กรุงเทพฯ--3 มิ.ย.--คอร์ แอนด์ พีค
บรรดาผู้ดำเนินการบ็อตเน็ต สแปมเมอร์ และผู้ที่อยู่เบื้องหลังแคมเปญของ SEO- search engine optimization (การปรับแต่งเว็บไซต์ เพื่อให้ติดอันดับต้นๆ ของเครื่องมือค้นหาเว็บไซต์ต่างๆ) มักจะหารายได้จากการสร้างบัญชีที่มีเครือข่ายของตัวแทน FAKEAV ขึ้นมา โดยตัวแทนเหล่านี้จะจัดเตรียม URL ไปยังเพจต้อนรับ (landing page) ซึ่งจะแสดงตัวสแกนป้องกันไวรัสปลอมและพยายามทำให้ผู้ใช้ตกใจคิดว่าระบบของตนนั้นติดไวรัสเพื่อจะได้ติดตั้งซอฟต์แวร์ป้องกันไวรัสปลอมนั้น ถ้าผู้ใช้ซื้อผลิตภัณฑ์ลวงดังกล่าว ลูกข่ายของตัวแทน FAKEAV (เช่น บ็อตมาสเตอร์) ก็จะได้รับส่วนแบ่งของรายได้ที่เกิดขึ้นนั้น
บทความชิ้นนี้ได้วิเคราะห์การดำเนินงานของตัวแทน FAKEAV รายหนึ่ง ซึ่งในอดีตเคยเป็นผู้จัดหาบ็อตเน็ต KOOBFACE รวมถึงดำเนินการ SEO ที่ได้รับการแพร่หลายอย่างมาก
ในระหว่างวันที่ 7 มีนาคมถึง 19 เมษายน 2554 มีการรวบรวมชื่อโดเมนจำนวน 890 ชื่อได้จาก URL ต้นทางที่ตัวแทน FAKEAV รายนี้ได้จัดเตรียมไว้ให้กับลูกข่ายของตน จำนวนดังกล่าวครอบคลุมถึงโดเมน .com, .org และ .net และไม่รวมโดเมน เช่น co.cc ที่ถูกรวบรวมไว้ได้เช่นกัน จากนั้นเราพบว่าชื่อโดเมนส่วนใหญ่ได้รับการแพร่กระจายทันทีหลังจากที่ได้รับการจดทะเบียนไปแล้วหนึ่งวัน นอกจากนี้ยังพบด้วยว่ามีโดเมนจำนวนมากถูกแจกจ่ายในวันเดียวกันกับที่จดทะเบียน
30 โดเมนแพร่กระจายในวันก่อนจดทะเบียน (3.3 เปอร์เซ็นต์) 246 โดเมนแพร่กระจายในวันเดียวกัน (27.6 เปอร์เซ็นต์) 588 โดเมนแพร่กระจายในวันถัดไป (66.0 เปอร์เซ็นต์) 13 โดเมนแพร่กระจายหลังจากผ่านไปสองวัน (1.4 เปอร์เซ็นต์) 1 โดเมนแพร่กระจายหลังจากผ่านไปสามวัน (0.1 เปอร์เซ็นต์) 3 แพร่กระจายหลังจากผ่านไปเจ็ดวัน (0.3 เปอร์เซ็นต์) มีความน่าสนใจตรงที่บางโดเมนถูกแพร่กระจายก่อนที่จะมีการจดทะเบียน ซึ่งแสดงให้เห็นว่าตัวแทน FAKEAV มีระบบการจดทะเบียนโดเมนอัตโนมัติ โดยตัวแทนเหล่านี้ได้ดำเนินการจดทะเบียนโดเมนโดยเฉลี่ย 20 ชื่อต่อวัน
อย่างไรก็ตาม จำนวนโดเมนที่จดทะเบียนเหล่านี้ยังมีความผันผวนอีกด้วย ตัวอย่างเช่น มีการจดทะเบียนโดเมน 44 ชื่อในวันที่ 27 มีนาคม ขณะที่มีโดเมนเพียงชื่อเดียวเท่านั้นที่ได้รับการจดทะเบียนในวันที่ 17 เมษายน โดยทั่วไปแล้ว ตัวแทนจะจดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่ต่างกันสองหรือสามรายต่อวัน แต่ในวันที่ 31 มีนาคม ตัวแทนดังกล่าวได้จดทะเบียนโดเมนกับบริษัทรับจดทะเบียนที่แตกต่างกัน ถึงเจ็ดราย
บริษัทรับจดทะเบียน 10 แห่งที่ถูกใช้บริการ ได้แก่
1.NETWORK SOLUTIONS LLC 391
2. TUCOWS INC. 107
3. GODADDY.COM INC. 85
4. DIRECTNIC LTD. 74
5. WILD WEST DOMAINS INC. 55
6. NAMESECURE LLC 40
7. ENOM INC. 30
8. NETWORK SOLUTIONS LLC 28
9. FASTDOMAIN INC. 20
10. ABOVE.COM PTY. LTD. 17
นอกจากนี้ตัวแทนยังใช้ที่อยู่อีเมลที่ต่างกัน 127 ที่อยู่สำหรับการจดทะเบียนโดเมนดังกล่าวด้วย จะเห็นได้ว่าผู้โจมตีได้ใช้ที่อยู่อีเมลของ Yahoo! Mail ที่ไม่ซ้ำกัน 39 ที่อยู่สำหรับโดเมน 559 ชื่อ โดยเฉลี่ยแล้ว แต่ละที่อยู่ อีเมลจะถูกใช้กับบริษัทรับจดทะเบียนโดเมนที่อยู่ละ 14 โดเมน ซึ่งจำนวนรวมสูงสุดสำหรับที่อยู่อีเมลเดียวคือ 44 โดเมน และต่ำสุดคือ 1 โดเมน โดยปกติที่อยู่อีเมลที่ใช้จดทะเบียนกับบริษัทรับจดทะเบียนแห่งหนึ่งในแต่ละวันนั้นจะไม่มีการถูกนำกลับมาใช้ซ้ำ แต่ตัวแทน FAKEAV รายนี้กำลังเลี่ยงการตรวจจับด้วยการแพร่กระจายการ จดทะเบียนโดเมนที่เป็นอันตรายกับผู้รับจดทะเบียนเป็นจำนวนมากและใช้หลายที่อยู่อีเมล
สายพันธุ์ FAKEAV ได้รับการแจกจ่ายผ่านทางรูปแบบตัวแทนโดยที่ตำแหน่งที่ตั้งส่วนกลางจะส่ง URL และข้อมูลไบนารีที่เป็นอันตรายไปยังลูกข่ายที่แพร่กระจายลิงก์เหล่านี้ด้วยวิธีการของตน ตัวแทนเหล่านี้มีความ สามารถในการจดทะเบียนชื่อโดเมนจำนวนมากโดยใช้ที่อยู่อีเมลที่ต่างกันและยังสามารถแพร่กระจายโดเมนได้อย่างรวดเร็วหลังจดทะเบียนแล้ว ดังนั้นการระบุต้นตอของโดเมน FAKEAV (ไม่เฉพาะเพียงบ็อตเน็ตที่แจกจ่ายโดเมนเหล่านี้เท่านั้น) จึงเป็นสิ่งสำคัญในการต่อสู้กับภัยคุกคามนี้
ข้อมูลจากศูนย์วิจัยข้อมูลเทรนด์แล็บส์ | บล็อกมัลแวร์ — โดย เทรนด์ ไมโคร
สื่อมวลชนสอบถามข้อมูลเพิ่มเติมได้ที่ บริษัท คอร์ แอนด์ พีค จำกัด ที่ปรึกษาประชาสัมพันธ์ ชญาพัฒน์ สนธิกร
โทร +66 (0) 2439 4600 ต่อ 8202 อีเมล chayapats@corepeak.com