นักวิจัยช่วยกันทลายเครือข่ายเซิร์ฟเวอร์ที่ร่วมกระจายมัลแวร์

นักวิจัยจาก Abuse.ch, Brillant และ Proofpoint ได้ร่วมกันทลายเครือข่ายของเซิร์ฟเวอร์ C&C เบื้องหลังของ EITest หรือเครือข่ายของเซิร์ฟเวอร์จำนวนมากที่ถูกแทรกซึมโดยการติดตั้ง Backdoor เพื่อดูดทราฟฟิคปกติของเว็บไซต์และ Redirect ผู้ใช้ไปยังเพจอันตรายเป็นต้น (Traffic Distribution System)

Credit: Tashatuvango/ShutterStock

 

ประวัติของ EITest มีดังนี้

  • ปรากฏในตลาดของอาชญากรในปี 2011 เริ่มแรกผู้ก่อตั้งหวังใช้เพื่อผลักดันทราฟฟิคไปยัง Exploit Kit (ซอฟต์แวร์ที่รันอยู่บนเซิร์ฟเวอร์ที่ค้นหาและใช้ช่องโหว่บนเครื่องผู้ใช้งานเพื่ออัปโหลดและรันโค้ดอันตรายกับเหยื่อ) ของตนที่ชื่อ Glazunov ที่ใช้เพื่อติดตั้ง Trojan ที่ชื่อ Zaccess แต่ก็ไม่ได้เป็นผลด้านการคุกคามเท่าไหร่นัก
  • ปี 2014 ทีมงานจึงปล่อย EITest ให้กับผู้เขียนมัลแวร์รายอื่นมาเช่าใช้ต่อไป หลังจากนั้นมา EITest ก็มีส่วนแพร่กระจาย Ransomware อย่างนับไม่ถ้วน หรือ มีส่วนในการส่งผู้ใช้ไปยังไซต์ที่ทำ Social Engineering

จากการศึกษาของ Proofpoint พบว่า EITest ได้เสนอขายทราฟฟิคที่ปล้นมาได้จากไซต์ที่ถูกแฮ็กสนนราคาประมาณ $20 เหรียญต่อผู้ใช้งาน 1 พันคน โดยขั้นต่ำของการซื้อขายอยู่ที่ 5 หมื่นคน ต่อมาเมื่อต้นปี 2017 นักวิจัยจาก BrillantIT ได้เข้าไปศึกษาการทำงานภายใน EITest ทั้งหมด จากการเข้ายึดโดเมนหนึ่งชื่อ Stat-dns.com จนในที่สุดหลังจากวิเคราะห์การไหลของทราฟฟิคที่มีเหยื่อกว่า 2 ล้านคนรายวันมาจากเว็บไซต์ที่ถูกแฮ็กกว่า 52,000 แห่งและส่วนใหญ่เป็น WordPress

อย่างไรก็ตามหลังจากทลายเครือข่ายแล้วก็ไม่มีความพยายามของทีม EITest ที่จะนำระบบกลับมาอีกเลย แต่ก็ยังมีเครือข่ายลักษณะนี้ในตลาดอีก เช่น Fobos, Nyay และ Seamless เป็นต้น

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-take-down-network-of-52-000-infected-servers-distributing-malware/

 

from:https://www.techtalkthai.com/researchers-sinkholed-eitest-network-of-distributing-malware/

Advertisements