បណ្តាញ Necurs ដែលមានអនុភាពស្ថិតនៅក្នុងទិដ្ឋភាពគម្រាមកំហែងសន្តិសុខតាមអ៊ីនធឺរណិតចាប់តាំងពីពេលដែលវាត្រូវរកឃើញ។ នៅត្រីមាសទី៤ ឆ្នាំ២០១៧ របាយការណ៍ពី McAfee បង្ហើបថា Necurs រួមជាមួយ Gamut botnet សម្របសម្រួល ៩៧% នៃចរាចរណ៍ botnet spam ។ botnet ត្រូវប្រើជាចម្បងដើម្បីចែកចាយមេរោគផ្សេងៗក្នុងយុទ្ធនាការវាយប្រហារផ្សេងៗគ្នា។

ប្រវត្តិ

Necurs botnet ត្រូវដំណើរការដោយក្រុមតារាសម្ដែងគំរាមកំហែងដែលមានមូលដ្ឋាននៅប្រទេសរុស្ស៊ីដែលទទួលខុសត្រូវក្នុងការលួចលុយរាប់លានដុល្លារដោយប្រើប្រាស់ Dridex banking trojan និង Locky ransomware ថ្មីៗនេះ។ botnet នេះដំណើរការតាំងពីចុងឆ្នាំ២០១២។ ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ botnet ក្លាយជាបណ្តាញដ៏ធំមួយនៅលើពិភពលោកដែលអាចឆ្លងចូលម៉ាស៊ីនច្រើនជាង ៦លានគ្រឿងក្នុងពេលតែមួយ។

តើ botnet រីករាលដាលយ៉ាងដូចម្តេច?

ការស្រាវជ្រាវរបស់ Cisco Talos បង្ហាញថាពួកគេមានយុទ្ធនាការសារឥតការប្រហែល ៣២ខុសៗគ្នាដែលបញ្ជូនដោយ Necurs នៅចន្លោះខែសីហា ឆ្នាំ២០១៧ និងខែវិច្ឆិកា ឆ្នាំ២០១៧។ យុទ្ធនាការទាំងនេះត្រូវបង្កើតឡើងតាមរយៈសារអេឡិចត្រូនិចបន្លំដែលផ្ញើមកពីអាស័យដ្ឋាន IP ខុសគ្នាជិត ១,២លាននៅក្នុងប្រទេសនិងតំបន់ចំនួន ២០០។ ភាគច្រើននៃអាសយដ្ឋាន IP ទាំងនេះត្រូវគេរកឃើញថាប្រមូលផ្តុំនៅក្នុងប្រទេសឥណ្ឌា វៀតណាម និងអ៊ីរ៉ង់។យោងតាមរបាយការណ៍មួយអោយដឹងថា ក្រុមហ៊ុន McAfee កត់សម្គាល់ឃើញថា botnet គឺជាបណ្តាញសារឥតការទូទៅបំផុតទី២ បន្ទាប់ពី Gamut នៅត្រីមាសទី៣ ឆ្នាំ២០១៨។

ចាប់តាំងពីត្រូវបង្កើតឡើងក្នុងឆ្នាំ២០១២ ប្រតិបត្តិករ Necurs បង្វែរវិធីសាស្រ្តរបស់ពួកគេឱ្យទៀងទាត់ដើម្បីរកប្រាក់លើសកម្មភាពមិនសមហេតុផលរបស់ពួកគេ។ នៅឆ្នាំ២០១៣ Necurs ត្រូវគេស្គាល់ថាជាឧបករណ៍ប្ញសគល់ដែលត្រូវប្រើដើម្បីផ្សព្វផ្សាយ Zeus banking trojan។ នៅឆ្នាំ២០១៤ botnet ត្រូវវិវត្តដើម្បីចែកចាយមេរោគដូចជា CryptoLocker និង CryptoWall។ ការចែកចាយ CryptoWall តាមរយៈ Necurs ធ្វើឱ្យប្រតិបត្តិករទទួលប្រាក់ចំណេញដល់ទៅ ២៣៥លានដុល្លារនៅក្នុងឆមាសទីមួយនៃឆ្នាំ២០១៥ ។

នៅឆ្នាំ២០១៦ Necurs កាន់តែរឹងមាំដើម្បីចាប់ផ្តើមសកម្មភាពផ្ញើសារឥតការ។ វាត្រូវផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការមេរោគផ្សេងៗគ្នារួមទាំង Dridex banking trojan, Shifu, TeslaCrypt និង Locky ។ ដោយពេលនេះ botnet មានសមត្ថភាពគ្រប់គ្រាន់ក្នុងការឆ្លងដល់ម៉ាស៊ីនចំនួន ១លានគ្រឿង។នៅចុងឆ្នាំ២០១៦ ម៉ូឌុលថ្មីត្រូវបន្ថែមទៅនឹងសមត្ថភាពរបស់ Necurs botnet ។ នេះរួមបញ្ចូលទាំងសមត្ថភាព DDoS និងការអនុវត្តសេវាកម្មប្រូកស៊ី។ នៅខែមីនា ឆ្នាំ២០១៨ Necurs បន្ថែមមុខងាររុករក cryptocurrency ទៅក្នុងឃ្លាំងរបស់ខ្លួន ដូច្នេះអាចឱ្យអ្នកវាយប្រហារដាក់ពង្រាយមេរោគ Monero-mining ។

ក្រឡេកមើលស្ថាបត្យកម្មរបស់ Necur

Necurs botnet ប្រើស្ថាបត្យកម្មកូនកាត់ដើម្បីទំនាក់ទំនងជាមួយអ្នកវាយប្រហារ។ នេះរួមបញ្ចូលការប្រាស្រ័យទាក់ទង C២ ដោយផ្ទាល់និងការទំនាក់ទំនងពីម្នាក់ទៅម្នាក់ទៀត (P២P) ។ ខណៈពេលដែល botnet ប្រើម៉ាស៊ីនមេ C២ ផ្ទាល់ដើម្បីទទួលការណែនាំថ្មីឬព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ព័ត៌មានលំអិតអំពី C២s ថ្មីត្រូវចែកចាយតាមរយៈសំណួរដែន Domain Generation Algorithm (DGA) ឬ P២P។នៅពេលដែលរូបយន្តបាត់បង់ការភ្ជាប់ទៅនឹង C២s ដែលត្រូវគេស្គាល់ ពួកគេចាប់ផ្តើមយកចិត្តទុកដាក់ចំពោះអ្នកថ្មីដោយប្រើទំនាក់ទំនង DGA និង P២P។ នៅពេលរកឃើញ C២ ថ្មី រូបយន្តឈប់សួររកដែន DGA និងទាក់ទងមិត្តភក្តិ។

សេចក្តីសន្និដ្ឋាន

ដោយមើលឃើញពីសមត្ថភាពរបស់ Necurs អ្នកស្រាវជ្រាវជឿថាវាពិបាកក្នុងការដក Necurs botnet ចោលទាំងស្រុង។ ប្រតិបត្តិករកំពុងប្រើ botnet យ៉ាងសកម្មដើម្បីរកមេរោគផ្សេងៗនិងរកប្រាក់ចំណូលចន្លោះពី ១០០.០០០ដុល្លារទៅ ២០០,០០០ដុល្លារក្នុងមួយថ្ងៃនៅក្នុងសកម្មភាពឧក្រិដ្ឋ។