนเครื่องคอมพิวเตอร์ผีดิบที่ถูกควบคุมโดยเครื่องควบคุมบอตเน็ตหลักนั้นมีจำนวนมากและมีแนวโน้มว่าจะเพิ่มสูงขึ้นเรื่อย ๆ อีกด้วยนอกจากนี้การโจมตีของเครื่องคอมพิวเตอร์ผีดิบมีความซับซ้อนมากยิ่งขึ้น มีการโจมตีแบบผสมผสานกล่าวคือในการโจมตีครั้งหนึ่งอาจจะใช้ทั้งไวรัสคอมพิวเตอร์ หนอนอินเทอร์เน็ต และม้าโทรจัน ประกอบกันตัวอย่างวิธีการโจมตีที่พบเห็นล่าสุดมีการแบ่งเป็นขั้นตอนดังนี้ เ ริ่มด้วยการใช้ไวรัสคอมพิวเตอร์โจมตีพร้อมทั้งติดตั้งม้าโทรจันซึ่งจะทำการเปิดประตูลับ (Backdoor) บนเครื่องคอมพิวเตอร์ของเหยื่อ

   หลังจากนั้นก็ทำการปลดการควบคุมการใช้งานของเครอื่ งเหล่านั้นพรอ้ มทั้งหยุดการทำงานของโปรแกรมป้องกันไวรัสต่าง ๆ และตามด้วยการโจมตีที่รุนแรงยิ่งขึ้นต่อไป เนื่องจากบอตนั้นถูกสั่งการจากศูนย์ควบคุมบอตหลักที่ถูกติดตั้งบนเซิร์ฟเวอร์ของห้องสนทนา IRC จึงไม่ใช่เรื่องยากที่แฮกเกอร์จะสามารถเปลี่ยนแปลงการทำงานของบอตรวมทั้งสามารถอัพเดตตัวเองได้ ล่าสุดเมื่อไม่นานมานี้บอตเน็ตเริ่มมีการประยุกต์ใช้เทคนิคที่สามารถแก้ไขข้อมูลในระดับเคอร์เนล(Kernel) และในระดับแอพพลิเคชัน (Application) ของระบบปฏิบัติการที่เรียกว่าเทคนิค Root Kits เพื่อทำการซ่อนการทำงานของโปรแกรมของบอตเน็ต บอตเน็ตประเภทนี้ได้แก่บอตเน็ตสายพันธุ์ “Rbot” เป็นต้น ดังนั้นจะเห็นว่าบอตเน็ตชนิดใหม่ที่ถูกพัฒนาและถูกปล่อยออกมาอาละวาดในโลกอินเทอร์เน็ตในปัจจุบันนั้นมีความสามารถและรูปแบบที่มีความรุนแรงสูงขึ้นจนทำให้การป้องกันก็ทำได้ยากยิ่งขึ้นด้วย 

 ผลกระทบของภัยคุกคามจากบอตเน็ต จากความซับซ้อนและรูปแบบของการโจมตีต่าง ๆ ของบอตเน็ตดังที่อธิบายแล้วในข้างต้น จะเห็นได้ว่าบอตเน็ตสามารถทำให้เกิดผลกระทบในวงกว้างต่อองค์กรและผู้ใช้อินเทอร์เน็ตทั่วไปได้ มีการคาดการณ์ว่าบอตเน็ตอาจเป็นภัยรูปแบบใหม่ที่มีระดับความรุนแรงสูงสุดเท่าที่เคยมีมาบนเครือข่ายอินเทอร์เน็ต ตัวอย่างที่เห็นได้ชัดก็คือเหตุการณท์ ี่เกิดขึ้นในเดือนมิถุนายน พ.ศ. 2547 ซึ่งมีการค้นพบสาเหตุของความขัดขอ้ งของเครือข่ายของเว็บไซด์ชื่อดังอย่างเช่น Google และ Yahoo! ว่ามาจากการโจมตีแบบ DDoS (Distributed Denial of Service) ของบอตเน็ต ทำให้ผู้ใช้อินเทอร์เน็ตทั่วไปไม่สามารถเข้าไปขอใช้บริการเว็บไซต์ดังกล่าวได้เป็นเวลาประมาณสองชั่วโมง

   จากเหตุการณ์ดังกล่าวทำให้เจ้าหน้าที่รักษาความปลอดภัยของข้อมูลทางคอมพิวเตอร์และบริษัทที่พัฒนาโปรแกรมป้องกันไวรัสทั้งหลายเริ่มหันเหความสนใจจากปัญหาของไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ตธรรมดามาสู่ภัยคุกคามรูปแบบใหม่ของบอตเน็ตมากขึ้น

   เนื่องจากปริมาณข้อมูลที่ถูกสร้างขึ้นโดยบอตเน็ตอาจมีปริมาณมหาศาลหากจำนวนบอตมีจำนวนมากนับแสนเครื่อง ผู้ที่ได้รับผลกระทบเป็นอันดับแรกก็คือผู้ให้บริการเครือข่ายอินเทอร์เน็ต (Internet Service Provider หรือ ISP) เนื่องจากปริมาณข อ้ มูลจำนวนมากอาจทำให้ระบบโครงสร้างหลักของอินเทอร์เน็ตไม่สามารถให้บริการต่อไปได้ เช่นบริการของเซิร์ฟเวอร์ DNS อุปกรณ์เครือข่ายเราเตอร์สวิตช์ต้อทำงานหนักจนเกินไป และสายส่งข้อมูลอาจขัดข้องได้ เป็นต้น

   อันดับที่สองก็คือผู้ใช้งานคอมพิวเตอร์และอินเทอร์เน็ตทั่วไปซึ่งเป็นอาจตกเป็นเหยื่อ โดยถูกใช้เครื่องคอมพิวเตอร์ในการทำบอตเน็ต อาจถูกขโมยข้อมูลส่วนต้วที่สำ คัญเช่น รหัสผ่านและข้อมูลทางการเงินจำพวกบัตรเครดิตหรือหมายเลขบัญชีธนาคาร เป็นต้น เพื่อนำไปขายหรือหาประโยชน์ บอตเน็ตบางประเภทสามารถที่จะขโมย CD keys ของโปรแกรมต่าง ๆ ที่อยู่บนเครื่องคอมพิวเตอร์ส่วนบุคคลได้

   นอกจากนี้บางครั้งเครื่องคอมพิวเตอร์อาจถูกใช้เป็นฐานในการโจมตีระบบเครือข่ายอื่น ๆ ต่อไปอีกด้วยผู้เสียหายที่ได้รับผลกระทบอันดับสุดท้ายคือผู้ที่ถูกโจมตีจากเครื่องคอมพิวเตอร์ผีดิบซึ่งถูกควบคุมโดยแฮกเกอร์ ตัวอย่างที่อาจเกิดขึ้นได้แก่ แฮกเกอร์สั่งการให้เครื่องคอมพิวเตอร์ผีดิบทำการโจมตีแบบ DDoS ไปยังเครื่องเซิรฟ์เวอร์อื่น ส่งผลทำให้เซิรฟ์ เวอร์เหล่านั้นไม่สามารถให้บริการได้ตามปกติ ทั้งนี้เนอื่งจากมีข้อมูลขยะจำนวนมาก บางครั้งผู้เสียหายบางกลุ่มอาจถูกขู่กรรโชกทรัพย์ หากไม่ยอมจ่ายเงินให้กับกลุ่มแฮกเกอร์ที่ควบคุมบอตเน็ต ก็อาจจะถูกโจมตีโดยบอตเน็ตได้ จากเหตุการณ์นี้แสดงให้เห็นว่าบอตเน็ตได้กลายเป็นเครื่องมือของการก่ออาชญากรรมบนอินเทอร์เน็ตไปแล้ว

   นอกจากนี้ผู้ควบคุมบอตเน็ตสามารถรับจ้างปล่อยบอตได้ โดยเรียกเก็บค่าบริการตามจำนวนของบอตภายใต้การควบคุม โดยมีจุดประสงค์เพื่อต้องการโจมตีเว็บไซต์หรือระบบเครือข่ายของคู่แข่ง หรืออาจเป็นการส่งสแปมเมล์ออกไปเพื่อโฆษณาสินค้าหรือบริการของตนเอง รวมทั้งอาจทำเพื่อต้องการล่อลวงผู้ใช้งานเครือข่ายอินเทอร์เน็ตก็ได้

   จากที่ได้กล่าวมาจะเห็นไดว้ ่าผลกระทบของภัยคุกคามจากบอตเน็ตมีลักษณะครอบคลุมตงั้ แต่ DDoS การส่งสแปมเมล์ การขู่กรรโชกทรัพย์ การขโมยข้อมูลสำคัญ และอื่น ๆ เป็นต้น ยิ่งถ้าจำนวนเครื่องคอมพิวเตอร์ผีดิบภายใต้กลุ่มบอตเน็ตมีจำนวนมากเท่าไรก็ยิ่งจะทำให้ความรุนแรงเพิ่มสูงขึ้นเท่านั้น ปัจจุบันบอตเน็ตสร้างความเดือดร้อนและมีผลกระทบต่อทุก ๆ ส่วนของอินเทอร์เน็ต โดยเฉพาะอย่างยิ่งบริษัทที่ทำการค้าขายบนอินเทอร์เน็ตไม่ว่าจะเป็นการทำธุรกรรมอิเล็กทรอนิกส์ เว็บไซต์เพื่อโฆษณาสินค้า หรือบริษัทที่ให้บริการเกี่ยวกับอินเทอร์เน็ตต่าง ๆ (จนเมื่อไม่นานมานี้ในบางประเทศถึงกับพยายามจัดให้การสร้างบอตเน็ตนั้นเป็นอาชญากรรมทางคอมพิวเตอร์ที่ร้ายแรงชนิดหนึ่งเลยทีเดียว)

 

 botnet1

                            รูป แสดงลักษณะของผลกระทบที่เกิดจากบอทเน็ต

 

 วิธีการป้องกันและแก้ไข

• ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
• ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะโปรแกรม Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด อ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/microsoft/winxpupdate.php 
• ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
• ติดตั้งโปรแกรมกำจัดสปายแวร์ ปรับปรุงฐานข้อมูล และสแกนหาสปายแวร์อยู่เสมอ ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/spyware/AdawareHowToEliminateSpywareFinal.pdf 
• ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php 
• ติดตั้งและใช้งานโปรแกรมกรองสแปมเมล์ ทั้งในเครื่องไคลเอ็นต์และที่เมล์เซิร์ฟเวอร์
• หากพบว่ามีการติดตั้งเซิร์ฟเวอร์ที่ให้บริการ IRC โดยมีจำนวนเครื่องที่เข้าสู่ระบบดังกล่าวสูงแต่ไม่มีการส่ง ข้อมูลคุยตามปกติระหว่างกัน เซิร์ฟเวอรดังกล่าวก็อาจกลายเป็นช่องทางในการควบคุมบอตเน็ตได้ ต้องดำเนินการหยุดการทำงานของเซิร์ฟเวอร์ดังกล่าวทันที
• หากพบสิ่งผิดปกติในเครื่องคอมพิวเตอร์หรือระบบเครือข่าย และสงสัยว่าอาจจะเป็นบอตเน็ตต้องรีบแจ้งให้เจ้าหน้าที่ที่เกี่ยวข้องรับทราบทันที เพื่อดำเนินการแก้ไขโดยเร่งด่วน ซึ่งจุดอ่อนของบอตเน็ตก็คือหาก มีการปิดกั้น DNS เซิร์ฟเวอร์ และ IRC เซิร์ฟเวอร์ไม่ให้เป็นทางผ่านเพื่อส่งต่อการควบคุมจากหัวหน้า ก็จะสามารถหยุดการทำงานของบอตได้แล้วส่วนหนึ่ง

 

เพิ่มคอมเมนต์ใหม่


รหัสป้องกันความปลอดภัย
รีเฟรช

Sponsored Ads

Sponsored Ads

subscription

Enter your email address:

Delivered by FeedBurner

Sponsored Ads