១.លក្ខណៈទូទៅ
BotNET គឺជាបណ្តាញកុំព្យូទ័រជាច្រើនដែលត្រូវបានឆ្លងមេរោគ (មេរោគកុំព្យូទ័រ, keyloggers, និងកម្មវិធីមិនល្អដទៃទៀត) ហើយត្រូវបានគ្រប់គ្រងពីចម្ងាយដោយឧក្រិដ្ឋជន ដែលទូទៅដើម្បីផលប្រយោជន៍ហិរញ្ញវត្ថុ ឬក៏ដំណើរការវាយប្រហារទៅលើវេបសាយ ឬក៏ប្រព័ន្ធបណ្តាញ។ BotNET ក៏ត្រូវបានគេហៅថាជា “zombie computers” ដោយសារតែវាត្រូវបានគ្រប់គ្រងនឹងបញ្ជាពីចម្ងាយដោយអ្នកប្រើប្រាស់មិនបានដឹងខ្លួន ហើយឧក្រិដ្ឋជនដែលគ្រប់គ្រង BotNET នោះត្រូវបានគេស្គាល់ថាជា “bot herders” or “bot masters” ។
២.ដំណើរការ និងផលប៉ះពាល់
បើសិនជាកុំព្យូទ័របស់អ្នកត្រូវបានឆ្លងមេរោគរបស់ BotNET នោះវាធ្វើការទំនាក់ទំនង និងទទួលនូវពាក្យបញ្ជា អំពីអ្វីដែលវាត្រូវធ្វើពីម៉ាស៊ីនបញ្ជាមេ ដែលហៅថា “command and control server” ឬហៅកាត់ថា “C&C server” ឬ “C2 server” មានទីតាំងនៅគ្រប់ទីកន្លែងនៅជុំវិញពិភពលោក។ អ្វីដែលកុំព្យូទ័ររបស់អ្នកធ្វើ គឺពឹងផ្អែកទៅលើអ្វី ដែលឧក្រិដ្ឋជនចង់បាន។
BotNETs ជាច្រើនគឺត្រូវបានគេរៀបចំឡើង ក្នុងការលួចទិន្នន័យមានដូចជា password, social security numbers, credit card numbers, addresses, telephone numbers និងព័ត៌មានផ្ទាល់ខ្លួនដទៃទៀត។ បន្ទាប់មកទិន្នន័យទាំងនោះ ត្រូវបានប្រើប្រាស់ក្នុងគោលបំណងដូចជា ការលួចអត្តសញ្ញាណ (identity theft), ការបន្លំប័ណ្ណឥតទាន (credit card fraud), ផ្ញើរសារស្ពាម (spamming), វាយប្រហារវេបសាយ (website attacks), និងចម្លងមេរោគ (malware distribution)។
៣.វិធីសាស្រ្តការពារ
ការត្រួតពនិត្យមេរោគ Botnet អាចជាការពិបាក ព្រោះថាវាត្រូវបានបង្កើតឡើងដើម្បីប្រតិបត្តិដោយអ្នកប្រើប្រាស់មិនបានដឹងខ្លួន តែទោះយ៉ាងណាក៏ដោយមានសញ្ញាណទូទៅមួយចំនួនដែលកុំព្យូទ័រអាចឆ្លងមេរោគ BotNET (ដែលបានរាយខាងក្រោម) ។ ខណៈពេលដែលរោគសញ្ញាទាំងនេះជារឿយៗបង្ហាញពីការឆ្លងមេរោគ BotNET តែមួយចំនួនក៏អាចជារោគសញ្ញានៃការឆ្លងមេរោគ ឬបញ្ហាបណ្តាញហើយវាមិនគួរត្រូវបានគេយកជាសញ្ញាច្បាស់លាស់ដែលថាកុំព្យូទ័រត្រូវបានឆ្លងមេរោគ BotNET។
- ត្រួតពិនិត្យចរាចរណ៍បណ្តាញ IRC (IRC traffic) ដោយសារតែ botnets និង bot masters បានប្រើប្រាស់ IRC សម្រាប់ទំនាក់ទំនង
- ត្រួពិនិត្យចរាចរណ៍បណ្តាញ អំពីការភ្ជាប់ទៅកាន់ម៉ាស៊ីនបញ្ជាមេ (C&C server) ដែលបានកំណត់អត្តសញ្ញាណរួចរាល់
- ម៉ាស៊ីនជាច្រើនបានធ្វើសំណើដូចគ្នាទៅកាន់ DNS (DNS requests)
- មានចំនួនចរាចរណ៍ទិន្ន័យច្រើនតាមរយៈមធ្យោបាយ (protocol) SMTP (អាចជាការផ្ញើរសារ Spam)
- មាននូវការបង្ហាញផ្ទាំងសារផ្សេងៗដោយស្វ័យប្រវត្តិ (អាចជាការផ្នែកមួយនៃការកេងប្រវ័ញ click fraud)
- ម៉ាស៊ីនកុំព្យូទ័រដំណើការយឺត ធនធានរបស់កុំព្យូទ័រមានការកើនឡើងនូវការប្រើប្រាស់ CPU
- មានការកើនឡើងច្រើននូវលើចរាចរណ៍បណ្តាញជាពិសេសទៅកាន់ port 6667 (ប្រើសម្រាប់ IRC) port 25 (អាចមានការផ្ញើ រសារ spam) និង port 1080 (ប្រើប្រាស់ដោយ proxy servers)
មានវិធានការជាច្រើនដែលអ្នកប្រើប្រាស់អាចប្រើដើម្បីទប់ស្កាត់ការឆ្លងមេរោគ Botnet។ ចាប់តាំងពីការឆ្លងមេរោគ Botnet ជាធម្មតារីករាលដាលតាមរយៈមេរោគ ដែលវិធានការទាំងនេះភាគច្រើនផ្តោតទៅលើការការពារការឆ្លងមេរោគ។ ខាងក្រោមនេះជាការអនុវត្តដែលត្រូវបានណែនាំសម្រាប់ការបង្ការការឆ្លងចូលរបស់នៃមេរោគ Botnet រួមមាន៖
- Network baselining: គួរត្រួតពិនិត្យដំណើរការ និងចរាចរណ៍នៅលើបណ្តាញឱ្យបានជាប្រចាំដើម្បីដឹងអំពីដំណើរការមិនប្រក្រតី
- Software patches: កម្មវិធីទាំងអស់ត្រូវធ្វើបច្ចុប្បន្នភាពឱ្យបានទៀតទាត់ និងជាប្រចាំជាមួយនឹង security patches
- Vigilance: គួរតែបង្ហាត់បង្រៀនអ្នកប្រើប្រាស់ឲ្យយល់ពីហានិភ័យនៃ Botnet ឬ មេរោគផ្សេងទៀត ដូចជាត្រូវមានការប្រុងប្រយ័ត្នក្នុងការបើកសារអេឡិចត្រូនិច (Emails) ឬ សារ (messages) ការទាញយក និងបើកឯកសារភ្ជាប់ផ្សេងៗ (attachment) ឬចុចទៅលើ links ដែលមិនស្គាល់ប្រភព
- Anti-Botnet tools: កម្មវិធីនេះមានលទ្ធភាពក្នុងការត្រួតពិនិត្យ ទប់ស្កាត់ និងការការពារដោយធ្វើការស្វែងរក និងបិទមេរោគ Botnet មុននឹងឆ្លងចូលទៅក្នុងប្រព័ន្ធ។
៤.ឯកសារយោង
https://www.veracode.com/security/botnet
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.
