Botnet คือ?

botnet” เกิดจากคำว่า”robot” และ “network“คือเครือข่ายของคอมพิวเตอร์ที่รวบรวมมาจากการติดมัลแวร์ ซึ่งควบคุมจากศูนย์กลางโดย
bot herder หรือ zombie master สามารถสั่งbot หรือ zombie computer ทุกเครื่องให้กระทำการต่างๆ
เช่น การโจมตี
DDOS , Brute force , และอื่นๆโดยที่คอมพิวเตอร์ที่เป็น bot ไม่รู้ตัวหรือและไม่ได้รับความยินยอมมาก่อน

 

Botnet มีหลักการควบคุมอย่างไร?

Bot herders ควบคุม botnet โดยใช้ Model มี 2 ประเภทคือ
1. Centralized, ClientServer Model ควบคุมโดยปกมี bot herder server เพียง 1 เครื่องไปยัง bot แต่ก็สามารถเพิ่มเครื่อง subherders, หรือ proxies ได้ อย่างไรก็ตามคำสั่งจะยังคงตาม bot herder server ในการสั่งการครั้งเดียวไปยัง botnet ทั้งหมดเรียกว่า commandandcontrol (C&C) ผ่าน2 ช่องทางคือ IRC (Internet Relay Chat) botnet และ HTTP botnet อย่างไรก็ตามวิธีนี้เหมือนจะดูล้าหลังอาจโดนตรวจพบได้ง่าย และไม่มีประสิทธิภาพ

centralize

 

2. Decentralized, PeertoPeer Model (new generation of botnets)

โยนหน้าการทำงานไม่ว่าจะเป็นคำสั่งหรือข้อมูลต่างๆให้กับ bots เป็นตัวทำหน้าที่หลักด้วยเลย ทำให้ไม่มีการพึ่งพาและคุยกับ C&C Server โดยตรง แต่ตราบใดที่ bot herder สามารถติดต่อ bots เครื่องใดก็ได้ พวกเขาสามารถกระจายคำสั่งไปยัง botเครื่องอื่นได้เสมอเพราะ botห ทุกตัวทำหน้าที่เป็นทั้ง server/client ในตัว ด้วยการเชื่อมต่อแบบ P2P เช่นนี้ ทำให้การระบุ bot herder ได้ยาก ทำให้ประสิทธิภาพดีกว่าการ Centralized,ClientServer Model นั่นเองครับ

decentralize

Botnet สามารถควบคุมอะไรได้บ้าง?

เกือบทุกอุปกรณ์ ที่สามารถต่อ internet

1.     คอมพิวเตอร์แบบดั้งเดิม เช่น เดสก์ท็อปและแล็ปท็อป ไม่ว่าจะลง Window OS, Linux, MAC OS ก็ตาม

2.  มือถือ สมาร์ทโฟน แท็บเล็ต ก็เคยพบว่ามีการโจมตีให้เป็น botnet

3.    Infrastructure Hardware อุปกรณ์งานระบบต่างๆ เช่น Router, Switch, Firewall, ETC ก็สามารถถูกสร้างให้เป็น bot เช่นกัน

4.    Internet of Things (IoT) อุปกรณ์ IoT อะไรก็ตามที่ต่อไปยัง internet ได้ เช่น smartwatch, smart tv, ลำโพง, กล้องวงจรปิด เป็นต้น


Botnet ขั้นตอนการโจมตี?

1.   Prep and Expose คือ Hacker จะทำการหาช่องโหว่ทุกช่องทางไม่ว่าจะเป็น website, email, หรือ patch และเตรียม malware botnet ตามช่องทางดังกล่าว

2.   Infect and Grow คือ ทำให้เหยื่อติด malware ตามวิธีการที่ได้เตรียมไว้ และส่งข้อมูลไปแจ้ง C&C Server หรือ bot ตัวอื่นที่ติดแบบ P2P

3.   Activate คือสถานภาพที่  bot herder สามารถดำเนินการต่างๆที่เครื่อง bot ไม่ว่าจะเป็นการติดตั้งโปรแกรม, อ่านเขียน ระบบ, เก็บข้อมูล, ดูพฤติกรรม,ส่งไฟล์ข้อมูล, รวมถึงหาช่องโหวเครื่องอื่นๆ ใน network  

 

Botnets แรงจูงใจ?

ไม่ว่าจะเป็นเงิน หรือความพอใจส่วนตัว

1.   เงิน= โจมตีเพื่อขโมยเงินหรือผลตอบแทนเช่นเอา bot ไปขายให้แก่darkweb, ขุด crypto หาเหรียญ

2.   ข้อมูล= ข้อมูลต่างๆ บัตรเครดิต ข้อมูลส่วนบุคคล

3.   ทำลายล้าง= ทำลายเว็บไซต์ หรือระบบเครือข่าย

 

Botnets แบ่งรูปแบบการโจมตีเป็นกี่ประเภท?

1.   Phishing

– Botnet สามารถใช้เพื่อแจกจ่ายมัลแวร์ผ่านemail phishing เนื่องจาก botnet เป็นแบบอัตโนมัติและประกอบด้วยบอทจำนวนมาก อารมณ์เหมือนมีอีเมล์ อยู่ 100-ล้าน address การโจมตีก็ดำเนินการอัตโนมัติเรื่อยๆ จนครบ

2.   Distributed DenialofService (DDoS) attack
การโจมตีที่ทำให้เป้าหมายได้รับ traffic จนระบบ overloading  ไม่ว่าจะเป็น online web site และ web service ระหว่างตกเป็นเป้าหมายระบบของเหยื่อหรือเป้าหมายอาจจะใช้งานไม่ได้ชั่วคราว
ใน layer network (L3) การโจมตี DDos จะมีการโจมตีแบบ  SYN floods, UDP floods, DNS amplification และอื่นๆ ส่วนใน layer Application-layer (L7) รูปแบบโจมตีจะเป็น HTTP floods, Slowloris หรือ RUDY attacks, zero-day attacks, และอื่นๆ

3.   Brute force attacks

ถ้าภาษาบ้านๆ ก็คือการโจมตีแบบสุ่มรหัสเพื่อเข้าไปใช้ประโยชน์เช่น account facebook เพื่อ hack กลั่นแกล้ง account Netflix เพื่อเอาไว้ดูฟรีประมาณนั้น โดยใช้ข้อมูลจาก Dictionaryattacks และ credential stuffing

4.   Spam Bot

พวกโจมตีถ้าเคยเห็นกันบ่อยๆ ก็ websites อย่าง facebook แชร์ spam เข้ามาในกลุ่มถ้า forum ก็เจอโพสถล่มเละเทะ , blog ก็คอมเม้น spam ใต้ post เราเป็นต้น

การป้องกัน Botnet

1.      ฝึกอบรมความตระหนักด้านความปลอดภัย ให้แก่ผู้ใช้/พนักงาน พวก link, email, หรือ file ที่อันตราย

2.      ทำการ update ในส่วนของ software หรือ patch OS เสมอ จะช่วยให้การเกิดช่องโหว่ของระบบน้อยลง

3.      ใช้ two-factor authentication เพื่อป้องกันการโจมตี brute force  

4.      ทำการ update รหัสผ่านสม่ำเสมอและคาดเดาได้ยาก

5.      ใช้ antivirus ที่มีคุณภาพ หรือ IDS เสริมความปลอดภัยร่วมด้วย

 


Ref:

https://www.paloaltonetworks.com/cyberpedia/whatisbotnet

https://usa.kaspersky.com/resourcecenter/threats/botnetattacks

https://www.crowdstrike.com/cybersecurity101/botnets/