Sunday, February 25

กองทัพ Botnet คืออะไร

ธรรมชาติได้สร้างการมีชีวิต และองค์ประกอบของชีวิต คือ ดิน น้ำ ลม ไฟ และ อากาศ เกิดเป็นสิ่งมีชีวิตขึ้น ... ธรรมชาติ ได้สร้างเชื้อโรค ที่ทำให้ สิ่งมีชีวิตบางเผ่าพันธ์ เกิด ล้มเจ็บป่วย และเสียชีวิตได้ เชื้อโรคที่ว่า เรียกว่า "ไวรัส"
ในอีกทางหนึ่งมนุษย์ ซึ่งถือได้ว่าเป็นสิ่งมีชีวิต ที่ธรรมชาติสร้างสรรค์ขึ้น มนุษย์ต้องการชนะธรรมชาติ โดยการสร้างเทคโนโลยี ให้เหนือธรรมชาติ แต่ละด้าน ด้านหนึ่งเพื่อสร้างความเจริญทางอุตสาหกรรม เพื่อสร้างความบันเทิง และเพื่อการสื่อสาร อินเตอร์เน็ท ถือว่าเป็นเทคโนโลยี ที่มนุษย์สร้างสรรค์ขึ้น โยงใยความสัมพันธ์จากที่หนึ่งไปที่หนึ่ง โยงใยเป็นใยแมงมุมขนาดใหญ่ กระจายทั่วโลก ทุกคนสามารถสื่อสาร และรับข่าวสารได้อย่างทั่วถึง ผู้ที่ให้กำเนิด พบภัยคุกคาม เช่นกัน แต่เกิดบนโลกเสมือน ที่ธรรมชาติ ไม่ได้ลิขิตไว้ นั้นคือ ไวรัสคอมพิวเตอร์ แน่นอน ด้วยความหลากหลายพฤติกรรมการใช้งาน ไวรัสคอมพิวเตอร์ในยุคโบราณ พัฒนาความเก่งกาจ เหมือนปรับตัวให้ทันสมัย เพื่อยากแก่การป้องกัน ทำให้เกิดการแพร่กระจายพันธ์ไวรัสคอมพิวเตอร์ได้ ที่เรียกว่า worm หรือ หนอนคอมพิวเตอร์ ที่ความต้องการขโมยข้อมูล และ ความลับการใช้งาน เกิดเป็น spyware ที่ต้องการสร้างความสนใจ และแพร่กระจายข่าวสารที่เป็นขยะข้อมูล เรียกว่า Adware ทั้งหมดที่กล่าว ผมขอใช้ศัพท์ว่า Malware คือภาพรวมภัยคุกคามทางโปรแกรม
ผมเคยให้ความหมายของ Malware ในงานเปิดตัว Cyfence และงาน Netday ที่ มหาวิทยาลัยเกษตร ปีที่แล้ว ว่า
"Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit"

โปรแกรม ที่มีความไม่ปกติ นี้ ต้องการตัวนำทาง เพื่อต่อยอดความเสียหาย และยากแก่การควบคุมมากขึ้น ตัวนำ ที่ว่า นั่นคือ Botnet นี้เอง
Botnet เกิดจาก เครื่องคอมพิวเตอร์ ที่ตกเป็นเหยื่อหลายๆ เครื่องเพื่อทำการใด การหนึ่ง ที่ก่อให้เกิดความเสียหายทางข้อมูล บนเครือข่ายคอมพิวเตอร์ได้ คอมพิวเตอร์ที่เป็นเหยือ เพียง เครื่องเดียว เรียกว่า Zombie ซึ่ง Zombie หลายตัว รวมกันเรียก Botnet

สะพานเชื่อมภัยคุกคามทางเครือข่ายคอมพิวเตอร์ คือ Botnet นั้นเอง

Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) ,
DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) ,
และ Phishing (การหลอกหลวงในโลก Cyber)

ภัยคุกคามดังกล่าว ต้องอาศัย คน ที่อยู่เบื้องหลัง การก่อกวนในครั้งนี้ เป็นผู้บังคับ
เมื่อคนที่รู้เท่าไม่ถึงการณ์ ติด โปรแกรมที่ไม่ปกติ(Malware) จึงทำให้เกิด Zombie
คนรู้เท่าไม่ถึงการณ์ ที่ติด Malware จำนวนมาก กลายเป็น กองทัพ Botnet
ตอนนี้เราทราบถึง การกำเนิดของ กองทัพ Botnet แล้วล่ะ มีคำถามต่อไปว่า Botnet เหล่านี้ เมื่อเกิดขึ้นแล้ว จะสร้างความเสียหาย ได้อย่างไร
Botnet ต้องการที่อยู่อาศัย และที่อยู่อาศัย Botnet หายใจในอินเตอร์เน็ท บนเครือข่ายคอมพิวเตอร์ และรอคำสั่ง จากคนที่มีเจตนา เพื่อ สร้างภัยคุกคามให้เกิดขึ้น ตามจุดหมายที่ ตนต้องการ
แหล่งควบคุม Botnet ส่วนใหญ่เกิดใน IRC เหตุผลที่ส่วนใหญ่เป็น IRC ผมให้ข้อสังเกต ดังนี้ครับ
เหตุผลประการที่หนึ่ง เนื่องจาก Protocol ในการติดต่อ IRC เป็นการติดต่อแบบ UDP ซึ่งมีความเร็ว และไม่ต้องการความถูกต้องนักในการสื่อสาร ทำให้เครื่องที่เป็น Zombie แทบไม่รู้ตัวว่าตนเองได้เชื่อมต่อ Server IRC ที่อยู่ห่างไกล ได้เลย
เหตุผลประการที่สอง IRC เป็นการสื่อสาร ในยุคก่อน ที่ส่วนใหญ่ Hackers ในอดีตมักใช้เป็นแหล่งแลกเปลี่ยนเทคนิค และหลากหลายเรื่อง ที่อิสระมาก เนื่องจากเป็นแหล่งที่ยากในการควบคุม ทราบได้ยากในการค้นหาตัวตนที่แท้จริง
สำหรับมิตรรัก ที่รู้จักผมดี ก็ทราบว่า ตัวผมเองก็เริ่มชีวิตอินเตอร์เน็ท จาก IRC และมีบทความเกี่ยวกับ IRC มาก่อนเช่นกัน เพื่อนเก่า คนคุ้นเคย nickname SAMURAl อ่านว่า "ซามูไร" แต่ในความเป็นจริง ตัว i ตัวหลัง ใช้ตัว L ตัวเล็ก หลีกเลี่ยงพวกชอบ /whois เขียนชื่อผมผิดล่ะก็ whois ไม่เจอ : ) ปัจจุบันไม่มีแล้วครับ ผมไม่ได้เข้า IRC มาหลายปีแล้ว
IRC มีความน่าสนใจ ทั้งการใช้ชีวิต และภัยคุกคามบนโลกเสมือน จากอดีต จนถึงปัจจุบัน และในอนาคต
พื้นฐาน IRC (Internet relay chat) เป็น ติดต่อแบบ Client to Server เพื่อใช้ในการติดต่อสื่อสาร โดยผ่าน Protocol โดยผ่าน ช่วง port 6666 - 7000 อาจจะมากกว่านี้ หรือน้อยกว่า ได้ขึ้นอยู่ผู้ให้บริการตั้งตนเองเป็น IRC Server ส่วน IRC Client เป็นซอฟต์แวร์ที่ติดตั้งในเครื่องผู้ใช้งาน ที่ได้รับความนิยม ได้แก่ Pirch , Mirc , Xchat และอื่นๆ ภัยคุกคามทาง IRC มีมาโดยตลอดไม่ว่าเป็นการหลอกลวงจากคนด้วยกันเอง และ ภัยคุกคามทางเทคนิคชั้นสูง ที่ใช้ Zombie ไปผู้สร้างให้เกิดความเสียหาย
ลักษณะการใช้งาน IRC ประกอบด้วย
Channels หรือเรียกว่า ห้องสนทนา ที่เกิดจากการสร้างของ ผู้ลงทะเบียนสร้างห้อง เมื่อก่อน ก็คือ คนเข้าห้องและตั้งชื่อห้อง คนแรก Server ที่ยังคงอนุรักษณ์วิธีนี้คือ EFnet
และ Server ที่คนไทยนิยม อดีต ปัจจุบัน ได้แก่ dalnet , Webmaster และ Thai IRC เป็นต้น
Nickname ชื่อเสมือน ที่ผู้ใช้ ต้องการให้เป็น จะเป็นชื่ออะไรก็ได้ ตามอักขระ ที่โปรแกรม IRC Server รองรับ
Bot หุ่น คอมพิวเตอร์ Script ที่ใช้ในการเฝ้าห้อง ควบคุม Server แทนผู้ให้บริการ IRC Server หากเป็น Bot ที่มากับ IRC Server มักจะเกิดขึ้นตามคำสั่งที่เขียนไว้พร้อมกับการสร้าง IRC Server แต่หากเป็น Bot ที่เกิดจากสร้างผู้ใช้งานอื่น มักจะเขียนด้วยภาษา TCL/TK หรือ C และอื่นๆ ได้เช่นกัน สมัยก่อนมี Bot สำหรับเฝ้าห้องหลายยี่ห้อ ได้แก่ TNT , Eggdrop และอื่นๆ และกล่าวได้ว่าการสร้าง Eggdrop เมื่อก่อน เกิดเป็นแนวทางการสร้างเครื่องมือบังคับ Zombie ให้ทำตามคำสั่งที่ต้องการ ได้แก่ Agobot, GTBot, SDBot, Evilbot และอื่นๆ


ภาพการทำงาน Botnet เมื่อใช้ IRC Server เป็นช่องทางในการสร้างภัยคุกคาม

http://lockdowncorp.com/bots/a5.jpg
ภาพแสดงถึงการสั่งงาน Zombie ผ่าน IRC โดยผู้สั่งคือ Wh0r3 ซึ่งใช้ชื่อเป็นภาษา Jagon
ลักษณะการสั่ง Zombie ให้ทำการ DDoS ที่อื่นๆ
[###FOO###] <~nickname> .scanstop
[###FOO###] <~nickname> .ddos.syn 151.49.8.XXX 21 200
[###FOO###] <-[XP]-18330> [DDoS]: Flooding: (151.49.8.XXX:21) for 200 seconds
[...]
[###FOO###] <-[2K]-33820> [DDoS]: Done with flood (2573KB/sec).
[###FOO###] <-[XP]-86840> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62444> [DDoS]: Done with flood (1327KB/sec).
[###FOO###] <-[2K]-38291> [DDoS]: Done with flood (714KB/sec).
[...]
[###FOO###] <~nickname> .login 12345
[###FOO###] <~nickname> .ddos.syn 213.202.217.XXX 6667 200
[###FOO###] <-[XP]-18230> [DDoS]: Flooding: (213.202.217.XXX:6667) for 200 seconds.
[...]
[###FOO###] <-[XP]-18320> [DDoS]: Done with flood (0KB/sec).
[###FOO###] <-[2K]-33830> [DDoS]: Done with flood (2288KB/sec).
[###FOO###] <-[XP]-86870> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62644> [DDoS]: Done with flood (1341KB/sec).
[###FOO###] <-[2K]-34891> [DDoS]: Done with flood (709KB/sec).
[...]


ภาพโปรแกรม Agobot ที่ใช้สั่งงาน botnet
botnet มีความโปรดปรานเครื่องคอมพิวเตอร์ที่อ่อนแอ ภัยคุกคามสมัยใหม่ เรามักจะเข้าใจผิดว่าต้องป้องกันเครือข่ายชั้นนอกให้ปลอดภัย แต่ลืมว่าสิ่งสำคัญที่สุด คือเครื่องคอมพิวเตอร์ของคุณเอง หากอ่อนแอ และไม่ได้รับการเอาใจใส่ วันหนึ่งอาจกลายเป็น Zombie และเกิดเป็นส่วนหนึ่งของ กองทัพ Botnet ได้เช่นกัน
วิธีป้องกัน Botnet ที่ดีที่สุดคือการป้องกันเครื่องคอมพิวเตอร์ ที่ตนเองรับผิดชอบอยู่ให้ดีที่สุด มาถึงตรงนี้ ขอหยุดพักก่อน พรุ่งนี้เช้า มีบรรยายที่ กสท และจะกลับมาเล่า Botnet กันต่อ เพราะเรื่องยังไม่จบดี โปรดติดตามต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: