Nontawatt

ตามล่ามัลแวร์

บทความนี้ไม่มีเจตนาทำให้หน่วยงานใดหน่วยงานหนึ่งเสื่อมเสียแต่อย่างใด แต่ต้องการเขียนเพื่อเป็นกรณีศึกษาจากเหตุการณ์จริง กับการติดเชื้อมัลแวร์ที่เป็นโครงข่ายอาชญากรรมข้ามชาติ (Cyber Crime) ที่ทำให้หน่วยงานภาครัฐ เอกชน รวมถึงสถาบันการศึกษาของประเทศไทยต้องตกเป็นเหยื่อกับเครือข่ายองค์กรอาชญากรรมคอมพิวเตอร์นี้

จึงตั้งใจเพื่อเขียนขึ้นเพื่อเป็นการสร้างความตระหนักถึงผู้ดูแลระบบถึงปัญหาเครื่องแม่ข่ายที่มีช่องโหว่และมีการเข้าถึงระบบโดยแฮกเกอร์สามารถนำมัลแวร์มาแพร่เชื้อได้ ดังนั้นหากเป็นเว็บไซต์ที่สามารถเข้าถึงได้ทั่วไปอาจทำให้ผู้ใช้งานทั่วไปติดเชื้อตามกันได้

อีกทั้งเป็นแนวสืบสวนหาร่องรอยเส้นทางของมัลแวร์ถึงผลกระทบในการติดเชื้อรวมถึงช่องโหว่ที่ทำให้มัลแวร์เข้ามาติดในเครื่องคอมพิวเตอร์
อ่านเพื่อความบันเทิงและได้ความรู้

++++++++++++++++++++++++++
มัลแวร์ คืออะไร
++++++++++++++++++++++++++
คือ โปรแกรมไม่พึ่งประสงค์ที่ทำให้เครื่องคอมพิวเตอร์ผู้ใช้งาน (รวมถึงอุปกรณ์มือถือสมัยใหม่ ได้แก่ สมาร์ทโฟน) ต้องสูญเสียความต่อเนื่องในการใช้งาน (Availability) , ความถูกต้องของข้อมูลและการสื่อสาร (Integrity) และสูญเสียความลับของข้อมูล (Confidentiality)

+++++++++++++++++++++++++++++++
เริ่มต้น จากการพบข้อมูล
+++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
เริ่มการวิเคราะห์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
http://school.obec.go.th/trimitvararam/picture/
และ
http://school.obec.go.th/pikul/2-%A2%E9%CD%C1%D9%C5%BA%D8%A4%A4%C5/23-%BA%D8%A4%C5%D2%A1%C3.html

(อันตรายหากเครื่องคอมพิวเตอร์คุณไม่มีระบบป้องกันที่อัพเดทเพียงพอไม่ควรเข้าลิงค์ดังกล่าว)

++++++++++++++++++++++++++++++++++++++++++++
ประวัติการติดเชื้อ
++++++++++++++++++++++++++++++++++++++++++++

ดูค่าการจดทะเบียนโดแมน

เมื่อทำการค้นหาประวัติการติดเชื้อพบว่า
ค้นหาที่ http://www.sran.net/statistic?q=school.obec.go.th
พบ
ประวัติที่เคยติดเป็นเว็บหลอกลวง Phishing เริ่มตั้งแต่ปี 2009 จนถึง 2012 ส่วนใหญ่เกิดขึ้นบนเว็บบอร์ด
ประวัติการติดเชื้อมัลแวร์

Malicious and Suspicious URLs

URL First Detected
http://school.obec.go.th//banmuangsuang/important.html 2009-11-13 11:56:58
http://school.obec.go.th/amnuaykan3/ 2010-03-15 22:18:29
http://school.obec.go.th/anbs_saraburi/ 2009-05-03 16:45:54
http://school.obec.go.th/anubanbanmoh/ 2012-06-07 18:59:43
http://school.obec.go.th/artprathane 2013-05-01 03:05:05
http://school.obec.go.th/banbangchang/mawnarak/pa2.htm 2013-05-21 13:10:05
http://school.obec.go.th/bandonlao 2013-05-07 01:55:14
http://school.obec.go.th/bandonlao/ 2009-09-26 06:24:49
http://school.obec.go.th/bankaengnabon/important.html 2009-11-12 07:47:24
http://school.obec.go.th/bankhoadaeng 2013-05-07 18:45:04
http://school.obec.go.th/banklongkhong/House.htm 2013-07-17 21:20:08
http://school.obec.go.th/bankokenonglom 2013-06-27 00:10:07
http://school.obec.go.th/bankokenonglom/ 2013-05-22 21:15:05
http://school.obec.go.th/banmuangsuang/important.html 2009-11-12 10:02:02
http://school.obec.go.th/banpakae/important.html 2009-11-11 07:04:28
http://school.obec.go.th/banrubprak/important.html 2009-11-11 06:33:18
http://school.obec.go.th/bansanschool/da.html 2012-06-08 08:01:07
http://school.obec.go.th/bnkham/DATA_SCHOOL/admin.html 2013-05-27 15:30:11
http://school.obec.go.th/bnws 2013-04-20 00:15:46
http://school.obec.go.th/bokluea/ 2013-01-29 04:45:06
http://school.obec.go.th/bokluea/?name=boss 2013-03-18 23:35:08
http://school.obec.go.th/bsms/parvud.html 2013-02-16 00:00:53
http://school.obec.go.th/hauykrai/ 2013-01-04 21:00:04
http://school.obec.go.th/hinkleung/test9.htm 2013-01-26 00:09:25
http://school.obec.go.th/huakhao 2013-07-03 00:34:30
http://school.obec.go.th/huayaungkk2/ 2009-09-29 06:00:49

ดูค่า MD5 ของไฟล์ที่ติดเชื้อเพื่อนำมาวิเคราะห์ (Malware Analysis)



URL MD5 IP Threat
2013-07-23 19:12:53 http://school.obec.go.th/nongpangtru_kan1/index3.htm… C0C5A98D3A155E58018D0648792C8873 210.1.20.7 TH JS/TrojanDownloader.Iframe.NHP trojan
2013-07-23 05:03:53 http://school.obec.go.th/donthongwittaya… 939709D74D64CCB2FCCFE0691588364B 210.1.20.7 TH Trojan-Downloader.JS.Agent.feo
2013-07-23 04:56:28 http://school.obec.go.th/ns/pn22554.htm… 888AFD2FE9F83A5D385A8A435ECCEDB5 210.1.20.7 TH JS/Kryptik.BC trojan
2013-07-22 23:38:21 http://school.obec.go.th/borihan/… FB0BD87A9D893E5CD9230D95DACC6D6F 210.1.20.7 TH JS/TrojanDownloader.Shadraem.A trojan
2013-07-21 17:01:02 http://school.obec.go.th/khaokling/data_bankhaokling/Food_Project_50.html… 0A96F0D2843FFB46697031EDBAF70B89 210.1.20.7 TH HTML/TrojanDownloader.IFrame trojan
2013-07-21 14:57:21 http://school.obec.go.th/payakwit/scoutsimina52.html… F7C30FD9F865B4557BE1A31FDEA40527 210.1.20.7 TH JS/Kryptik.CK trojan
2013-07-21 06:23:52 http://school.obec.go.th/bukitjerae… 5DBD43A93EB86D5B6A0840FFC355317E 210.1.20.7 TH JS/IFrame.BH.gen
2013-07-20 21:41:59 http://school.obec.go.th/suksapiset/tourchiengmai1.htm… E5EEAC34BB2F6E97774580045FEC0910 210.1.20.7 TH JS/TrojanDownloader.HackLoad.AG trojan
2013-07-20 20:28:23 http://school.obec.go.th/chauatschool… 0F6FB069A9E258C069C49FB93B4DA468 210.1.20.7 TH JS/TrojanDownloader.Agent.NTW trojan
2013-07-20 11:22:54 http://school.obec.go.th/scispk/newsacti01.htm… 52E080A5EBCC3F65769D84E3C7ED52EB 210.1.20.7 TH HTML/IFrame.L

ประวัติการติดเชื้อมัลแวร์เมื่อทำการเรียกดูชื่อไฟล์ที่ติดเชื้อ

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
วิเคราะห์การเชื่อมโยงระบบเครือข่ายเพื่อทำให้เกิดการติดเชื้อมัลแวร์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

เมื่อมีทำการเรียกค่าโดแมนดังกล่าวจะมีการติดต่อสื่อสารไปยังโดแมนที่สร้างขึ้นเพื่อการโจรกรรมข้อมูล

ภาพช่องสี่เหลี่ยมสี่เหลืองคือโดแมนที่ถูกสร้างขึ้นมาเป็นมัลแวร์ ซึ่งเป็นโครงข่ายของอาชญากรรมทางโลกไซเบอร์ (Cyber Crime) ประกอบด้วย
gxjamuwp .cz.cc
shkoztdm .cz.cc
qjpbdbmd .cz.cc
ziejpzrv .cz.cc
lfmzwijq .cz.cc
และตัวอันตรายที่จะวิเคราะห์อย่างละเอียดอีกทีคือ marbit  dot com 

เมื่อทำการเรียกค่าเพื่อดูการตอบสนองข้อมูลฝั่งเว็บไซต์ให้บริการ

มีการตอบค่ากลับและมีการเปลี่ยนเส้นทางข้อมูลดังนี้

เมื่อทำการตรวจสอบการเรียกค่าเว็บไซต์จะพบการเชื่อมโยงติดต่อไปยังโดแมนที่ถูกสร้างขึ้นเป็นมัลแวร์เพื่อทำให้เครื่องคอมพิวเตอร์ที่อ่อนแอติดเชื้อได้

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ตัวอย่างการเรียกค่าที่ติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ช่องโหว่ที่พบทำให้มีการติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1. มาจาก Office Snapshot Viewer
– คำนิยามการเข้าถึงระบบ The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine 
– ช่องโหว่ CVE-2008-2463
2. MsVidCtl OverflowOverflow 
– คำนิยามการเข้าถึงระบบ in Microsoft Video ActiveX Control via specially-crafted data parameter
– ช่องโหว่ CVE-2008-0015
3. Adobe getIconStack-based buffer overflow 
– คำนิยาม in Adobe Reader and Acrobat via the getIcon method of a Collab object
– ช่องโหว่ CVE-2009-0927
4. Adobe util.printf overflowStack-based buffer overflow 
– คำนิยาม in Adobe Acrobat and Reader via crafted format string argument in util.printf
– ช่องโหว่ CVE-2008-2992
5. Adobe Collab overflow
– คำนิยาม Multiple Adobe Reader and Acrobat buffer overflows
– ช่องโหว่ CVE-2007-5659
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
รายชื่อไฟล์ที่พบประวัติการติดเชื้อ 
ชื่อ “donthongwittaya”
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ซึ่งมีการตรวจสอบจากโปรแกรมแอนตี้ไวรัสได้ผลลัพธ์ดังนี้ https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
การแสดงอัตลักษณ์ไฟล์มัลแวร์ที่พบ
ตัวอย่างการแสดงผลของโปรแกรมแอนตี้ไวรัสกับไฟล์ donthingwittaya

ข้อมูลเพิ่มเติมที่
http://checkip.me/whomap.php?domain=school.obec.go.th
http://www.sran.net/statistic?q=school.obec.go.th
http://urlquery.net/report.php?id=3963804
https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
http://wepawet.iseclab.org/view.php?hash=41a7ee22c704e708cdb57362372c1699&t=1374610813&type=js
http://anubis.iseclab.org/?action=result&task_id=162d0bbf11f5d90d47de47d9e87f8eff7&format=html

23/07/56
Nontawattana  Saraman
SRAN Dev Team

Posted

in

by

nontawatalk

Tags: