เมื่อเครื่องคอมพิวเตอร์ติดมัลแวร์ (Malware) และมีการติดต่อไปยัง C&C เซิร์ฟเวอร์

          ระวังภัยเมื่อเครื่องคอมพิวเตอร์อยู่ภายใต้การควบคุมและมีการติดต่อไปยัง C&C เซิร์ฟเวอร์ (Command and Control Server) ในปัจจุบันอาชญากรทางคอมพิวเตอร์ (Hacker) มีการเปลี่ยนแปลงวิธีการโจมตี และใช้วิธีการโจมตีในรูปแบบใหม่ๆ มากขึ้น รวมทั้งการเจาะระบบเพื่อควบคุมอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตไปทำเป็น “BOT” เพื่อสร้างเครือข่าย “BOTNET” มาใช้ในการโจมตีทางไซเบอร์ เช่น ใช้เป็นฐานในการโจมตีเป้าหมายโดยวิธี Denial of Service (Dos Attack) เพื่อทำให้ระบบหรือเว็บไซต์ล่ม เป็นต้น ซึ่งนอกจากจะส่งผลกระทบต่ออุปกรณ์คอมพิวเตอร์ที่ใช้งาน ยังอาจจะส่งผลทำให้ผู้ใช้งานหรือหน่วยงาน/องค์กร มีความผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติมโดยพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ อีกด้วย

          สาเหตุที่ผู้ใช้งานคอมพิวเตอร์ ตกเป็นเหยื่อหรือเป็นส่วนหนึ่งของเครือข่าย “BOTNET” อาจเกิดจากการที่ผู้ใช้งานไม่ได้ “Patch” ระบบปฏิบัติการที่ใช้อยู่ ทำให้เกิดช่องโหว่ (Vulnerability) ที่แฮกเกอร์สามารถใช้เป็นช่องทางในการเข้ายึดเครื่องของเราได้ และหลังจากนั้นแฮกเกอร์จะทำการฝังมัลแวร์หรือโปรแกรมที่เป็นอันตราย เพื่อใช้เครื่องคอมพิวเตอร์ดังกล่าวเป็นเครื่องควบคุม (Control Server) และแพร่กระจาย “BOT”  ไปสู่เครื่องคอมพิวเตอร์อื่นๆ ในเครือข่าย และเมื่อได้จำนวน “BOT” ที่มากเพียงพอต่อการโจมตีแล้ว แฮกเกอร์จะส่งคำสั่งหรือสั่งการไปที่เครื่องควบคุมเพื่อให้เครือข่าย “BOTNET”  ไปทำการโจมตีเป้าหมายอีกที ดังนั้นจะเห็นได้ว่าการโจมตีในลักษณะนี้อาจจะดูซับซ้อน แต่ผลของการโจมตีก็มีความร้ายแรงและส่งผลกระทบเป็นอย่างมาก

รูปภาพแสดงรูปแบบและลักษณะของการโจมตี

 

          ผู้ใช้งานสามารถตรวจสอบและลดความเสี่ยงที่คอมพิวเตอร์ของผู้ใช้งานจะติดมัลแวร์หรือเป็นส่วนหนึ่งของเครือข่าย “BOTNET” ได้ดังนี้

  1. ตรวจสอบและอัปเดตระบบปฏิบัติการให้ใช้ patch ล่าสุด
  2. ตรวจสอบและอัปเดตซอฟต์แวร์อื่นๆที่ติดตั้งอยู่บนเครื่อง อาทิเช่น Adobe Reader, Adobe Flash Player, Microsoft Office เป็นต้น รวมถึงการดาวน์โหลดโปรแกรมจากผู้พัฒนาโดยตรง  และหลีกเลี่ยงการดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ
  3. ตรวจสอบและอัปเดตเบราว์เซอร์ Internet Explorer / Mozilla Firefox / Google Chrome รวมทั้งส่วนขยายหรือส่วนเสริมใด ๆ (Extensions) ของเบราว์เซอร์ที่ผู้ใช้งานได้ติดตั้งไว้
  4. ติดตั้งโปรแกรมป้องกันมัลแวร์ (Anti-malware) บนคอมพิวเตอร์ และอัปเดตโปรแกรมป้องกันมัลแวร์ (Anti-malware) ที่ใช้งานให้เป็นเวอร์ชันล่าสุด
  5. ระมัดระวังการใช้งานอุปกรณ์เชื่อมต่อทั้งหลาย เช่น แฟลชไดรฟ์ (USB) เป็นต้น ควรทำการสแกนไวรัสทุกครั้งก่อนใช้งาน
  6. ระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้น ไม่คลิกข้อความที่แสดงโฆษณาหรือหน้าต่าง pop-up ปลอม (Adware) บนเว็บไซต์ที่เยี่ยมชม เพราะจะเป็นการเริ่มดาวน์โหลดมัลแวร์ จะต้องเช็คและตรวจสอบก่อนคลิกเสมอ
  7. หลีกเลี่ยงการเปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยใดๆที่ส่งมาจากอีเมลที่เราไม่รู้จัก และต้องตรวจสอบทุกครั้งก่อนดาวน์โหลดหรือเปิดไฟล์ขึ้นมา

          และสำหรับผู้ใช้งานคอมพิวเตอร์ที่ได้มีการติดตั้งโปรแกรมป้องกันมัลแวร์ (Trend Micro OfficeScan) ของมหาวิทยาลัยไว้อยู่แล้ว สามารถตรวจสอบและตัดการเชื่อมต่อไปยัง C&C เซิร์ฟเวอร์ได้ดังนี้

  1. เปิดโปรแกรมโดยคลิกที่ icon เลือก "Open OfficeScan Agent Console"

  2. เลือก "Logs" icon

  3. ไปที่ Type และเลือก "C&C Callback"

  4. ตรวจสอบตรงช่อง Process

  5. กด Windows Key  + R บนคีย์บอร์ด

  6. พิมพ์ "resmon" และกด OK

  7. ไปที่ CPU tab และค้นหาชื่อ Process ที่พบจากโปรแกรมป้องกันมัลแวร์ (Trend Micro OfficeScan) แล้วคลิกขวาเลือก "Suspend Process"

 

ข้อมูลอ้างอิง
- Command And Control Servers : Things You Should Know by SecPod
- How to Identify a Mirai-Style DDoS Attack by Imperva
- The Anatomy of a DDoS Attack by Information Security Buzz
- What to do in case of Command and Control (C&C) callback detection by Trend Micro


หากมีข้อสงสัย หรือ ต้องการสอบถามข้อมูลเพิ่มเติมกรุณาติดต่อ
สำนักบริหารเทคโนโลยีสารสนเทศ จุฬาลงกรณ์มหาวิทยาลัย ชั้น 4 อาคารจามจุรี 3  โทรศัพท์ : 0-2218-3314  Email : help@chula.ac.th