Ponmocup คือหนึ่งใน Botnet ที่ประสบความสำเร็จในการโจมตีมากที่สุดตัวหนึ่ง และมีอายุยาวนานที่สุดตัวหนึ่ง ซึ่งน่าจะทำเงินให้กับเจ้าของที่สันนิษฐานว่าเป็นชาวรัสเซียไปแล้วกว่าหลายล้านดอลลาร์ และทางทีมงานนักวิจัยจาก Fox IT ก็ได้ออกมาตีแผ่ถึงความร้ายจากของ Ponmocup ในงานประชุม BotConf ในสัปดาห์ที่ผ่านมาดังนี้
Ponmocup นี้ถูกค้นพบครั้งแรกในปี 2006 ภายใต้ชื่อของ Vundo หรือ Virtumonde ซึ่งเป็น Botnet ที่ประสบความสำเร็จเป็นอย่างมากในการแพร่กระจายและหลบซ่อนตัว และถูกพัฒนามาอย่างต่อเนื่องยาวนานจนถึงปัจจุบันโดยคาดว่าเป็นฝีมือของผู้ที่มีความรู้อย่างลึกซึ้งในสถาปัตยกรรมต่างๆ ของ Microsoft Windows เป็นอย่างดี และมีความเชี่ยวชาญทางด้านการพัฒนา Malware เป็นอย่างมาก รวมถึงยังมีความเป็นไปได้สูงที่จะเป็นชาวรัสเซียอีกด้วย
Ponmocup นี้ถูกพัฒนาด้วยภาษา C++ ให้กลายเป็น Malware Framework ที่สามารถรองรับเป้าหมายในการโจมตีรูปแบบใดๆ ก็ได้เหมือนกับ Malware ที่ซับซ้อนในปัจจุบัน แต่ตัว Ponmocup นี้ถูกใช้ให้มุ่งเน้นไปที่การหลบซ่อนให้พ้นจากการถูกตรวจจับ และอยู่รอดให้นานที่สุดเพื่อสร้างรายได้ให้แก่ผู้พัฒนาสูงสุด โดยจุดที่น่าสนใจคือผู้พัฒนา Ponmocup นี้ได้ทำการปรับปรุงมันอย่างจริงจัง ทำให้มันมี Plug-ins สำหรับเสริมความสามารถกว่า 25 ชุด และแตกกระจายตัวเองออกเป็น 4,000 กว่ารูปแบบเลยทีเดียว โดยมีข้อมูลที่น่าสนใจดังนี้
- ถูกตรวจจับโดย Anti-virus ได้ยาก เพราะมีการเข้ารหัสสำหรับแต่ละเครื่องที่ติดเชื้อแยกต่างหาก และยังติดตั้งตัวเองลงไปในตำแหน่งที่ต่างๆ กันสำหรับเหยื่อแต่ละรายอีกด้วย
- แพร่กระจายผ่านทาง Domain ที่ใช้ครั้งเดียวทิ้ง ทำให้ไม่สามารถตรวจจับจาก Domain ที่ใช้ในการแพร่กระจายได้
- สามารถขโมย Credential ของ FTP และ Facebook ได้ทันที เพื่อใช้เป็นฐานในการแพร่กระจายต่อไป
- มี Plug-in สำหรับใช้หาเงินจากโฆษณาแบบ Pay-per-Click (PPC) ที่ถูกพัฒนาอย่างต่อเนื่องมากที่สุด
- ถูกใช้โจมตีเหยื่อที่อาศัยอยู่ในประเทศที่พูดภาษาอังกฤษเป็นหลัก เพื่อเข้าถึงข้อมูลทางธนาคารและการลงทุนของเหยื่อ สำหรับใช้ในการขโมยเงิน โดยแรกเริ่มนี้ Ponmocup ถูกใช้โจมตี
- ทั้งประเทศที่ใช้ภาษาอังกฤษและประเทศแถบยุโรป จนในปี 2012 ก็ลดสโคปลงมาเหลือเพียงประเทศที่ใช้ภาษาอังกฤษเท่านั้น
- สามารถขโมยเงินจาก Bitcoin ได้
ในแง่มุมของการแพร่กระจายนั้น Ponmocup มีวิธีการในการแพร่กระจายที่หลากหลายมาก และแต่ละขั้นตอนในการโจมตีก็มีวิธีหลบหลีกการตรวจจับ Malware เฉพาะด้วย รวมถึงการทำ Reverse Engineering นั้นก็เป็นไปได้ยากมากเพราะแต่ละ String ที่ใช้ใน Malware นั้นถูกเข้ารหัสและถอดรหัสด้วย Algorithm ที่หลากหลาย โดยอ้างอิงจากข้อมูลต่างๆ ที่มีอยู่บนเครื่องของเหยื่อเอง
ทางด้านของ Backend ของระบบ Ponmocup สำหรับใช้ทำ Command and Control เองนี้ก็ถูกออกแบบเป็นอย่างดีให้มีทั้งความทนทาน, ประสิทธิภาพ และการหลบซ่อนตัวจากการตรวจจับเป็นอย่างดี โดยมีการใช้ Proxy Group ที่แตกต่างกันออกไปสำหรับเหยื่อแต่ละราย
อีกความน่าสนใจของ Ponmocup ก็คือวิธีการที่ใช้ในการหลบเลี่ยงการวิเคราะห์ Malware ที่ Ponmocup มีการตรวจสอบทั้งเครือข่ายของเหยื่อที่ติดไป, ตัวเครื่องของเหยื่อเอง, การทำ Virtualize, เครื่องมือที่มีติดตั้งอยู่ภายในเครื่องของเหยื่อ อีกทั้งยังมีการลองส่ง Payload ปลอมเพื่อตรวจสอบดูด้วยว่ามีการตรวจจับหรือไม่ ทั้งนี้ก็เพื่อให้ Ponmocup สามารถแอบแฝงตัวต่อไปและยากต่อการถูกตรวจจับให้ได้มากที่สุดนั่นเอง
รายละเอียดของ Ponmocup นี้ยาวมาก แต่ก็ยอมรับว่าอ่านสนุกมากเช่นกัน โดยสำหรับผู้ที่สนใจอยากอ่านเอกสารวิชาการฉบับเต็ม สามารถโหลดได้จาก
https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf เลยครับ อย่างน้อยสำหรับในไทยก็ยังถือเป็นโชคดีที่คงไม่โดน Botnet ตัวนี้เพราะเราไม่ได้ใช้ภาษาอังกฤษเป็นหลักกัน แต่โลกกนี้ก็ยังมีภัยอื่นๆ ให้ระวังกันอีกเยอะครับ ดังนั้นใช้คอมพิวเตอร์หรือ Smartphone ก็ควรใช้ด้วยความระมัดระวังครับ
ที่มา:
http://www.theregister.co.uk/2015/12/03/ponmocup_is_the_15_million_machine_botnet_youve_never_heard_of/
ที่มา2:
https://www.techtalkthai.com/ponmocup-one-of-the-largest-botnets-ever/ 
รู้จักกับ Ponmocup: Botnet ที่แพร่กระจายไปยังคอมพิวเตอร์กว่า 15 ล้านเครื่อง และขโมยเงินไปจากนับล้านบัญชี
Ponmocup นี้ถูกค้นพบครั้งแรกในปี 2006 ภายใต้ชื่อของ Vundo หรือ Virtumonde ซึ่งเป็น Botnet ที่ประสบความสำเร็จเป็นอย่างมากในการแพร่กระจายและหลบซ่อนตัว และถูกพัฒนามาอย่างต่อเนื่องยาวนานจนถึงปัจจุบันโดยคาดว่าเป็นฝีมือของผู้ที่มีความรู้อย่างลึกซึ้งในสถาปัตยกรรมต่างๆ ของ Microsoft Windows เป็นอย่างดี และมีความเชี่ยวชาญทางด้านการพัฒนา Malware เป็นอย่างมาก รวมถึงยังมีความเป็นไปได้สูงที่จะเป็นชาวรัสเซียอีกด้วย
Ponmocup นี้ถูกพัฒนาด้วยภาษา C++ ให้กลายเป็น Malware Framework ที่สามารถรองรับเป้าหมายในการโจมตีรูปแบบใดๆ ก็ได้เหมือนกับ Malware ที่ซับซ้อนในปัจจุบัน แต่ตัว Ponmocup นี้ถูกใช้ให้มุ่งเน้นไปที่การหลบซ่อนให้พ้นจากการถูกตรวจจับ และอยู่รอดให้นานที่สุดเพื่อสร้างรายได้ให้แก่ผู้พัฒนาสูงสุด โดยจุดที่น่าสนใจคือผู้พัฒนา Ponmocup นี้ได้ทำการปรับปรุงมันอย่างจริงจัง ทำให้มันมี Plug-ins สำหรับเสริมความสามารถกว่า 25 ชุด และแตกกระจายตัวเองออกเป็น 4,000 กว่ารูปแบบเลยทีเดียว โดยมีข้อมูลที่น่าสนใจดังนี้
- ถูกตรวจจับโดย Anti-virus ได้ยาก เพราะมีการเข้ารหัสสำหรับแต่ละเครื่องที่ติดเชื้อแยกต่างหาก และยังติดตั้งตัวเองลงไปในตำแหน่งที่ต่างๆ กันสำหรับเหยื่อแต่ละรายอีกด้วย
- แพร่กระจายผ่านทาง Domain ที่ใช้ครั้งเดียวทิ้ง ทำให้ไม่สามารถตรวจจับจาก Domain ที่ใช้ในการแพร่กระจายได้
- สามารถขโมย Credential ของ FTP และ Facebook ได้ทันที เพื่อใช้เป็นฐานในการแพร่กระจายต่อไป
- มี Plug-in สำหรับใช้หาเงินจากโฆษณาแบบ Pay-per-Click (PPC) ที่ถูกพัฒนาอย่างต่อเนื่องมากที่สุด
- ถูกใช้โจมตีเหยื่อที่อาศัยอยู่ในประเทศที่พูดภาษาอังกฤษเป็นหลัก เพื่อเข้าถึงข้อมูลทางธนาคารและการลงทุนของเหยื่อ สำหรับใช้ในการขโมยเงิน โดยแรกเริ่มนี้ Ponmocup ถูกใช้โจมตี
- ทั้งประเทศที่ใช้ภาษาอังกฤษและประเทศแถบยุโรป จนในปี 2012 ก็ลดสโคปลงมาเหลือเพียงประเทศที่ใช้ภาษาอังกฤษเท่านั้น
- สามารถขโมยเงินจาก Bitcoin ได้
ในแง่มุมของการแพร่กระจายนั้น Ponmocup มีวิธีการในการแพร่กระจายที่หลากหลายมาก และแต่ละขั้นตอนในการโจมตีก็มีวิธีหลบหลีกการตรวจจับ Malware เฉพาะด้วย รวมถึงการทำ Reverse Engineering นั้นก็เป็นไปได้ยากมากเพราะแต่ละ String ที่ใช้ใน Malware นั้นถูกเข้ารหัสและถอดรหัสด้วย Algorithm ที่หลากหลาย โดยอ้างอิงจากข้อมูลต่างๆ ที่มีอยู่บนเครื่องของเหยื่อเอง
ทางด้านของ Backend ของระบบ Ponmocup สำหรับใช้ทำ Command and Control เองนี้ก็ถูกออกแบบเป็นอย่างดีให้มีทั้งความทนทาน, ประสิทธิภาพ และการหลบซ่อนตัวจากการตรวจจับเป็นอย่างดี โดยมีการใช้ Proxy Group ที่แตกต่างกันออกไปสำหรับเหยื่อแต่ละราย
อีกความน่าสนใจของ Ponmocup ก็คือวิธีการที่ใช้ในการหลบเลี่ยงการวิเคราะห์ Malware ที่ Ponmocup มีการตรวจสอบทั้งเครือข่ายของเหยื่อที่ติดไป, ตัวเครื่องของเหยื่อเอง, การทำ Virtualize, เครื่องมือที่มีติดตั้งอยู่ภายในเครื่องของเหยื่อ อีกทั้งยังมีการลองส่ง Payload ปลอมเพื่อตรวจสอบดูด้วยว่ามีการตรวจจับหรือไม่ ทั้งนี้ก็เพื่อให้ Ponmocup สามารถแอบแฝงตัวต่อไปและยากต่อการถูกตรวจจับให้ได้มากที่สุดนั่นเอง
รายละเอียดของ Ponmocup นี้ยาวมาก แต่ก็ยอมรับว่าอ่านสนุกมากเช่นกัน โดยสำหรับผู้ที่สนใจอยากอ่านเอกสารวิชาการฉบับเต็ม สามารถโหลดได้จาก https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf เลยครับ อย่างน้อยสำหรับในไทยก็ยังถือเป็นโชคดีที่คงไม่โดน Botnet ตัวนี้เพราะเราไม่ได้ใช้ภาษาอังกฤษเป็นหลักกัน แต่โลกกนี้ก็ยังมีภัยอื่นๆ ให้ระวังกันอีกเยอะครับ ดังนั้นใช้คอมพิวเตอร์หรือ Smartphone ก็ควรใช้ด้วยความระมัดระวังครับ
ที่มา: http://www.theregister.co.uk/2015/12/03/ponmocup_is_the_15_million_machine_botnet_youve_never_heard_of/
ที่มา2: https://www.techtalkthai.com/ponmocup-one-of-the-largest-botnets-ever/