กรุงเทพฯ--6 ม.ค.--Goslar & Associates
สรุปภัยคุกคามในรอบ 10 ปีที่ผ่านมา
ในโอกาสที่ฟอร์ติเน็ตครบรอบ 10 ปีศูนย์แล็ปฟอร์ติการ์ด Fortiguard Labs จึงได้สรุปภัยคุกคาม 10 ร้ายแรงที่สุดในรอบ 10 ปีที่ผ่านมาและอธิบายถึงพัฒนาการในช่วงต่อๆ มา
คศ. 2000: I LOVE YOU worm
นี่ถือเป็นหนอนที่รุกรานคอมพิวเตอร์ที่ใช้วินโดวส์กว่าสิบล้านเครื่อง อีเมล์ที่มีหัวข้อว่า “I Love You” จะมีไฟล์แนบอันตรายชื่อ “Love-Letter-For You.txt.vbs.” และจะมีสคริปต์ Visual basic script (.vbs) ซ่อนมาด้วย เมื่อผู้ใช้งานเปิดอีเมล์หนอนจะทำสำเนาตนเองอย่างรวดเร็ว (โดยใช้อีเมล์ของผู้ส่งนั้น) และส่งไปยังทุกชื่อที่พบในแอดเดสบุ๊คของวินโดวส์และจะทำความเสียหายให้กับระบบของผู้ใช้งาน ในทุกวันนี้ ผู้ใช้งานจะมีคำเตือนบนหน้าจอเมื่อสคริปต์นั้นเริ่มทำงาน ทำให้หนอนทำงานยากขึ้น
พัฒนาการ: เกิด Netsky ในคศ 2004 มีการทำงานคล้าย I LOVE YOU wormที่ Netskyจะแพร่กระจายเมื่อผู้ใช้งานคลิ๊กไฟล์แนบนั้น หนอนจะส่งสำเนาของตนเองไปที่แอดเดสบุ๊คอย่างรวดเร็ว และในปัจจุบันซอฟท์แวร์สแปมพวก Pushdo/Cutwail spam botnet (circa 2007) ได้สรุปรูปแบบของหนอนที่มาอีเมล์ไว้เรียบร้อยแล้ว ทั้งนี้ ซอฟท์แวร์สแปมพวก botnets จะเป็นรูปแบบเทมแพลท และจะรับเทมแพลทใหม่ เพื่อเปลี่ยนเนื้อหาของอีเมล์ ทำให้สามารถแลกข้อความได้และสามารถส่งลิ้งค์หรือไฟล์แปลกปลอมเข้ามาได้ ปัจจุบัน ภัยคุกคามที่อยู่บนจาวาสคริปต์จะใช้มากกว่า .vbs
คศ. 2001: Code Red Worm
หนอน Code Red Worm จู่โจมเว็ปเซอร์เวอร์โดยแพร่กระจายผ่านเวิร์ฟเวอร์ Windows IIS ผ่านช่องโหว่ประเภท Buffer overflow vulnerability จากนั้น โค้ดแปลกปลอมนี้จะทำร้ายเว็ปไซท์นั้นและจะสแกนหาระบบอื่นๆ เพิ่มเติมเพื่อรุกรานต่อไป
พัฒนาการ: เกิด SQL Slammer ในคศ 2003 ซึ่งทำให้การใช้งานอินเตอร์เน็ตทั่วโลกช้าลง และเกิดการปฏิเสธการให้บริการ Denial of service (DoS) และในเกาหลีใต้ หนอนเคยทำให้ผู้ให้บริการหลายรายต้องหยุดให้บริการนานหลายชั่วโมง Slammer เหมือน หนอน Code Red ที่ Slammer มองหาจุดอ่อนใน Microsoft’s SQL Server’s buffer overflow เพื่อโจมตี และเนื่องจากมีขนาดเล็ก Slammer จึงเข้ามาอยู่ใน Single UDP packet และเพิ่มประสิทธิภาพการแพร่กระจายการโจมตีได้อย่างรวดเร็ว
คศ. 2002: Beast Trojan/Remote Administration Tool (RAT)
ในระยะแรก Beast ถูกสร้างมาให้เป็นทูลประเภท Remote administration tool (RAT) ในขณะที่ปัจจุบัน ได้นำทูลนี้มาใช้ในการสนับสนุนทางด้านเทคนิค ทางพวกแฮกเกอร์เคยใช้โค้ดบุกเข้ามาควบคุมเครื่องคอมพิวเตอร์ของผู้ใช้งาน และ Beast เป็นส่วนแรกๆ ส่วนหนึ่งของมัลแวร์ที่เข้ามาสร้างคุณสมบัติใน Trojans สมัยใหม่ อาทิ code injection, reverse connections, fake error messages และ offline key loggers ในปัจจุบัน ยังคงมี RATS เหลืออยู่มากมาย
พัฒนาการ: ในปี 2008 ที่ Gh0st RAT เกิดขึ้นมาในฐานะโปรแกรมเพิ่อการสอดแนมทางโลกไซเบอร์และเน้นไปที่กลุ่มหน่วยงานรัฐบาลเป็นหลัก เหมือนกับ Beast ที่ Gh0st เป็น RAT ที่ให้แฮกเกอร์สามารถควบคุมเครื่องคอมพิวเตอร์ของผู้ใช้งานได้อย่างเรียลไทม์ และถ้าเครื่องนั้นมีกล้องวิดีโอและไมโครโฟนติดไว้ Gh0st สามารถใช้บันทึกสิ่งที่เกิดขึ้นในห้องนั้น (และส่งข้อมูลกลับมาที่ฐานได้)
คศ. 2003: Blaster Worm
หนอน Blaster Worm ถูกสร้างโดยชาวจีน Xfocus และเหมือน the Code Red และ SQL Slammer worms ที่ Blaster แพร่กระจายผ่าน Buffer overflow vulnerability ที่พบในบริการ Microsoft remote procedure call (RPC) distributed component object model (DCOM) service แต่ไม่เหมือนหนอนอื่นๆ ที่ Blaster ถูสร้างมาให้กระจายโดยที่ผู้ใช้งานไม่จำเป็นต้องเปิดไฟล์แนบมา มันสามารถโจมตีไอพีแอดเดรสที่แรนดอมมามากมายได้
พัฒนาการ: ในคศ 2008/2009 เหมือน Blaster ที่หนอน Conficker Worm รุกรานเข้ามาในบริการ Microsoft RPC DCOM service และ Conficker เป็น botnet ขั้นสูงที่สื่อสารผ่านอะกอริธึ่มประเภท domain generation algorithm และเข้ารหัส encrypted peer-to-peer traffic ได้
คศ. 2004: Vundo Trojan
Vundo เป็น Trojan ที่สร้าง pesky Windows popup ที่ทำให้บนหน้าจอของผู้ใช้งานมีแต่โฆษณาที่ไม่ต้องการ นอกจากนี้ Vundo สามารถส่ง DoS attacks ไปยัง Google และ Facebookได้ พวกแอนตี้ไวรัสปลอมและ Adware ยังกลายเป็นซอฟท์แวร์ที่แพร่หลายที่ติดตั้งโดย Trojans เฉกเช่น Vundo นี้ เนื่องจาก เป็นการสร้างรายได้ที่ดีของพวก affiliate programs
พัฒนาการ: เหมือน Vundoที่ Bredolab (circa 2009) เป็นตัวโหลดมัลแวร์ที่เน้นการโหลดซอฟท์แวร์แอนตี้ไวรัสแปลกปลอมใหม่ๆ และใช้การดาวน์โหลดพวกตัวขโมยพาสเวิร์ดของพวกบัญชีและบัตรเครดิต (Keyloggers) และพวฏดหลดโฆษณาที่ไม่ต้องการ (Adware) และมัลแวร์อื่นๆ โดยภายในปี 2010 ที่ Bredolab ได้พัฒนาเข้ามารวมอยู่ใน Ransomware variants ที่แสดงตนว่าเป็นซอฟท์แวร์ที่สามารถรักษาแก้ไขไฟล์ที่เสียหายของผู้ใช้งาน และ Data/applications hostage ได้
คศ. 2005: Samy XSS Worm
หนอน Samy worm มุ่งรุกรานผู้ใช้งานของ MySpace เป็นหลักและเคยทำให้คนกว่าล้านคนมีความเสียหาย cross-site scripting (XSS) hole ภายในเวลาเพียง’ 20 ชั่วโมงก่อนที่ MySpace จะพบและกำจัดหนอนนี้ ในปัจจุบัน มันยังเป็นไวรัสที่แพร่กระจายได้เร็วตัวหนึ่ง
พัฒนาการ: ตลอดปี 2009 และ 2010 หนอน multiple XSS worms ได้โจมตี Twitter และเว็ปไซท์ประแภทโซเชี่ยลเน็ทเวร์คกิ้งมากมาย อาทิ Orkut ผ่าน XSS holes ที่เกิดจากความผิดพลาดด้านโปรแกรมมิ่ง ในปัจจุบัน พบเห็น XSS vulnerabilities ได้โดยทั่วไป และ ที่ Open Web Application Security Project (OWASP) ได้แจ้งว่า XSS attacks เป็นภัยที่สูงด้านแอปพลิเคชั่นอันดับ 2 ในปี 2010
คศ. 2006: Stration/Warezov
ตัว Stration เป็นตัวร้ายที่สุดในประเภท Server-side polymorphism และสามารถเกิด Stration variants ใหม่ๆ ทุกๆ 30 นาที ทำให้เมื่อสิ้นปี 2006 มีการติดมัลแวร์ของตัว Stration นี้เป็นหนึ่งในสาม
พัฒนาการ: ซอฟท์แวร์พวก ransomware และ fake antivirus software ที่เกิดในทุกวันนี้ ใช้ server-side polymorphism ในการต่อสู้กับการตรวจป้องกัน โปรแกรมเหล่านี้ออกแบบมาเพื่อหลอกลวง ผู้ใช้งานและสร้างรายได้ และในทุกวันนี้ พวก Gumblar botnet ยังใช้เทคนิคเดียวกับ Javascript และ แพร่ไปยังผู้ใช้ที่ดาวน์โหลด Gumblar botnet ใช้ Javascript ที่เปลี่ยนตลอดเวลาจึงเป็นที่รู้จักกันในชื่อ server-side polymorphism
คศ. 2007: Storm Botnet
เคยมีรายงานว่าพวก Storm Botnet วิ่งอยู่บนคอมพิวเตอร์กว่าล้านเครื่องและนับว่าเป็น 8% ของมัลแวร์ที่วิ่งอยู่บนระบบวินโดว์ ที่แปลกคือ ไม่มีใครรู้แน่ชัดว่าใครสร้างมัลแวร์ชนิดนี้ขึ้นมา Storm เป็นหนึ่งใน botnets แรกๆ ที่เกิดการโฮสติ้งได้อย่างรวดเร็ว เป็นกระบวนการของโฮสติ้งเซิร์ฟเวอร์ที่กำลังเปลี่ยน domain name system (DNS) addresses จึงทำให้ยากต่อการตรวจพบ
พัฒนาการ: มี Waledac (circa 2009) ที่ใกล้เคียงกับ Storm ที่ใช้วิธี peer-to-peer พร้อมกับ fast flux hosting ทั้งนี้ Waledac สามารถส่งอีเมล์สแปมได้มากกว่า 1.5 พันล้านต่อวันไปยังคอมพิวเตอร์กว่า 70,000 เครื่อง และสร้าง Waledac จากโมเดลของ Storm โดยการเพิ่มการเข้ารหัสเป็นชั้น และ Advanced packers ที่รวมถึง Waledac ที่มี BZIP compress AES encrypt และ Base64 encode XML content ที่จะถูกส่งไปสั่งและควมคุม peer-to-peer network
คศ. 2008: Koobface
Koobface เป็นไวรัสตัวแรกๆ ที่เน้นการโจมตีที่เว็ปไซท์ประเภทโซเชี่ยลเน็ทเวร์คกิ้งที่รวมถึง Facebook, MySpace, hi5, Bebo และ Friendster มันจะส่งลิ้งค์ที่แจ้งว่าเป็น “friends” ที่จะขอให้ผู้ใช้งานดาวน์โหลดและอัปเดท Adobe Flash player และ เมื่อทำเช่นนั้น Koobface จะเข้ามาควบคุมคอมพิวเตอร์และเชื่อมต่อไปยังเว็ปไซท์ที่แปลกปลอมต่อไป ยิ่งไปกว่านั้น Koobface มีโปรแกรม DNS filter program ที่บล็อคไม่ให้เข้าไปยังเว็ปไซท์ด้านความปลอดภัย และทูลส์ต่างๆ ทำให้เกิดความเสียหายอื่นๆ ตามมา
พัฒนาการ: Webwail คือเอ็นจิ้นท์หนึ่งที่ค้นพบโดย FortiGuard Labs ในปี 2009และ เหมือน Koobface ที่มันใช้เว็ปไซท์ในการแพร่กระจาย ผ่านพวก webmail เช่น Gmail และ Hotmail ทั้งนี้ Koobface ต้องการรุกราน CAPTCHAs และ Webwail สามารถโจมตี CAPTCHAs สำเร็จภายใน 30 วินาทีและส่งสแปมอีเมล์มากมายจากบัญชีที่สร้างมา
คศ. 2009: W32.Dozor
Dozor เป็นตัว Distributed denial-of-service (DDoS) botnet ที่กระจายโดย Pushdo botnet โดยมุ่งมาที่กลุ่มองค์กรที่ให้บริการสาธารณชนและทำให้นึกว่าเป็นสงครามไซเบอร์ Dozor สามารถแพร่กระจายได้เร็วมากทำให้ DDoS engine ของมันเองมีพลังเหลือหลาย
พัฒนาการ: Dozor ใช้กลยุทธการโจมตีแบบ DDoS attack เคยทำให้เว็ปไซท์ขององค์กรที่ให้บริการสาธารณชน เช่น สถาบันด้านการเงินหยุดชะงักได้ ในขณะที่สร้างความเสียหายมากมาย Stuxnet ยังมุ่งสูงกว่านั้นโดยมุ่งโจมตีไปยังระบบควบคุมหลักของทั้งอุตสาหกรรม เช่น จะป่วนโรงงานนิวเคลียร์ และธนาคารต้องหยุดบริการออนไลน์ไปทั้งวัน
คศ. 2010: Stuxnet
Stuxnet เป็นตัวที่ร้ายกาจที่สุดสามารถทำสำเนาตัวเองได้มากมาย ยิ่งไปกว่านั้น มันมีทั้งส่วน “exploit” (โปรแกรมที่ออกแบบมาให้โจมตีโดยอาศัยช่องโหว่แล้สคุมคุมให้กระทำการบางอย่าง) และส่วน “rootkit” (ที่เป็นรูปแบบการโจมตีแบบพิเศษที่สามารถซ้อนตัวในโปรแกรมหลักและระบุกลุ่มการโจมตีเป้าหมายได้ และมีลักษณะที่แปลก) เช่น software certificates ที่ดูเหมือนว่าจะถูกขโมยมาจากผู้ผลิตซอฟท์แวร์ที่มีชื่อเสียง นอกจากนี้ มันเป็นหนอนตัวแรกที่ เห็นได้จาก PLC (Programmable Logic Control) rootkit และออกแบบมาให้สอดแนมและรีโปรแกรมระบบอุตสาหกรรมที่รับผิดชอบในโครงสร้างอุตสาหกรรมที่สำคัญต่างๆ
พัฒนาการต่อไปข้างหน้า: ตั้งแต่ปี 2009เราเห็นภัยคุกคามที่เกิดและมุ่งโจมตีแพลทฟอร์มที่ต่างกัน เช่น SymbianOS, Blackberry, Android และ Simatic WinCC/STEP 7 แต่ใน 10 ปีข้างหน้านี้ นักพัฒนาภัยต่างๆ จะมุ่งสร้างกรอบงานและมัลแวร์ที่เราเห็นใน botnets สมัยใหม่ที่ทำงานบนระบบ Microsoft Windows systems ได้เป็นประการแรก และในขณะที่ ยังมีนักพัฒนาภัยต่างๆ บางคนจะอยู่บนแพลทฟอร์มวินโดวส์อีกสองสามปี และหวังจะเห็นความต้องการในโค้ดแปลกปลอมในแพลทฟอร์มอื่นๆ เช่น ที่ใช้ในผู้ผลิตสมาร์ทโฟนและผู้ให้บริการคลาวน์คอมพิวติ้งต่างๆ
เดอร์ริก มันกี้ ดำรงตำแหน่งผู้จัดการโครงการแห่งหน่วยงานวิจัย Cyber security & threat research ทิ่ Fortiguard Labs ของฟอร์ติเน็ต และเป็นผู้เขียนราบงานด้านภัยคุกคามรายเดือนของฟอร์ติเน็ต เดอร์ริกเคยรับผิดชอบงานออกแบบนโยบายด้าน “Responsible disclosure policies” ขององค์กร ที่นำมาใช้อีกหลายปีต่อๆ มาในการรายงานและการเผยแพร่ในเรื่อง “Critical, zero-day vulnerabilities”
For Media Contact:
นฤอร สังขจันทร์
Communications Consultant
Goslar & Associates
naruhorn@yahoo.com