กรุงเทพฯ--16 ต.ค.--โอเอซิส มีเดีย
ZeroAccess เป็นหนึ่งในบอทเน็ตขนาดใหญ่ที่สุดที่ยังมีตัวตนอยู่ในปัจจุบัน ด้วยจำนวนเครื่องคอมพิวเตอร์ที่ติดบอทแล้วกว่า 1.9 ล้านเครื่อง จากการเฝ้าสังเกตของไซแมนเทค ในสิงหาคม 2013 คุณสมบัติสำคัญของบอทเน็ต ZeroAccess ก็คือการใช้สถาปัตยกรรมการเชื่อมต่อและสั่งการ (C&C) แบบ peer-to-peer (P2P) ทำให้ ZeroAccess มีความพร้อมในการทำงาน และเพิ่มจำนวนเองได้ในระดับที่สูงขึ้น เมื่อไม่มีเซิร์ฟเวอร์ C&C ตัวกลาง คุณก็ไม่สามารถปิดเซิร์ฟเวอร์ดังกล่าวเพื่อกำจัดบอทเน็ตได้ง่ายๆ เมื่อใดก็ตามที่คอมพิวเตอร์ติดเชื้อ ZeroAccess เริ่มแรกก็จะพยายามเชื่อมต่อไปที่เครื่องอื่นๆ อยู่ในกลุ่มบอทเพื่อแลกเปลี่ยนรายละเอียดเกี่ยวกับคอมพิวเตอร์ในกลุ่มอื่นๆ ในเครือข่าย P2P ที่มันรู้จัก ด้วยวิธีการนี้บอทจึงเชื่อมต่อเข้ากับเพียร์อื่นๆ ได้ และสามารถกระจายคำสั่ง และไฟล์ผ่านทางเครือข่ายได้อย่างรวดเร็ว และมีประสิทธิภาพ ในบอทเน็ต ZeroAccess มีการสื่อสารกระหว่างคอมพิวเตอร์ในกลุ่มอย่างต่อเนื่อง เพื่อแลกเปลี่ยนรายชื่อของเพียร์ รวมทั้งตรวจสอบไฟล์ที่ได้รับการอัพเดท ทำให้บอททนทานต่อการความพยายามในการกำจัดด้วยวิธีต่างๆ ได้มากขึ้น
ตัดการเชื่อมต่อระหว่างบอทเน็ท
ย้อนกลับไปเมื่อเดือนมีนาคมที่ผ่านมา วิศวกรของไซแมนเทคเริ่มศึกษารายละเอียดเกี่ยวกับกลไกที่ บอท ZeroAccess ใช้ในการสื่อสารกัน เพื่อหาวิธีตัดการเชื่อมต่อระหว่างคอมพิวเตอร์ในกลุ่มในระหว่างกระบวนการดังกล่าวนี้ เราได้พบจุดอ่อนของ ZeroAccess ซึ่งใช้ประโยชน์ได้ยากแต่ก็ใช่ว่าจะเป็นไปไม่ได้จาก จากการทดสอบภายในห้องปฏิบัติการที่มีการควบคุมของเรา ได้พบวิธีการปลดคอมพิวเตอร์ออกจากการควบคุมของบอท (botmaster)ในวันที่ 29 มิถุนายน เราพบว่า ZeroAccess เวอร์ชั่นใหม่ถูกอัพเดทและกระจายภายในเครือข่าย โดยในเวอร์ชั่นที่ได้รับการปรับปรุงมีการการเปลี่ยนแปลงบางส่วน แต่ก็ยังคงมีความน่ากลัวไว้ โดยมันได้รับการปรับแก้จุดบกพร่องของการออกแบบที่ทำให้บอทเน็ตมีช่องโหว่ทำให้ถูกตัดการเชื่อมต่อกันได้ จุดอ่อนในกลไก P2P ของ ZeroAccess ที่ถูกนักวิจัยกล่าวถึงในรายงานที่ถูกตีพิมพ์เมื่อเดือนพฤษภาคมทำให้เจ้าของบอท ZeroAccess นั้น
ทำการปรับปรุงตัวบอท
ดูเหมือนการเปลี่ยนแปลงเริ่มเผยออกมา และมีการวางแผนมาเป็นอย่างดี เราต้องเจอกับทางเลือกว่า จะเริ่มลงมือเลยในตอนนี้ หรือเสี่ยงกับการสูญเสียโอกาสใช้ประโยชน์ช่องโหว่ที่เราค้นพบในวันที่ 16 กรกฏาคม ได้เริ่มตัดการเชื่อมต่อระหว่างเครื่องที่ติดเชื้อ ZeroAccess วิธีการนี้ให้ผลลัพธ์อย่างรวดเร็วส่งผลให้สามารถกำจัดการกับเครื่องที่ติดบอทได้มากกว่า 5 แสนเครื่อง และทำให้จำนวนของบอทที่ถูกควบคุมโดยเจ้าของบอทลดลงไปเป็นจำนวนมาก ในการทดสอบ บอท ใช้เวลาเฉลี่ยเพียง 5 นาทีในการทำงานบน P2P ก่อนที่บอท ZeroAccess ตัวใหม่จะถูกตัดการเชื่อมต่อ เพื่อให้เข้าใจถึงผลกระทบที่เกิดขึ้นนี้ เราลองมาพิจารณาถึงเหตุผลที่บอทเน็ต ZeroAccess ถูกนำมาใช้
ZeroAccess: บริการจัดส่ง
จากโครงสร้างการทำงานและพฤติกรรมของ ZeroAccess แล้วถูกออกแบบมาเพื่อส่ง payload ให้กับเครื่องที่ติดบอทในเครือข่าย เพื่อใช้ในการโจมตี สาเหตุหลักๆของการโจมตีเหล่านั้นมาจากเงิน
คลิกปลอม
หนึ่งใน Payload ประเภทหนึ่งที่เราเคยเห็นก็คือโทรจันคลิกปลอม โดยโทรจันจะดาวน์โหลดโฆษณาออนไลน์ไปไว้บนคอมพิวเตอร์จากนั้นก็จะสร้างคลิกปลอมบนโฆษณาที่มีลักษณะคล้ายกับการคลิกของผู้ใช้งานจริงที่ถูกต้องตามกฎหมาย คลิกปลอมเหล่านี้ก็จะถูกนับเพื่อรับเงินตามข้อตกลงในลักษณะของการจ่ายเงินตามคลิก
การรวบรวม bitcoin
สกุลเงินดิจิติอลกำลังได้รับสนใจจากอาชญากรไซเบอร์ วิธีได้มาซึ่งบิตคอยน์แต่ละตัวเกิดขึ้นจากการคำนวณทางคณิตศาสตร์ที่เรียกว่า การทำ “Mining” การทำงานในลักษณะนี้นำมาซึ่งรายได้ให้กับเจ้าของบอท นั้นๆ
เรื่องราวทางการเงินของ ZeroAccess
ไซแมนเทคได้เอาฮาร์ดแวร์เก่าบางตัวที่ ตั้งไว้ทั่วสำนักงานเพื่อทดสอบประเภทของผลกระทบจากบอทเน็ต ZeroAccess ในแง่ของการใช้ไฟฟ้า และเเรื่องราวทางการเงินของกิจกรรมเหล่านี้ และมองไปที่ทั้งการคลิกปลอม และการทำไมนิ่งบิตคอยน์ แต่จะเน้นไปที่การทำไมนิ่งบิตคอยน์ (bitcoin mining)เพราะมันค่อนข้างเป็นกิจกรรมที่ถือเป็นเป้าหมายหลักในการทำงานของบอท และสามารถทำเงินให้กับเจ้าของบอตได้โดยตรง ทำให้เครื่องคอมพิวเตอร์ของห้องปฏิบัติการที่ใช้ในการทดสอบติดเชื้อ ZeroAccess ต่อจากนั่นก็จะตั้งเครื่องเหล่านั้นให้ทำ ไมนิงบิตคอยน์(bitcoin mining) นอกจากนี้ยังมีคอมพิวเตอร์ที่ยังไม่มีบอทติดตั้งอยู่ต่อคอมพิวเตอร์เข้ากับมิเตอร์ไฟฟ้าเพื่อดูว่าเครื่องคอมพิวเตอร์ที่ใช้ในการทดสอบใช้ไฟฟ้ามากแค่ไหน ผลลัพธ์ที่ได้จากการอ่านค่ามิเตอร์ก็มีความน่าสนใจบางอย่าง
รายละเอียดของเครื่องคอมพิวเตอร์ที่ใช้ในการทดสอบ
Model: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB (Max TDP 95W)
Measured energy usage per hour: 136.25 Watts (mining)
Measured energy usage per hour: 60.41 Watts (idle)
MHash/S: 1.5 สมมติว่าใช้รายละเอียดต่อไปนี้สำหรับการทำไมนิงบิตคอยน์
การทำ “ไมนิงบิตคอยน์”
การทำ “ไมนิงบิตคอยน์” สามารถทำได้โดยใช้คอมพิวเตอร์เครื่องเดียวได้ แต่การทำแบบนี้ทั้งปีอาจได้ผลตอบแทนแค่ 0.41 เหรียญ แต่ถ้าคุณมีเครื่องที่ติดบอทเน็ต 1.9 ล้านสมการก็จะเปลี่ยนแปลงไปอย่างสมบูรณ์ ตอนนี้บอทเน็ตสามารถทำเงินได้หลายพันดอลลาร์ต่อวัน แน่นอนว่าไม่ใช่คอมพิวเตอร์ทุกเครื่องจะสามารถใช้งานได้ตลอดทั้งวันทุกวัน และคอมพิวเตอร์แต่ละเครื่องที่ติดบอทเน็ตก็มีประสิทธิภาพ การโหลด และระยะเวลาในการทำงานในระดับที่แตกต่างกันดังนั้นตัวเลขนี้จึงเป็นการประมาณการณ์แบบหยาบๆ สำหรับการประเมินของเรา เราตั้งสมมติฐานคิดว่าบอทเหล่านี้ทั้งหมดมีการทำงานทั้งวันตลอด 24 ชั่วโมง และบอทแต่ละตัวอยู่บนเครื่องสเปกเดียวกับที่เครื่องทดสอบของเรา
คลิกปลอม
บอทจะให้คลิกปลอมทำงานแบบเงียบๆ ในการทดสอบของเรา บอทแต่ละตัวสร้างการรับส่งข้อมูลบนเครือข่ายประมาณ 257 เมกะไบต์ในทุกๆ ชั่วโมง หรือวัน 6.1 กิกะไบต์ต่อวัน พวกมันยังสร้างการคลิกโฆษณาปลอมประมาณ 42 ครั้งต่อชั่วโมง (1008 ครั้งต่อวัน) ในขณะที่การคลิกแต่ละครั้งอาจจะจ่ายเป็นเศษเงิน แต่ด้วยเครื่องติดเชื้อ 1.9 ล้านเครื่องก็สามารถทำเงินให้ผู้โจมตีได้หลายสิบล้านดอลลาร์ต่อปี
ตอนนี้เรารู้มูลค่าของกิจกรรมเหล่านี้แล้ว ไปดูในส่วนของค่าใช้จ่ายที่เกิดขึ้นจากการทำงานของบอทเน็ตในแง่ของค่าไฟฟ้ากันบ้าง
ค่าไฟฟ้า
จากการค่าใช้จ่ายของ ZeroAccess ที่เหยื่อไม่สงสัย เราจะคำนวณความแตกต่างระหว่างค่าใช้จ่ายของการการใช้ประโยชน์จากบิตคอยน์เมื่อเทียบกับค่าใช้จ่ายของคอมพิวเตอร์ไม่ทำงาน จากการทดสอบของเราพบว่าแต่ละวันมีการใช้ไฟเพิ่มขึ้น 1.82 กิโลวัตต์ซึ่งถือว่าไม่มากเกินกว่าที่เหยื่อจะจ่ายได้
ไฟฟ้าที่ถูกใช้ในการทำไมนิ่ง: (136.25/1000)*24 = 3.27 กิโลวัตต์ต่อวัน
ไฟฟ้าที่ถูกใช้เวลาไม่ได้ทำไมนิ่ง: (60.41/1000)*24 = 1.4 กิโลวัตต์ต่อวัน
ความแตกต่าง: 1.82 กิโลวัตต์ต่อวัน
ตัวเลขเหล่านี้บ่งชี้ให้บางส่วนของความต้องการไฟฟ้าที่เพิ่มขึ้นจากการทำไมนิงบิตคอยน์บนคอมพิวเตอร์ที่ติดเชื้อโดย ZeroAccess เครื่องเดียว เราสามารถคาดการณ์ตัวเลขเหล่านี้ออกมาได้ในกรณีที่เกิดขึ้นกับเครื่องไป 1.9 ล้านเครื่อง แล้วดูว่าค่าใช้จ่ายทั้งหมดที่เกิดขึ้นจากบอทเน็ตทั้งหมดนี้จะเป็นเท่าไหร่
ถ้าคิดค่าไฟฟ้าที่กิโลวัตต์ละ 0.162 เหรียญ แล้วมันจะเสียค่าใช้จ่าย 0.29 เหรียญในการทำไมนิ่ง(mining)บนเครื่องที่ติดบอทเครื่องเดียวตลอด 24 ชั่วโมง แต่ตัวเลขนี้เมื่อคูณด้วย 1.9 ล้านสำหรับบ็อตเน็ตทั้งหมดก็จะเห็นว่ามีการใช้ไฟฟ้าถึง 3,458,000 กิโลวัตต์(3,458 เมกะวัตต์ ซึ่งเป็นไฟฟ้าที่เพียงพอสำหรับใช้งานในบ้าน 111,000 บ้านในแต่ละวัน
ปริมาณของพลังงานนี้มากกว่า Moss Landing สถานีจ่ายไฟฟ้าที่ใหญ่ที่สุดในแคลิฟอร์เนียที่สามารถผลิตได้ 2,484 เมกะวัตต์ และจะมาพร้อมกับค่าไฟฟ้าที่ 560,887 เหรียญต่อวัน แม้จะมีค่าไฟฟ้าทั้งหมดนี้จะสร้างมูลค่าของบิตคอยน์เพียง 2165 เหรียญต่อวัน ด้วยผลบวกเหล่านี้มันจะไม่ทำเงินมากนักจากการทำไมนิงบิตคอยน์แบบถ้าคุณต้องจ่ายค่าไฟเอง แต่ถ้าบิตคอยน์ถูกทำไมนิงเพื่อให้คนอื่นๆ จ่ายค่าไฟฟ้าให้ ภาพของมันก็จะเปลี่ยนแปลงไปอย่างสมบูรณ์และกลายเป็นสิ่งที่น่าสนใจอย่างมาก
หยุดบอทเน็ต P2P เป็นเรื่องยาก แต่ใช่ว่าจะเป็นไปไม่ได้
จากตัวอย่างการศึกษาครั้งนี้ครั้งนี้ได้แสดงให้เห็นว่าแม้จะเป็นสถาปัตยกรรม P2P ของบอทเน็ต ZeroAccess จะมีความซับซ้อน แต่เราก็ยังคงสามารถตัดการติดต่อของบอทส่วนใหญ่ได้ ซึ่งหมายความว่าบอทเหล่านี้จะไม่สามารถรับคำสั่งใดๆ จากเจ้าของบอทได้ และเป็นการตัดทอนความสามารถของบอทเน็ตทั้งในการแพร่กระจายคำสั่ง และการปรับปรุง หรือสร้างรายได้ใหม่ในขณะที่ไซแมนเทคได้ทำงานร่วมกับ ISP และ CERTsทั่วโลก เพื่อแบ่งปันข้อมูลและช่วยกำจัดคอมพิวเตอร์ที่ติดเชื้อ ยังได้สร้างอินโฟกราฟิกที่สรุปข้อเท็จจริงและตัวเลขที่สำคัญเกี่ยวกับโทรจัน หรือ บอท ที่ชือว่า ZeroAccess