บ็อตเน็ตเป็นวิธีการทั่วไปและมีประสิทธิภาพในการโจมตีทางอินเทอร์เน็ต บ็อตเน็ตจึงเป็นภัยคุกคามอย่างใหญ่หลวงต่อความปลอดภัยทางอินเทอร์เน็ตในปัจจุบัน บทความนี้จะแนะนำแนวคิดและวิธีการควบคุมของบ็อตเน็ต รวมถึงบ็อตเน็ตที่มีชื่อเสียงทั้ง 6 ตัว ฉันหวังว่าหลังจากอ่านบทความนี้ ฉันสามารถมีความเข้าใจเบื้องต้นเกี่ยวกับบ็อตเน็ตได้
บ็อตเน็ตคืออะไร? บ็อตเน็ตเป็นเครือข่ายที่ใช้วิธีการแพร่ระบาดอย่างน้อยหนึ่งวิธีเพื่อทำให้โฮสต์จำนวนมากติดไวรัสโปรแกรมบอท (ซอมบี้) ดังนั้นจึงสร้างเครือข่ายที่สามารถควบคุมแบบหนึ่งต่อหลายระหว่างคอนโทรลเลอร์และโฮสต์ที่ติดไวรัส
บางครั้งพวกเขาถูกเรียกว่า "กองทัพบอท" และอาชญากรไซเบอร์สามารถใช้สำหรับกิจกรรมที่หลากหลาย รวมถึงการส่งสแปมและดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย
สามารถเพิ่มอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตลงในบ็อตเน็ตได้ ซึ่งรวมถึงแล็ปท็อป เดสก์ท็อป สมาร์ทโฟน เครื่องเล่น DVR เราเตอร์ไร้สาย และอุปกรณ์ Internet of Things (IoT) อื่นๆ
บ็อตเน็ตถูกควบคุมโดยเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ซึ่งเป็นคอมพิวเตอร์ที่ควบคุมโดยแฮกเกอร์หรือกลุ่มแฮ็กเกอร์ที่สามารถส่งคำสั่งไปยังบ็อตเน็ตในบ็อตเน็ตและสามารถรับข้อมูลที่รวบรวมโดยบ็อตเน็ตได้ ตัวควบคุมของ botnet เรียกว่า Bot Botder หรือ Bot master
การถือกำเนิดของ IoT (Internet of Things) ทำให้สามารถเพิ่มอุปกรณ์ในบ็อตเน็ตได้มากขึ้น นอกจากนี้ ยังเป็นที่น่าสังเกตว่าอุปกรณ์ IoT จำนวนมากในขณะนี้มีความปลอดภัยไม่เพียงพอ และส่วนใหญ่ต้องใช้รหัสผ่านเริ่มต้นและเฟิร์มแวร์ที่อัปเดตได้ยาก ซึ่งหมายความว่าขนาดของบ็อตเน็ตสามารถเติบโตได้ง่ายในอนาคต
บ็อตเน็ตควบคุมคอมพิวเตอร์ของคุณอย่างไร บ็อตเน็ตสามารถควบคุมได้โดยตัวควบคุมบ็อตมาสเตอร์ได้หลายวิธี
ตามเนื้อผ้า บ็อตเน็ตอาจถูกควบคุมโดยเซิร์ฟเวอร์ C&C ในกรณีนี้ อุปกรณ์บอทจะกลับไปยังตำแหน่งที่กำหนดไว้ล่วงหน้าและรอคำสั่งจากเซิร์ฟเวอร์ ตัวควบคุม Bot จะส่งคำสั่งไปยังเซิร์ฟเวอร์ จากนั้นส่งต่อคำสั่งไปยังเครือข่าย Bot จากนั้นผลลัพธ์หรือข้อมูลที่รวบรวมจะถูกส่งกลับไปยังเซิร์ฟเวอร์กลางนั้นโดยอุปกรณ์ Bot
อย่างไรก็ตาม การมีเซิร์ฟเวอร์แบบรวมศูนย์ทำให้บ็อตเน็ตเสี่ยงต่อการโจมตีและการพยายามก่อวินาศกรรม ด้วยเหตุนี้ ตัวควบคุมบ็อตเน็ตจำนวนมากจึงใช้โมเดลแบบเพียร์ทูเพียร์ (P2P) เป็นหลัก
ในบ็อตเน็ต P2P อุปกรณ์บอทที่เชื่อมต่อถึงกันจะแบ่งปันข้อมูลโดยไม่รายงานไปยังเซิร์ฟเวอร์กลาง กล่าวคือ อุปกรณ์บอทที่ติดไวรัสทั้งส่งและรับคำสั่ง อุปกรณ์บอทเหล่านี้จะตรวจสอบที่อยู่ IP แบบสุ่มเพื่อติดต่อกับอุปกรณ์ที่ติดไวรัสอื่นๆ เมื่อติดต่อแล้ว อุปกรณ์บ็อตจะตอบกลับด้วยข้อมูล เช่น เวอร์ชันซอฟต์แวร์และรายการอุปกรณ์ที่รู้จัก หากบอทที่ติดต่อมีซอฟต์แวร์เวอร์ชันที่ใหม่กว่า บอตอื่นจะอัปเดตตัวเองเป็นเวอร์ชันนั้นโดยอัตโนมัติ วิธีนี้ช่วยให้บ็อตเน็ตเติบโตและทันสมัยอยู่เสมอโดยไม่ต้องติดต่อกับเซิร์ฟเวอร์กลาง ทำให้หน่วยงานบังคับใช้กฎหมายหรือหน่วยงานอื่นๆ กำจัดบ็อตเน็ตได้ยากขึ้น
การใช้บ็อตเน็ต การใช้งานบ็อตเน็ตที่พบบ่อยที่สุดสองประการคือการส่งแคมเปญสแปมและดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย
อุปกรณ์บอทยังสามารถใช้เพื่อส่งมัลแวร์ทางอีเมล และมัลแวร์ประเภทต่างๆ อาจมีเป้าหมายต่างกัน รวมถึงการรวบรวมข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส ซึ่งอาจรวมถึงรหัสผ่าน ข้อมูลบัตรเครดิต และข้อมูลอื่นๆ ที่สามารถขายได้ในตลาดมืด ข้อมูลที่ละเอียดอ่อนของบริษัทอาจเสี่ยงต่อการถูกขโมยหากอุปกรณ์ในเครือข่ายองค์กรกลายเป็นอุปกรณ์บอท
อุปกรณ์บ็อตมักใช้สำหรับการคลิกหลอกลวง เยี่ยมชมเว็บไซต์เพื่อสร้างทราฟฟิกปลอมและสร้างรายได้ให้กับเจ้าของอุปกรณ์บอท และมักใช้สำหรับการขุด bitcoin เช่นกัน
6 บ็อตเน็ตที่น่าอับอาย บ็อตเน็ตจำนวนมากปรากฏขึ้นมาในประวัติศาสตร์ แต่บางบ็อตเน็ตก็มีอิทธิพลมากกว่าตัวอื่นๆ นี่คือ 6 บ็อตเน็ตที่มีชื่อเสียงมาก
Bagle
Bagle เป็นหนึ่งในบ็อตเน็ตแรกของโลกซึ่งใช้สำหรับแคมเปญสแปมขนาดใหญ่ เปิดตัวในปี 2547 และประกอบด้วยอุปกรณ์คอมพิวเตอร์ Microsoft Windows เป็นหลัก Bagle เป็นเวิร์มที่ติดไวรัสคอมพิวเตอร์มากกว่า 200,000 เครื่อง และคาดว่าไวรัสจะส่งสแปมมากกว่า 10% ทั่วโลก
Conficker
Conficker เป็นเวิร์มคอมพิวเตอร์ที่มีชื่อเสียงซึ่งปรากฏตัวครั้งแรกในปลายปี 2551 และได้รบกวนเจ้าหน้าที่รักษาความปลอดภัยเครือข่าย
Conficker เวอร์ชันแรกปรากฏขึ้นในเดือนพฤศจิกายน 2008 และแพร่กระจายอย่างรวดเร็วผ่านการแชร์เครือข่ายและไดรฟ์ USB ที่ติดไวรัส นับครั้งได้ทำให้คอมพิวเตอร์ติดไวรัสมากถึง 11 ล้านเครื่อง สิ่งนี้ทำให้ Conficker เป็นบ็อตเน็ตขนาดใหญ่ที่สามารถสร้างความเสียหายได้มากมายจากการโจมตี DDoS ขนาดใหญ่ หากผู้โจมตีต้องการใช้เพื่อโจมตี อย่างไรก็ตาม มันไม่ได้ทำการโจมตีใดๆ และแม้กระทั่งตอนนี้ความตั้งใจที่แท้จริงของผู้สร้างที่อยู่เบื้องหลัง Conficker ยังคงเป็นปริศนา และไม่เคยมีความชัดเจนว่ากลุ่มดังกล่าวมาจากกลุ่มใด
ค่าใช้จ่ายในการทำความสะอาด Conficker นั้นอยู่ที่ประมาณว่าสูงถึง $9 พันล้าน และน่าประหลาดใจที่คอมพิวเตอร์ที่ติด Conficker ยังคงมีอยู่ แม้ว่าจะมีการเปิดตัวมาเกือบทศวรรษแล้วก็ตาม
ZeroAccess
หนึ่งในบ็อตเน็ตที่ใหญ่ที่สุดที่รู้จัก บ็อตเน็ต ZeroAccess เกิดขึ้นในปี 2556 ในฐานะบ็อตเน็ตของกองทัพซึ่งมีคอมพิวเตอร์เกือบ 2 ล้านเครื่อง เป็นบ็อตเน็ตที่จัดการได้ยากเนื่องจากใช้โมเดลเซิร์ฟเวอร์ P2P + C&C แต่นักวิจัยจากไซแมนเทคได้ตรวจสอบบ็อตเน็ตในปี 2556 และพบว่าอุปกรณ์บอทเกือบ 500,000 เครื่องมีแซนด์บ็อกซ์ (แซนด์บ็อกซ์ของเบราว์เซอร์)
ZeroAccess ถูกใช้เป็นหลักในการคลิกหลอกลวงและการขุด bitcoin และด้วยขนาดของบ็อตเน็ต จึงถือว่าสร้างความมั่งคั่งให้กับผู้ควบคุมที่อยู่ด้านหลังในช่วงที่กิจกรรมสูงสุด
เกมโอเวอร์ Zeus
Gameover Zeus เป็นบ็อตเน็ตขนาดใหญ่ที่ใช้เพื่อขโมยข้อมูลธนาคารของผู้คนเป็นหลัก บ็อตเน็ตมีอุปกรณ์คอมพิวเตอร์มากถึง 1 ล้านเครื่อง คาดว่าบ็อตเน็ตถูกใช้เพื่อขโมยมากกว่า $100 ล้าน
Gameover Zeus เป็นตัวแปรหนึ่งของมัลแวร์ Trojan.ZBot และยังคงใช้งานอยู่ในปัจจุบัน Gameover Zeus เป็นรูปแบบที่ซับซ้อนของมัลแวร์ดั้งเดิมที่สามารถเปิดใช้งานการฉ้อโกงทางการเงินขนาดใหญ่ได้โดยการจี้เซสชันธนาคารออนไลน์ของเหยื่อหลายพันราย เช่นเดียวกับแคมเปญมัลแวร์อีเมลในปัจจุบัน โดยปกติแล้วจะส่งผ่านอีเมลขาออก เมื่อผู้ใช้ที่ติดไวรัสเข้าเยี่ยมชมเว็บไซต์ของธนาคาร มัลแวร์จะสกัดกั้นเซสชัน เข้าถึงข้อมูลของเหยื่อและขโมยเงินของพวกเขา
แม้ว่า Gameover Zeus จะถูกลบออกในปี 2014 แต่มัลแวร์ Zeus จำนวนมากยังคงทำงานอยู่ในปัจจุบัน
Necurs
Necurs เป็นหนึ่งในบ็อตเน็ตที่ใช้งานมากที่สุดและเป็นที่รู้จักมากที่สุดในขณะนี้ เป็นหนึ่งในผู้จัดจำหน่ายอีเมลที่เป็นอันตรายรายใหญ่ที่สุดในปี 2559 และยังส่งเสริมแคมเปญ Locky ransomware ในปริมาณมาก อย่างไรก็ตาม ทางบริษัทได้หยุดดำเนินการอย่างลึกลับเมื่อวันที่ 24 ธันวาคม 2559 และยังคงไม่มีการใช้งานเป็นเวลาเกือบสามเดือน ในช่วงเวลานี้ อัตราอีเมลที่เป็นอันตรายที่ตรวจพบโดย Symantec (หน่วยงานด้านความปลอดภัยทางไซเบอร์) ลดลงอย่างมาก
กิจกรรมกลับมาดำเนินต่อในวันที่ 20 มีนาคม และไซแมนเทคได้บล็อกอีเมลที่เป็นอันตรายเกือบ 2 ล้านฉบับในวันนั้นเพียงวันเดียว อย่างไรก็ตาม นับตั้งแต่กลับมา Necurs ไม่ได้มุ่งเน้นไปที่การส่งแคมเปญอีเมลที่เป็นอันตราย แต่ได้ส่งแคมเปญสแปมสต็อก "สูบและทิ้ง" เริ่มส่งแคมเปญประเภทนี้ก่อนที่จะหายไปในเดือนธันวาคม และได้เพิ่มความพยายามที่จะดำเนินการดังกล่าวต่อไปนับตั้งแต่กลับมา
จุดประสงค์ในการส่งสแปมหุ้นคือการเพิ่มราคาหุ้นในมือของผู้ส่งอีเมลโดยสนับสนุนให้เหยื่อซื้อหุ้นของบริษัทเดียวกัน เมื่อราคาหุ้นพุ่งขึ้นจากการซื้อหุ้นของเหยื่อ นักส่งสแปมจะขายหุ้นทั้งหมด ทำให้ราคาหุ้นตกต่ำลงอย่างมากและทำให้ผู้ที่ตกเป็นเหยื่อขายหุ้นของตนน้อยลง
มิไร
คนส่วนใหญ่คงคุ้นเคยกับ Mirai ซึ่งทำลายเครือข่ายทั่วโลกในช่วงเดือนสุดท้ายของปี 2016 โดยใช้อุปกรณ์ IoT ที่หลากหลายเพื่อเริ่มการโจมตี DDoS บนเป้าหมายต่างๆ ทั่วโลก
เป้าหมายเริ่มต้นของการโจมตี DDoS ของ Mirai ในเดือนกันยายนคือเว็บไซต์ของผู้ให้บริการโฮสต์ OVH และ Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัย สิ่งเหล่านี้เป็นการโจมตี DDoS ขนาดใหญ่ ซึ่งในเวลานั้นใหญ่ที่สุดเท่าที่เคยมีมาที่ 1 Tbps และ 620 Gbps ตามลำดับ ในปลายเดือนกันยายน Mirai ได้เผยแพร่การอัปเดตเกี่ยวกับชุมชนแฮ็คออนไลน์ HackForums และสามสัปดาห์ต่อมาได้เปิดตัวการโจมตี DDoS ครั้งใหญ่กับ Dyn ผู้ให้บริการ DNS เพื่อบล็อกผู้ใช้ที่เข้าถึงเว็บไซต์ที่มีชื่อเสียงหลายแห่ง รวมถึง Netflix, Twitter และ PayPal
ในปลายเดือนพฤศจิกายน เครือข่าย Mirai แบบต่างๆ ใช้ประโยชน์จากช่องโหว่ในเราเตอร์ในเยอรมนีเพื่อเข้าถึงอินเทอร์เน็ต ซึ่งนำไปสู่การโจมตีผู้ใช้อินเทอร์เน็ตตามบ้านเกือบ 1 ล้านคน ช่องโหว่เดียวกันนี้ส่งผลกระทบต่อเราเตอร์ของผู้ใช้อินเทอร์เน็ตตามบ้านในไอร์แลนด์ด้วย
บ็อตเน็ต Mirai ประกอบด้วยเราเตอร์และกล้องรักษาความปลอดภัยที่ติดไวรัสเป็นส่วนใหญ่ และเหตุการณ์นี้เน้นว่าอุปกรณ์ IoT นั้นหละหลวมมากเมื่อพูดถึงเรื่องความปลอดภัย
5. ภาพรวม
บ็อตเน็ตมีมานานแล้วและเติบโตขึ้นเนื่องจากเทคโนโลยีมีการพัฒนาอย่างต่อเนื่อง ด้วยการเติบโตของอุปกรณ์ IoT และจำนวนอุปกรณ์ที่เกี่ยวข้องกับอินเทอร์เน็ตที่เพิ่มขึ้น เรื่องราวของการพัฒนาบ็อตเน็ตอาจยังไม่สิ้นสุด
ที่เกี่ยวข้อง 
ไทย 
English 
Français 
日本語 
Deutsch (Sie) 
Italiano 
Polski 
Português 
Bahasa Indonesia 
Español
บอทเน็ตคืออะไร? มันทำงานอย่างไร? 6 Botnet ที่โด่งดังที่สุด
บ็อตเน็ตเป็นวิธีการทั่วไปและมีประสิทธิภาพในการโจมตีทางอินเทอร์เน็ต บ็อตเน็ตจึงเป็นภัยคุกคามอย่างใหญ่หลวงต่อความปลอดภัยทางอินเทอร์เน็ตในปัจจุบัน บทความนี้จะแนะนำแนวคิดและวิธีการควบคุมของบ็อตเน็ต รวมถึงบ็อตเน็ตที่มีชื่อเสียงทั้ง 6 ตัว ฉันหวังว่าหลังจากอ่านบทความนี้ ฉันสามารถมีความเข้าใจเบื้องต้นเกี่ยวกับบ็อตเน็ตได้
บ็อตเน็ตคืออะไร?
บ็อตเน็ตเป็นเครือข่ายที่ใช้วิธีการแพร่ระบาดอย่างน้อยหนึ่งวิธีเพื่อทำให้โฮสต์จำนวนมากติดไวรัสโปรแกรมบอท (ซอมบี้) ดังนั้นจึงสร้างเครือข่ายที่สามารถควบคุมแบบหนึ่งต่อหลายระหว่างคอนโทรลเลอร์และโฮสต์ที่ติดไวรัส
บางครั้งพวกเขาถูกเรียกว่า "กองทัพบอท" และอาชญากรไซเบอร์สามารถใช้สำหรับกิจกรรมที่หลากหลาย รวมถึงการส่งสแปมและดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย
สามารถเพิ่มอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตลงในบ็อตเน็ตได้ ซึ่งรวมถึงแล็ปท็อป เดสก์ท็อป สมาร์ทโฟน เครื่องเล่น DVR เราเตอร์ไร้สาย และอุปกรณ์ Internet of Things (IoT) อื่นๆ
บ็อตเน็ตถูกควบคุมโดยเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ซึ่งเป็นคอมพิวเตอร์ที่ควบคุมโดยแฮกเกอร์หรือกลุ่มแฮ็กเกอร์ที่สามารถส่งคำสั่งไปยังบ็อตเน็ตในบ็อตเน็ตและสามารถรับข้อมูลที่รวบรวมโดยบ็อตเน็ตได้ ตัวควบคุมของ botnet เรียกว่า Bot Botder หรือ Bot master
การถือกำเนิดของ IoT (Internet of Things) ทำให้สามารถเพิ่มอุปกรณ์ในบ็อตเน็ตได้มากขึ้น นอกจากนี้ ยังเป็นที่น่าสังเกตว่าอุปกรณ์ IoT จำนวนมากในขณะนี้มีความปลอดภัยไม่เพียงพอ และส่วนใหญ่ต้องใช้รหัสผ่านเริ่มต้นและเฟิร์มแวร์ที่อัปเดตได้ยาก ซึ่งหมายความว่าขนาดของบ็อตเน็ตสามารถเติบโตได้ง่ายในอนาคต
บ็อตเน็ตควบคุมคอมพิวเตอร์ของคุณอย่างไร
บ็อตเน็ตสามารถควบคุมได้โดยตัวควบคุมบ็อตมาสเตอร์ได้หลายวิธี
ตามเนื้อผ้า บ็อตเน็ตอาจถูกควบคุมโดยเซิร์ฟเวอร์ C&C ในกรณีนี้ อุปกรณ์บอทจะกลับไปยังตำแหน่งที่กำหนดไว้ล่วงหน้าและรอคำสั่งจากเซิร์ฟเวอร์ ตัวควบคุม Bot จะส่งคำสั่งไปยังเซิร์ฟเวอร์ จากนั้นส่งต่อคำสั่งไปยังเครือข่าย Bot จากนั้นผลลัพธ์หรือข้อมูลที่รวบรวมจะถูกส่งกลับไปยังเซิร์ฟเวอร์กลางนั้นโดยอุปกรณ์ Bot
อย่างไรก็ตาม การมีเซิร์ฟเวอร์แบบรวมศูนย์ทำให้บ็อตเน็ตเสี่ยงต่อการโจมตีและการพยายามก่อวินาศกรรม ด้วยเหตุนี้ ตัวควบคุมบ็อตเน็ตจำนวนมากจึงใช้โมเดลแบบเพียร์ทูเพียร์ (P2P) เป็นหลัก
ในบ็อตเน็ต P2P อุปกรณ์บอทที่เชื่อมต่อถึงกันจะแบ่งปันข้อมูลโดยไม่รายงานไปยังเซิร์ฟเวอร์กลาง กล่าวคือ อุปกรณ์บอทที่ติดไวรัสทั้งส่งและรับคำสั่ง อุปกรณ์บอทเหล่านี้จะตรวจสอบที่อยู่ IP แบบสุ่มเพื่อติดต่อกับอุปกรณ์ที่ติดไวรัสอื่นๆ เมื่อติดต่อแล้ว อุปกรณ์บ็อตจะตอบกลับด้วยข้อมูล เช่น เวอร์ชันซอฟต์แวร์และรายการอุปกรณ์ที่รู้จัก หากบอทที่ติดต่อมีซอฟต์แวร์เวอร์ชันที่ใหม่กว่า บอตอื่นจะอัปเดตตัวเองเป็นเวอร์ชันนั้นโดยอัตโนมัติ วิธีนี้ช่วยให้บ็อตเน็ตเติบโตและทันสมัยอยู่เสมอโดยไม่ต้องติดต่อกับเซิร์ฟเวอร์กลาง ทำให้หน่วยงานบังคับใช้กฎหมายหรือหน่วยงานอื่นๆ กำจัดบ็อตเน็ตได้ยากขึ้น
การใช้บ็อตเน็ต
การใช้งานบ็อตเน็ตที่พบบ่อยที่สุดสองประการคือการส่งแคมเปญสแปมและดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย
อุปกรณ์บอทยังสามารถใช้เพื่อส่งมัลแวร์ทางอีเมล และมัลแวร์ประเภทต่างๆ อาจมีเป้าหมายต่างกัน รวมถึงการรวบรวมข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส ซึ่งอาจรวมถึงรหัสผ่าน ข้อมูลบัตรเครดิต และข้อมูลอื่นๆ ที่สามารถขายได้ในตลาดมืด ข้อมูลที่ละเอียดอ่อนของบริษัทอาจเสี่ยงต่อการถูกขโมยหากอุปกรณ์ในเครือข่ายองค์กรกลายเป็นอุปกรณ์บอท
อุปกรณ์บ็อตมักใช้สำหรับการคลิกหลอกลวง เยี่ยมชมเว็บไซต์เพื่อสร้างทราฟฟิกปลอมและสร้างรายได้ให้กับเจ้าของอุปกรณ์บอท และมักใช้สำหรับการขุด bitcoin เช่นกัน
6 บ็อตเน็ตที่น่าอับอาย
บ็อตเน็ตจำนวนมากปรากฏขึ้นมาในประวัติศาสตร์ แต่บางบ็อตเน็ตก็มีอิทธิพลมากกว่าตัวอื่นๆ นี่คือ 6 บ็อตเน็ตที่มีชื่อเสียงมาก
Bagle
Bagle เป็นหนึ่งในบ็อตเน็ตแรกของโลกซึ่งใช้สำหรับแคมเปญสแปมขนาดใหญ่ เปิดตัวในปี 2547 และประกอบด้วยอุปกรณ์คอมพิวเตอร์ Microsoft Windows เป็นหลัก Bagle เป็นเวิร์มที่ติดไวรัสคอมพิวเตอร์มากกว่า 200,000 เครื่อง และคาดว่าไวรัสจะส่งสแปมมากกว่า 10% ทั่วโลก
Conficker
Conficker เป็นเวิร์มคอมพิวเตอร์ที่มีชื่อเสียงซึ่งปรากฏตัวครั้งแรกในปลายปี 2551 และได้รบกวนเจ้าหน้าที่รักษาความปลอดภัยเครือข่าย
Conficker เวอร์ชันแรกปรากฏขึ้นในเดือนพฤศจิกายน 2008 และแพร่กระจายอย่างรวดเร็วผ่านการแชร์เครือข่ายและไดรฟ์ USB ที่ติดไวรัส นับครั้งได้ทำให้คอมพิวเตอร์ติดไวรัสมากถึง 11 ล้านเครื่อง สิ่งนี้ทำให้ Conficker เป็นบ็อตเน็ตขนาดใหญ่ที่สามารถสร้างความเสียหายได้มากมายจากการโจมตี DDoS ขนาดใหญ่ หากผู้โจมตีต้องการใช้เพื่อโจมตี อย่างไรก็ตาม มันไม่ได้ทำการโจมตีใดๆ และแม้กระทั่งตอนนี้ความตั้งใจที่แท้จริงของผู้สร้างที่อยู่เบื้องหลัง Conficker ยังคงเป็นปริศนา และไม่เคยมีความชัดเจนว่ากลุ่มดังกล่าวมาจากกลุ่มใด
ค่าใช้จ่ายในการทำความสะอาด Conficker นั้นอยู่ที่ประมาณว่าสูงถึง $9 พันล้าน และน่าประหลาดใจที่คอมพิวเตอร์ที่ติด Conficker ยังคงมีอยู่ แม้ว่าจะมีการเปิดตัวมาเกือบทศวรรษแล้วก็ตาม
ZeroAccess
หนึ่งในบ็อตเน็ตที่ใหญ่ที่สุดที่รู้จัก บ็อตเน็ต ZeroAccess เกิดขึ้นในปี 2556 ในฐานะบ็อตเน็ตของกองทัพซึ่งมีคอมพิวเตอร์เกือบ 2 ล้านเครื่อง เป็นบ็อตเน็ตที่จัดการได้ยากเนื่องจากใช้โมเดลเซิร์ฟเวอร์ P2P + C&C แต่นักวิจัยจากไซแมนเทคได้ตรวจสอบบ็อตเน็ตในปี 2556 และพบว่าอุปกรณ์บอทเกือบ 500,000 เครื่องมีแซนด์บ็อกซ์ (แซนด์บ็อกซ์ของเบราว์เซอร์)
ZeroAccess ถูกใช้เป็นหลักในการคลิกหลอกลวงและการขุด bitcoin และด้วยขนาดของบ็อตเน็ต จึงถือว่าสร้างความมั่งคั่งให้กับผู้ควบคุมที่อยู่ด้านหลังในช่วงที่กิจกรรมสูงสุด
เกมโอเวอร์ Zeus
Gameover Zeus เป็นบ็อตเน็ตขนาดใหญ่ที่ใช้เพื่อขโมยข้อมูลธนาคารของผู้คนเป็นหลัก บ็อตเน็ตมีอุปกรณ์คอมพิวเตอร์มากถึง 1 ล้านเครื่อง คาดว่าบ็อตเน็ตถูกใช้เพื่อขโมยมากกว่า $100 ล้าน
Gameover Zeus เป็นตัวแปรหนึ่งของมัลแวร์ Trojan.ZBot และยังคงใช้งานอยู่ในปัจจุบัน Gameover Zeus เป็นรูปแบบที่ซับซ้อนของมัลแวร์ดั้งเดิมที่สามารถเปิดใช้งานการฉ้อโกงทางการเงินขนาดใหญ่ได้โดยการจี้เซสชันธนาคารออนไลน์ของเหยื่อหลายพันราย เช่นเดียวกับแคมเปญมัลแวร์อีเมลในปัจจุบัน โดยปกติแล้วจะส่งผ่านอีเมลขาออก เมื่อผู้ใช้ที่ติดไวรัสเข้าเยี่ยมชมเว็บไซต์ของธนาคาร มัลแวร์จะสกัดกั้นเซสชัน เข้าถึงข้อมูลของเหยื่อและขโมยเงินของพวกเขา
แม้ว่า Gameover Zeus จะถูกลบออกในปี 2014 แต่มัลแวร์ Zeus จำนวนมากยังคงทำงานอยู่ในปัจจุบัน
Necurs
Necurs เป็นหนึ่งในบ็อตเน็ตที่ใช้งานมากที่สุดและเป็นที่รู้จักมากที่สุดในขณะนี้ เป็นหนึ่งในผู้จัดจำหน่ายอีเมลที่เป็นอันตรายรายใหญ่ที่สุดในปี 2559 และยังส่งเสริมแคมเปญ Locky ransomware ในปริมาณมาก อย่างไรก็ตาม ทางบริษัทได้หยุดดำเนินการอย่างลึกลับเมื่อวันที่ 24 ธันวาคม 2559 และยังคงไม่มีการใช้งานเป็นเวลาเกือบสามเดือน ในช่วงเวลานี้ อัตราอีเมลที่เป็นอันตรายที่ตรวจพบโดย Symantec (หน่วยงานด้านความปลอดภัยทางไซเบอร์) ลดลงอย่างมาก
กิจกรรมกลับมาดำเนินต่อในวันที่ 20 มีนาคม และไซแมนเทคได้บล็อกอีเมลที่เป็นอันตรายเกือบ 2 ล้านฉบับในวันนั้นเพียงวันเดียว อย่างไรก็ตาม นับตั้งแต่กลับมา Necurs ไม่ได้มุ่งเน้นไปที่การส่งแคมเปญอีเมลที่เป็นอันตราย แต่ได้ส่งแคมเปญสแปมสต็อก "สูบและทิ้ง" เริ่มส่งแคมเปญประเภทนี้ก่อนที่จะหายไปในเดือนธันวาคม และได้เพิ่มความพยายามที่จะดำเนินการดังกล่าวต่อไปนับตั้งแต่กลับมา
จุดประสงค์ในการส่งสแปมหุ้นคือการเพิ่มราคาหุ้นในมือของผู้ส่งอีเมลโดยสนับสนุนให้เหยื่อซื้อหุ้นของบริษัทเดียวกัน เมื่อราคาหุ้นพุ่งขึ้นจากการซื้อหุ้นของเหยื่อ นักส่งสแปมจะขายหุ้นทั้งหมด ทำให้ราคาหุ้นตกต่ำลงอย่างมากและทำให้ผู้ที่ตกเป็นเหยื่อขายหุ้นของตนน้อยลง
มิไร
คนส่วนใหญ่คงคุ้นเคยกับ Mirai ซึ่งทำลายเครือข่ายทั่วโลกในช่วงเดือนสุดท้ายของปี 2016 โดยใช้อุปกรณ์ IoT ที่หลากหลายเพื่อเริ่มการโจมตี DDoS บนเป้าหมายต่างๆ ทั่วโลก
เป้าหมายเริ่มต้นของการโจมตี DDoS ของ Mirai ในเดือนกันยายนคือเว็บไซต์ของผู้ให้บริการโฮสต์ OVH และ Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัย สิ่งเหล่านี้เป็นการโจมตี DDoS ขนาดใหญ่ ซึ่งในเวลานั้นใหญ่ที่สุดเท่าที่เคยมีมาที่ 1 Tbps และ 620 Gbps ตามลำดับ ในปลายเดือนกันยายน Mirai ได้เผยแพร่การอัปเดตเกี่ยวกับชุมชนแฮ็คออนไลน์ HackForums และสามสัปดาห์ต่อมาได้เปิดตัวการโจมตี DDoS ครั้งใหญ่กับ Dyn ผู้ให้บริการ DNS เพื่อบล็อกผู้ใช้ที่เข้าถึงเว็บไซต์ที่มีชื่อเสียงหลายแห่ง รวมถึง Netflix, Twitter และ PayPal
ในปลายเดือนพฤศจิกายน เครือข่าย Mirai แบบต่างๆ ใช้ประโยชน์จากช่องโหว่ในเราเตอร์ในเยอรมนีเพื่อเข้าถึงอินเทอร์เน็ต ซึ่งนำไปสู่การโจมตีผู้ใช้อินเทอร์เน็ตตามบ้านเกือบ 1 ล้านคน ช่องโหว่เดียวกันนี้ส่งผลกระทบต่อเราเตอร์ของผู้ใช้อินเทอร์เน็ตตามบ้านในไอร์แลนด์ด้วย
บ็อตเน็ต Mirai ประกอบด้วยเราเตอร์และกล้องรักษาความปลอดภัยที่ติดไวรัสเป็นส่วนใหญ่ และเหตุการณ์นี้เน้นว่าอุปกรณ์ IoT นั้นหละหลวมมากเมื่อพูดถึงเรื่องความปลอดภัย
5. ภาพรวม
บ็อตเน็ตมีมานานแล้วและเติบโตขึ้นเนื่องจากเทคโนโลยีมีการพัฒนาอย่างต่อเนื่อง ด้วยการเติบโตของอุปกรณ์ IoT และจำนวนอุปกรณ์ที่เกี่ยวข้องกับอินเทอร์เน็ตที่เพิ่มขึ้น เรื่องราวของการพัฒนาบ็อตเน็ตอาจยังไม่สิ้นสุด
กระทู้ที่เกี่ยวข้อง:
ที่เกี่ยวข้อง