Pony botnet : บ็อทเน็ตขโมยรหัสผ่าน

แฮกเกอร์ได้ขโมยชื่อผู้ใช้และรหัสผ่านเกือบสองล้านบัญชีของ Facebook, Google, Twitter, Yahoo และอื่น ๆ ตามรายงานที่เผยแพร่เมื่อไม่นานนี้กลุ่มนักวิจัยสามารถเข้าถึงแผงควบคุมของผู้ดูแลระบบ (control panel) สำหรับเซิร์ฟเวอร์ที่เป็นส่วนหนึ่งของบ็อตเน็ตที่เรียกว่า “Pony” ที่เก็บรวบรวมข้อมูลที่สำคัญจากผู้ใช้มากถึง 102 ประเทศ รวมทั้งประเทศไทยของเราด้วย จึงจำเป็นต้องนำเสนอบทความนี้เพื่อเตือนผู้ใช้งานอินเทอร์เน็ตให้มีความระมัดระวังและเป็นข้อมูลไว้ศึกษาต่อไป

ภาพประกอบที่ 1 แสดงจำนวนเหยื่อของ botnet Ponyจากประเทศต่าง ๆ  จะเห็นได้ว่าประเทศไทยอยู่ในอันดับ 2 ของ Pony botnet ที่ได้รหัสผ่านไป

บอทเน็ตนี้แอบดักจับข้อมูลล็อกอินของเว็บไซต์ที่สำคัญ ๆ ในช่วงเดือนที่ผ่านมา และส่งชื่อผู้ใช้และรหัสผ่านเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์และติดตามเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศเนเธอร์แลนด์ พวกเขาค้นพบบัญชีผู้ใช้เว็บไซต์ต่าง ๆ รวมถึง

• Facebook ประมาณ 318,000 บัญชี
• Gmail, Google+ และ Youtube ประมาณ70,000 บัญชี
• Yahoo ประมาณ60,000 บัญชี
• Twitter ประมาณ22,000 บัญชี
• Odnoklassniki (เครือข่ายสังคมของรัสเซีย) ประมาณ9,000 บัญชี
• ADP (บริษัทชั้นนำ 500 อันดับในสหรัฐอเมริกา โดยนิตยสารฟอร์จูน 500) ประมาณ8,000 บัญชี
• LinkedIn ประมาณ8,000 บัญชี

ภาพประกอบที่ 2 แสดงจำนวนของบัญชีผู้ใช้ของเว็บไซต์ที่ถูกขโมยในจำนวนประมาณสองล้านบัญชีที่ถูกขโมย เมื่อแบ่งตามประเภทของบริการแล้ว ประกอบด้วย
• ประมาณ 1,580,000 เป็นบัญชีผู้ใช้เว็บไซต์
• ประมาณ 320,000 เป็นบัญชีผู้ใช้อีเมล
• ประมาณ 41,000 เป็นบัญชีผู้ใช้ FTP
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Remote Desktop
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Secure Shell
มีไวรัสแพร่บนเครื่องคอมพิวเตอร์ส่วนบุคคลจำนวนมากได้อย่างไร แฮกเกอร์อาจใช้ซอฟต์แวร์บันทึกการกดคีย์บอร์ดของผู้ใช้ที่ตกเป็นเหยื่อ (keylogger) แล้วส่งข้อมูลผ่าน proxy server ดังนั้นจึงเป็นไปไม่ได้ที่จะติดตามหาเครื่องคอมพิวเตอร์ที่ติดเชื้อ
ปฏิบัติการนี้แอบเก็บข้อมูลรหัสผ่านตั้งแต่ 21 ตุลาคมที่ผ่านมา และอาจจะทำงานอย่างต่อเนื่อง แม้ว่า จะค้นพบ proxy server ที่ตั้งอยู่ในเนเธอร์แลนด์ มิลเลอร์จาก Trustwaveกล่าวว่า มีเซิร์ฟเวอร์อื่นที่คล้ายคลึงกันหลายแห่ง ที่พวกเขายังไม่ได้ค้นพบยังเปิดเผยเกี่ยวกับการใช้รหัสผ่านของผู้ใช้ที่ตกเป็นเหยื่อว่า เกือบ 16,000 บัญชีใช้รหัสผ่าน “123456” อีก 2,212 บัญชีใช้รหัสผ่าน “password” และ 1,991 บัญชีใช้รหัสผ่าน “admin” มีเพียงร้อยละ 5 ของรหัสผ่านเกือบสองล้านรหัสที่ถือว่าดีเยี่ยม ใช้อักขระทั้งสี่รูปแบบและยาวมากกว่า 8 ตัวอักษร อีกร้อยละ 17 อยู่ในขั้นดี ร้อยละ 44 อยู่ในระดับปานกลาง ร้อยละ 28 อยู่ในขั้นเลว และ ร้อยละ 6 อยู่ในขั้นแย่มาก

ภาพประกอบที่ 3 รหัสผ่านที่ใช้มากที่สุด สิบอันดับ
ภาพประกอบที่ 4 ความแข็งแกร่งของรหัสผ่านที่พบ
จะพบว่าบริษัทเหล่านี้ทราบถึงการถูกละเมิดข้อมูล หลังจากนั้น พวกเขาประกาศการค้นพบของพวกเขาต่อสาธารณชนADP, Facebook, LinkedIn, Twitter และ Yahoo บอกนักข่าวว่า พวกเขาได้รับการแจ้งเตือน และการรีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกบุกรุกแล้ว ส่วน Google ปฏิเสธที่จะแสดงความคิดเห็น
หากคุณอยากรู้ว่าคอมพิวเตอร์ของคุณติดเชื้อหรือไม่ การค้นหาโปรแกรมและไฟล์จะไม่เพียงพอ เพราะไวรัสทำงานซ่อนตัวอยู่เบื้องหลัง ทางออกที่ดีที่สุดของคุณคือ การปรับปรุงซอฟต์แวร์ป้องกันไวรัสของคุณ และดาวน์โหลดแพทช์ล่าสุดสำหรับเว็บเบราว์เซอร์ รวมถึงAdobe  และ Java โปรแกรมในเครื่องของคุณให้ทันสมัย
29/11/56

SRAN Dev Team

อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked

จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น

อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

คุณสมบัติ

1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don’t Tracking)
ด้วยคุณสมบัติทั้ง 3 รวมเรียก “UN Tracked” Defend Privacy Data and against Internet Surveillance

สิ่งที่ได้รับจากการใช้ “UN Tracked”
1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน

ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง
ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย
การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร
  
ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกัน
ได้ถึง 50 เครื่อง
อีกหนึ่งการพัฒนาจาก SRAN Team สนใจเพื่อสอบถามรายละเอียดเพิ่มเติม ติดต่ออีเมลที่ info at gbtech.co.th

ตามล่ามัลแวร์

บทความนี้ไม่มีเจตนาทำให้หน่วยงานใดหน่วยงานหนึ่งเสื่อมเสียแต่อย่างใด แต่ต้องการเขียนเพื่อเป็นกรณีศึกษาจากเหตุการณ์จริง กับการติดเชื้อมัลแวร์ที่เป็นโครงข่ายอาชญากรรมข้ามชาติ (Cyber Crime) ที่ทำให้หน่วยงานภาครัฐ เอกชน รวมถึงสถาบันการศึกษาของประเทศไทยต้องตกเป็นเหยื่อกับเครือข่ายองค์กรอาชญากรรมคอมพิวเตอร์นี้

จึงตั้งใจเพื่อเขียนขึ้นเพื่อเป็นการสร้างความตระหนักถึงผู้ดูแลระบบถึงปัญหาเครื่องแม่ข่ายที่มีช่องโหว่และมีการเข้าถึงระบบโดยแฮกเกอร์สามารถนำมัลแวร์มาแพร่เชื้อได้ ดังนั้นหากเป็นเว็บไซต์ที่สามารถเข้าถึงได้ทั่วไปอาจทำให้ผู้ใช้งานทั่วไปติดเชื้อตามกันได้

อีกทั้งเป็นแนวสืบสวนหาร่องรอยเส้นทางของมัลแวร์ถึงผลกระทบในการติดเชื้อรวมถึงช่องโหว่ที่ทำให้มัลแวร์เข้ามาติดในเครื่องคอมพิวเตอร์
อ่านเพื่อความบันเทิงและได้ความรู้

++++++++++++++++++++++++++
มัลแวร์ คืออะไร
++++++++++++++++++++++++++
คือ โปรแกรมไม่พึ่งประสงค์ที่ทำให้เครื่องคอมพิวเตอร์ผู้ใช้งาน (รวมถึงอุปกรณ์มือถือสมัยใหม่ ได้แก่ สมาร์ทโฟน) ต้องสูญเสียความต่อเนื่องในการใช้งาน (Availability) , ความถูกต้องของข้อมูลและการสื่อสาร (Integrity) และสูญเสียความลับของข้อมูล (Confidentiality)

+++++++++++++++++++++++++++++++
เริ่มต้น จากการพบข้อมูล
+++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
เริ่มการวิเคราะห์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
http://school.obec.go.th/trimitvararam/picture/
และ
http://school.obec.go.th/pikul/2-%A2%E9%CD%C1%D9%C5%BA%D8%A4%A4%C5/23-%BA%D8%A4%C5%D2%A1%C3.html

(อันตรายหากเครื่องคอมพิวเตอร์คุณไม่มีระบบป้องกันที่อัพเดทเพียงพอไม่ควรเข้าลิงค์ดังกล่าว)

++++++++++++++++++++++++++++++++++++++++++++
ประวัติการติดเชื้อ
++++++++++++++++++++++++++++++++++++++++++++

ดูค่าการจดทะเบียนโดแมน

เมื่อทำการค้นหาประวัติการติดเชื้อพบว่า
พบ
ประวัติที่เคยติดเป็นเว็บหลอกลวง Phishing เริ่มตั้งแต่ปี 2009 จนถึง 2012 ส่วนใหญ่เกิดขึ้นบนเว็บบอร์ด
ประวัติการติดเชื้อมัลแวร์

Malicious and Suspicious URLs

URL First Detected
http://school.obec.go.th//banmuangsuang/important.html 2009-11-13 11:56:58
http://school.obec.go.th/amnuaykan3/ 2010-03-15 22:18:29
http://school.obec.go.th/anbs_saraburi/ 2009-05-03 16:45:54
http://school.obec.go.th/anubanbanmoh/ 2012-06-07 18:59:43
http://school.obec.go.th/artprathane 2013-05-01 03:05:05
http://school.obec.go.th/banbangchang/mawnarak/pa2.htm 2013-05-21 13:10:05
http://school.obec.go.th/bandonlao 2013-05-07 01:55:14
http://school.obec.go.th/bandonlao/ 2009-09-26 06:24:49
http://school.obec.go.th/bankaengnabon/important.html 2009-11-12 07:47:24
http://school.obec.go.th/bankhoadaeng 2013-05-07 18:45:04
http://school.obec.go.th/banklongkhong/House.htm 2013-07-17 21:20:08
http://school.obec.go.th/bankokenonglom 2013-06-27 00:10:07
http://school.obec.go.th/bankokenonglom/ 2013-05-22 21:15:05
http://school.obec.go.th/banmuangsuang/important.html 2009-11-12 10:02:02
http://school.obec.go.th/banpakae/important.html 2009-11-11 07:04:28
http://school.obec.go.th/banrubprak/important.html 2009-11-11 06:33:18
http://school.obec.go.th/bansanschool/da.html 2012-06-08 08:01:07
http://school.obec.go.th/bnkham/DATA_SCHOOL/admin.html 2013-05-27 15:30:11
http://school.obec.go.th/bnws 2013-04-20 00:15:46
http://school.obec.go.th/bokluea/ 2013-01-29 04:45:06
http://school.obec.go.th/bokluea/?name=boss 2013-03-18 23:35:08
http://school.obec.go.th/bsms/parvud.html 2013-02-16 00:00:53
http://school.obec.go.th/hauykrai/ 2013-01-04 21:00:04
http://school.obec.go.th/hinkleung/test9.htm 2013-01-26 00:09:25
http://school.obec.go.th/huakhao 2013-07-03 00:34:30
http://school.obec.go.th/huayaungkk2/ 2009-09-29 06:00:49

ดูค่า MD5 ของไฟล์ที่ติดเชื้อเพื่อนำมาวิเคราะห์ (Malware Analysis)



URL MD5 IP Threat
2013-07-23 19:12:53 http://school.obec.go.th/nongpangtru_kan1/index3.htm… C0C5A98D3A155E58018D0648792C8873 210.1.20.7 TH JS/TrojanDownloader.Iframe.NHP trojan
2013-07-23 05:03:53 http://school.obec.go.th/donthongwittaya… 939709D74D64CCB2FCCFE0691588364B 210.1.20.7 TH Trojan-Downloader.JS.Agent.feo
2013-07-23 04:56:28 http://school.obec.go.th/ns/pn22554.htm… 888AFD2FE9F83A5D385A8A435ECCEDB5 210.1.20.7 TH JS/Kryptik.BC trojan
2013-07-22 23:38:21 http://school.obec.go.th/borihan/… FB0BD87A9D893E5CD9230D95DACC6D6F 210.1.20.7 TH JS/TrojanDownloader.Shadraem.A trojan
2013-07-21 17:01:02 http://school.obec.go.th/khaokling/data_bankhaokling/Food_Project_50.html… 0A96F0D2843FFB46697031EDBAF70B89 210.1.20.7 TH HTML/TrojanDownloader.IFrame trojan
2013-07-21 14:57:21 http://school.obec.go.th/payakwit/scoutsimina52.html… F7C30FD9F865B4557BE1A31FDEA40527 210.1.20.7 TH JS/Kryptik.CK trojan
2013-07-21 06:23:52 http://school.obec.go.th/bukitjerae… 5DBD43A93EB86D5B6A0840FFC355317E 210.1.20.7 TH JS/IFrame.BH.gen
2013-07-20 21:41:59 http://school.obec.go.th/suksapiset/tourchiengmai1.htm… E5EEAC34BB2F6E97774580045FEC0910 210.1.20.7 TH JS/TrojanDownloader.HackLoad.AG trojan
2013-07-20 20:28:23 http://school.obec.go.th/chauatschool… 0F6FB069A9E258C069C49FB93B4DA468 210.1.20.7 TH JS/TrojanDownloader.Agent.NTW trojan
2013-07-20 11:22:54 http://school.obec.go.th/scispk/newsacti01.htm… 52E080A5EBCC3F65769D84E3C7ED52EB 210.1.20.7 TH HTML/IFrame.L
ประวัติการติดเชื้อมัลแวร์เมื่อทำการเรียกดูชื่อไฟล์ที่ติดเชื้อ

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
วิเคราะห์การเชื่อมโยงระบบเครือข่ายเพื่อทำให้เกิดการติดเชื้อมัลแวร์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

เมื่อมีทำการเรียกค่าโดแมนดังกล่าวจะมีการติดต่อสื่อสารไปยังโดแมนที่สร้างขึ้นเพื่อการโจรกรรมข้อมูล

ภาพช่องสี่เหลี่ยมสี่เหลืองคือโดแมนที่ถูกสร้างขึ้นมาเป็นมัลแวร์ ซึ่งเป็นโครงข่ายของอาชญากรรมทางโลกไซเบอร์ (Cyber Crime) ประกอบด้วย
gxjamuwp .cz.cc
shkoztdm .cz.cc
qjpbdbmd .cz.cc
ziejpzrv .cz.cc
lfmzwijq .cz.cc
และตัวอันตรายที่จะวิเคราะห์อย่างละเอียดอีกทีคือ marbit  dot com 

เมื่อทำการเรียกค่าเพื่อดูการตอบสนองข้อมูลฝั่งเว็บไซต์ให้บริการ

มีการตอบค่ากลับและมีการเปลี่ยนเส้นทางข้อมูลดังนี้

เมื่อทำการตรวจสอบการเรียกค่าเว็บไซต์จะพบการเชื่อมโยงติดต่อไปยังโดแมนที่ถูกสร้างขึ้นเป็นมัลแวร์เพื่อทำให้เครื่องคอมพิวเตอร์ที่อ่อนแอติดเชื้อได้

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ตัวอย่างการเรียกค่าที่ติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ช่องโหว่ที่พบทำให้มีการติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1. มาจาก Office Snapshot Viewer
– คำนิยามการเข้าถึงระบบ The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine 
– ช่องโหว่ CVE-2008-2463
2. MsVidCtl OverflowOverflow 
– คำนิยามการเข้าถึงระบบ in Microsoft Video ActiveX Control via specially-crafted data parameter
– ช่องโหว่ CVE-2008-0015
3. Adobe getIconStack-based buffer overflow 
– คำนิยาม in Adobe Reader and Acrobat via the getIcon method of a Collab object
– ช่องโหว่ CVE-2009-0927
4. Adobe util.printf overflowStack-based buffer overflow 
– คำนิยาม in Adobe Acrobat and Reader via crafted format string argument in util.printf
– ช่องโหว่ CVE-2008-2992
5. Adobe Collab overflow
– คำนิยาม Multiple Adobe Reader and Acrobat buffer overflows
– ช่องโหว่ CVE-2007-5659
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
รายชื่อไฟล์ที่พบประวัติการติดเชื้อ 
ชื่อ “donthongwittaya”
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ซึ่งมีการตรวจสอบจากโปรแกรมแอนตี้ไวรัสได้ผลลัพธ์ดังนี้ https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
การแสดงอัตลักษณ์ไฟล์มัลแวร์ที่พบ
ตัวอย่างการแสดงผลของโปรแกรมแอนตี้ไวรัสกับไฟล์ donthingwittaya

ข้อมูลเพิ่มเติมที่
http://checkip.me/whomap.php?domain=school.obec.go.th
http://www.sran.net/statistic?q=school.obec.go.th
http://urlquery.net/report.php?id=3963804
https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
http://wepawet.iseclab.org/view.php?hash=41a7ee22c704e708cdb57362372c1699&t=1374610813&type=js
http://anubis.iseclab.org/?action=result&task_id=162d0bbf11f5d90d47de47d9e87f8eff7&format=html

23/07/56
Nontawattana  Saraman
SRAN Dev Team

“รู้เขา รู้เรา” ใครโจมตีเรา และเราโจมตีใคร

เราเคยเสนอระบบเพื่อให้รู้ทันภัยคุกคามจากการโจมตีบนโลกไซเบอร์ให้กับรัฐบาลไทย เพื่อให้ภาพรวมการโจมตีที่เกิดขึ้นในประเทศไทย เพื่อการป้องกันภัยอย่างยั้งยืน แต่ด้วยว่าเป็นเรื่องที่อธิบายลำบากเนื่องด้วยเป็นภาษาทางเทคนิคจึงทำให้โครงการยังไม่เกิดเป็นชิ้นเป็นอัน  ด้วยความฝันส่วนตัวของกลุ่มเราจึงอยากทำระบบดังกล่าวให้เป็นความจริงโดยไม่ต้องสนใจว่าใครจะให้ทำ เงินลงทุนมาจากไหน ? หรือระบบนี้จะเป็นว่าต้องการหรือไม่ก็ตาม เราได้ดำเนินการด้วยเงินทุนตัวเองสร้างระบบขึ้นมาจนเราได้เก็บเกี่ยวข้อมูลได้ระดับหนึ่งเป็นข้อมูลที่น่าสนใจ  และเป็นพื้นฐานที่ดีในการจะ “รู้เขา รู้เรา” หากนำไปใช้จริงจะช่วยลดปริมาณข้อมูลจราจร (Data Traffic) ที่เป็นภัยคุกคามไม่ว่าเป็นภัยทางอาชญากรรมคอมพิวเตอร์ที่แฝงมากับการสร้างบอทเน็ต การหลอกลวง การแฮก การขโมยข้อมูลเป็นต้น จะทำให้อินเทอร์เน็ตในประเทศไทยมีความมั่นคงปลอดภัยขึ้นโดยเฉพาะประชาชนผู้ใช้งานอินเทอร์เน็ตทั่วไปในประเทศไทย ที่อาจมีความรู้ทางด้านเทคนิคการป้องกันตัวและเป็นผู้ใช้งานทั่วไปที่ไม่มีความรู้ทางเทคนิคในการป้องกันตัวจะได้รับประโยชน์กับการใช้งานอย่างปลอดภัยขึ้น

ในอดีตจนถึงปัจจุบันเรายังไม่เคยมีการจัดทำข้อมูลเชิงสถิติเพื่อให้ทราบถึงภัยคุกคามที่เกิดขึ้นในประเทศไทย เหตุผลหนึ่งที่เกิดการจัดทำระบบ SRAN [in] block นี้ขึ้นก็มาจากคำพูดที่กล่าวว่า “รู้เขา รู้เรารบร้อยครั้งชนะร้อยครั้ง” มาใช้ในการประเมินสถานการณ์ด้านภัยคุกคามบนโลกไซเบอร์สำหรับประเทศไทยเรา พบว่าเรายังไม่มีข้อมูลเพียงพอสำหรับการประเมินได้เลย เราแทบไม่รู้ว่า เราไปโจมตีใครบ้างในโลกไซเบอร์ และ มีใครโจมตีเราบ้างในโลกไซเบอร์ ซึ่งวิธีการทำให้รู้เขารู้เรานั้นจำเป็นต้องมีการจัดทำระบบและข้อมูลในเชิงรุกขึ้น 

เมื่อเปรียบเทียบการโจมตีที่เกิดขึ้นบนโลกไซเบอร์นั้นอาจแบ่งได้เป็น 2 ประเภทใหญ่ได้แก่

(1)  Client Compromise คือ เครื่องลูกข่ายที่ถูกควบคุมจากแฮกเกอร์ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกล ซึ่งเครื่องลูกข่ายที่กล่าวถึงนั้น ได้แก่ คอมพิวเตอร์ที่ใช้ตามบ้าน, คอมพิวเตอร์ที่ใช้ในสำนักงาน หรือเครื่องทำงานของพนักงาน , โทรศัพท์มือถือ เป็นต้น ซึ่ง Client Compromise หากจัดทำข้อมูลขึ้นและระบุประเทศไทยได้ก็จะทำให้ทราบถึงการรู้ว่าเครื่องคอมพิวเตอร์ในประเทศเราไปโจมตีที่ใดอยู่บ้าง ตัวอย่างเครื่อง Client ที่ถูก Compromise จากการจัดทำข้อมูลจากทีมงาน SRAN ผ่านเทคโนโลยี Honey pot สามารถดูได้ที่ http://www.sran.org/attack จะทำให้เห็นภาพรวมเครื่องลูกข่ายที่ติดเชื้อและพยายามโจมตีเครื่องคอมพิวเตอร์ไปยังที่ต่างๆทั่วโลก ซึ่งบางเครื่องมาจากคอมพิวเตอร์โน้ตบุ๊ค (Notebook) ตามบ้านที่ใช้บริการอินเทอร์เน็ต แม้กระทั่งเครื่องมือถือที่ใช้บริการอินเทอร์เน็ตผ่านโครงข่ายมือถือ 2G และ 3G เป็นต้น 

ภาพที่ 1 ข้อมูลใน www.sran.net/attack แสดงข้อมูลเครื่องคอมพิวเตอร์ในประเทศไทยที่พยายามโจมตีบนโลกไซเบอร์ ซึ่งการโจมตีที่พบนั้นอาจจะโจมตีทั้งในและต่างประเทศ โดยที่เครื่องเหล่านี้ไม่รู้ตัวว่ากลายเป็นนักโจมตีระบบไปเสียแล้ว และเมื่อเราระบุแหล่งที่มาของค่าไอพีแอดเดรสลงบนแผนที่สารสนเทศ (GeoIP) แล้วจะพบว่าคอมพิวเตอร์เกือบทุกจังหวัดในประเทศไทยเป็นนักโจมตีระบบทั้งสิ้น
ภาพที่ 2 การแสดงข้อมูลเฉพาะประเทศไทยในวันที่ 20 กรกฏาคม 2556 เวลา 19:20 พบว่าส่วนใหญ่เครื่องคอมพิวเตอร์ในประเทศไทยที่โจมตีระบบที่อื่ๆ ทั่วโลกจะโจมตีบริการ SSH มากที่สุด 
ภาพที่ 3 ตัวอย่างการแสดงผลเครื่องคอมพิวเตอร์ในประเทศไทยที่กลายเป็นนักโจมตีระบบทั้งที่ตนเองอาจไม่รู้ตัว ซึ่งหากตรวจสอบดูแล้วส่วนใหญ่เป็นผู้ใช้งานตามบ้าน / ผู้ใช้งานมือถือ มีทั้งการติดเชื้อเป็นบอทเน็ต และเป็นนักโจมตีรหัสผ่าน (Brute force password) รวมทั้งการส่งข้อมูลขยะ (Spam)
***** สรุปในข้อ 1 คือเครื่องคอมพิวเตอร์ในประเทศไทย ไปโจมตี ชาวบ้าน (ทั้งในประเทศและต่างประเทศ) ตกเป็นเหยื่อ โดยส่วนใหญ่ไม่รู้ตัว

(2) Server Compromise คือ เครื่องแม่ข่ายที่ถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกลได้ ซึ่งเครื่องแม่ข่ายที่กล่าวถึงนั้นมักจะเป็นเครื่องที่ออนไลน์ตลอดเวลา 24×7 ได้แก่ เว็บเซิร์ฟเวอร์ , เมล์เซิร์ฟเวอร์ , ดาต้าเบสเซิร์ฟเวอร์ และเครื่องแม่ข่ายอื่นๆ ที่ค่าไอพีแอดเดรส หรือ โดเมนแนม สาธารณะที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต ส่วนนี้เป็นการรู้เขา ใครโจมตีเราที่ไหนบ้าง หน่วยงานไหนบ้าง ตัวอย่างเครื่อง Server ที่ถูก Compromise เฉพาะในประเทศไทย ที่ทีมงาน SRAN ได้เก็บรวบรวมข้อมูลมาพบว่า

ภาพที่ 4 สถิติภาพรวมการตรวจจับการถูกที่อื่นโจมตีที่เกิดขึ้นกับเครื่องแม่ข่าย (Server) ในประเทศไทย ซึ่งภาพนี้เป็นการแสดงข้อมูลเครื่องแม่ข่ายในประเทศไทยที่ถูกโจมตี ทั้งถูกแฮกเว็บไซต์ (Web Attack) , การยึดเครื่องเพื่อสร้างเป็นเครื่องหลอกลวงข้อมูล (Phishing) และ เครื่องแม่ข่ายที่ติดเชื้อมัลแวร์ (Malware)   รวมถึงสถิติช่องโหว่ และเครื่องคอมพิวเตอร์ที่เปิดบริการ Proxy เพื่อการอำพรางไอพีแอดเดรส เป็นต้น ข้อมูลที่แสดงจากวันที่ 19 กรกฏาคม 2556  ด้านล่างเป็นจำนวนสถิติผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรียงตามตัวเลขการถูกโจมตี ซึ่งจะพบว่า ASN หมายเลข 9931 ของ CAT Telecom ถูกโจมตีมากที่สุดถึง 5,284 ครั้ง เฉพาะการถูกแฮกหรือเปลี่ยนหน้าเว็บเพจ (Web Attack)

ภาพที่ 5 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกแฮก และเปลี่ยนหน้าเว็บเพจ
ภาพที่ 6 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกสร้างเป็นเว็บไซต์หลอกลวง (Phishing) 
ภาพที่ 7 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ติดเชื้อมัลแวร์ (Malware) ซึ่งมีโอกาสแพร่เชื้อให้กับผู้ใช้งานที่เปิดหน้าเพจนั้นๆ

ซึ่งทั้งหมด สามารถดูรายประเภทได้ที่ http://www.sran.net/statistic?q=ซึ่งจากข้อมูลพบว่าประเทศไทยของเรานั้นประสบปัญหาการที่เครื่องแม่ข่ายถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือถูกทำการใดการหนึ่งที่ทำให้สามารถควบคุมระยะไกลได้เป็นจำนวนมาก จากสถิติในเว็บไซต์ www.sran.net/reports เมื่อพิจารณาย้อนหลังไป 3 ปี คือปี พ.ศ. 2554 – มิถุนายน 2556 (ค.ศ. 2011 – 2013) พบว่ามีเครื่องคอมพิวเตอร์ในประเทศไทยที่ทั้งติดเชื้อมัลแวร์ (Malware) , การถูกโจมตีเว็บไซต์จากแฮกเกอร์ (Web Attack) และการตกเป็นเครื่องในการเผยแพร่ข้อมูลหลอกลวง (Phishing) ซึ่งเหล่านี้ล้วนเป็นเครื่องแม่ข่าย (Server)

ภาพที่ 8 สถิติการถูกโจมตีตั้งแต่ปี ค.ศ 2011 – 2013 (ปัจจุบัน) ตามประเภทเครื่องแม่ข่ายที่ถูกโจมตีทั้งการถูกแฮก การตกเป็นเครื่องหลอกลวง และการติดเชื้อ
ภาพที่ 9 เมื่อมีการแบ่งประเภทตามหน่วยงานที่มีเครื่องแม่ข่ายที่ตกเป็นฐานในการโจมตีก็พบว่าหน่วยงาน ปี 2011 ภาครัฐบาลถูกโจมตีมากที่สุด ปี 2012 ภาครัฐบาลถูกโจมตีมากที่สุด
ปี 2013 ประเภทเอกชน (Commercial) ถูกโจมตีมากที่สุด รองลงมาคือภาคการศึกษา (Academic) เป็นต้น
จากข้อมูลย้อนหลัง 2 ปีกับอีก 6 เดือนพบว่าแนวโน้มการที่เครื่องแม่ข่าย (Server) ในประเทศไทยจะติดเชื้อมัลแวร์และการตกเป็นเครื่องมือในการเผยแพร่ข้อมูลหลอกลวง (Phishing) มีอัตราเพิ่มสูงขึ้น ซึ่งจะส่งผลทำให้มีการแพร่กระจายไวรัสและข้อมูลหลอกลวงไปสู่ประชาชนมีค่อนข้างสูง เพราะจากสถิติในปีล่าสุดพบว่ามีเครื่องแม่ข่าย (Server) ที่ติดเชื้อไปแล้ว 10,652 ครั้ง ซึ่งปริมาณมากกว่าสิ้นปี 2555 และ 2554 เสียอีก ดังนั้นจึงเป็นที่มาของภารกิจในการ ”ลดความเสี่ยง” และประหยัดงบประมาณ สำหรับเครื่องแม่ข่ายที่ยังขาดระบบรักษาความมั่นคงปลอดภัยทางข้อมูลไม่ให้ตกเป็นเป้าในการโจมตีของแฮกเกอร์และการติดเชื้อมัลแวร์จากการใช้งานอินเทอร์เน็ต นั้นทีมงาน SRAN พัฒนาได้คิดค้นเทคนิควิธีที่ช่วยในการลดความเสี่ยงต่อภัยอันตรายต่างๆ ด้วยการนำข้อมูลจราจรที่ผ่านการใช้งานเว็บเซิร์ฟเวอร์ผ่านมาช่องดีเอ็นเอสผ่านคลาวด์คอมพิวติ้ง ที่ทางทีมงาน SRAN ได้จัดทำขึ้น และช่วยป้องกันภัยคุกคามผ่านการเฝ้าระวังภัยและการป้องกันภัยแบบรวมศูนย์ ซึ่งจะทำให้เรารู้ทันภัยคุกคามที่เกิดขึ้นกับตนเองและป้องกันภัยได้แบบ Real Time เพื่อลดความเสี่ยงอันจะก่อให้เกิดความเสียหายต่อไป

การป้องกันเว็บไซต์ผ่านระบบ SRAN IN Block

SRAN iBlock เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค (www.gbtech.co.th) จัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing) โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์ เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัย
ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตี DDoS/DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น 
ภาพแสดงขั้นตอนการทำงานของ IN Block Services

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง  เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์ เจาะระบบข้อมูล ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall) , การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

ตามล่ามัลแวร์ iframe injection เว็บไซต์ในไทย

ตรวจมัลแวร์ Redkit exploit kit iframe injection
++++++++++++++++++++++++++++++++++++++++++++++
พบเหตุการณ์
++++++++++++++++++++++++++++++++++++++++++++++
ที่ http://www.cru.ac.th/cru_web/
ตรวจสอบจากเครือข่ายแม่ข่าย
++++++++++++++++++++++++++++++++++++++++++++++

Nmap scan report for 110.77.220.122
Host is up (0.31s latency).
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd (before 2.0.8) or WU-FTPD
|_banner: 220 Welcome to CRU FTP services.
22/tcp  open   ssh      OpenSSH 4.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_4.3
25/tcp  closed smtp
80/tcp  open   http     Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|   Date: Tue, 23 Jul 2013 06:40:32 GMT
|   Server: Apache/2.2.3 (CentOS)
|   Last-Modified: Wed, 10 Jul 2013 07:45:56 GMT
|   ETag: "1426800c-1556e-4e12377bfb500"
|   Accept-Ranges: bytes
|   Content-Length: 87406
|   Connection: close
|   Content-Type: text/html
|   
|_  (Request type: GET)
| http-title: xE0xB9x82xE0xB8xA3xE0xB8x87xE0xB9x80xE0xB8xA3xE0xB8xB5xE0xB8xA2xE0xB8x99xE0xB8x8AxE0xB8xA5xE0xB8xA3xE0xB8xB2xE0xB8xA9xE0xB8x8FxE0xB8xA3xE0xB8xADxE0xB8xB3xE0xB8xA3xE0xB8xB8xE0xB8x87 xE0...
|_Requested resource was http://110.77.220.122/cru_web/
110/tcp closed pop3
143/tcp closed imap
443/tcp open   ssl/http Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|_  (Request type: GET)
| ssl-cert: Subject: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Issuer: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Public Key type: rsa
| Public Key bits: 1024
| Not valid before: 2012-05-14T14:37:18+00:00
| Not valid after:  2032-05-09T14:37:18+00:00
| MD5:   394a 5a16 1dfb f58a 3705 69dc 47a5 4908
| SHA-1: 57c1 542d 00cd 6554 b04d 3d54 13ff bec0 d3fd d194
| -----BEGIN CERTIFICATE-----
| MIICvTCCAiYCCQDdu+DGElp74DANBgkqhkiG9w0BAQUFADCBojELMAkGA1UEBhMC
| VEgxETAPBgNVBAgTCENob25idXJpMREwDwYDVQQHEwhDaG9uYnVyaTEjMCEGA1UE
| ChMaQ2hvbnJhZHNhZG9ybnVtcnVuZyBTY2hvb2wxETAPBgNVBAsTCENob25jaGFp
| MQ4wDAYDVQQDEwVDaG9uMTElMCMGCSqGSIb3DQEJARYWY3J1X3NjaG9vbEBob3Rt
| YWlsLmNvbTAeFw0xMjA1MTQxNDM3MThaFw0zMjA1MDkxNDM3MThaMIGiMQswCQYD
| VQQGEwJUSDERMA8GA1UECBMIQ2hvbmJ1cmkxETAPBgNVBAcTCENob25idXJpMSMw
| IQYDVQQKExpDaG9ucmFkc2Fkb3JudW1ydW5nIFNjaG9vbDERMA8GA1UECxMIQ2hv
| bmNoYWkxDjAMBgNVBAMTBUNob24xMSUwIwYJKoZIhvcNAQkBFhZjcnVfc2Nob29s
| QGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUNiDSmaZ3
| neIoKKaDubNIT3tKHx8y84L7bfs+xC319iNtgHFv/DsnaQS4tjPVrI3jorK8FDzV
| K9n5TNLIEarayHft7HOzToerNcwYshrArb8qpXrRD7SJoHfmMH5z+CE9TqFQEh22
| fDssKN0+/mA2/GMsxX7P1D5VbAm+BdM95QIDAQABMA0GCSqGSIb3DQEBBQUAA4GB
| AG051xp8Q6hvcW+IhJRXAanVKtod7TXG4ZVQ0Elx8AxsnGdk4rD0mvPXE7vWf7bG
| onvP8eBQKv4SvHLDzee9qxRxwcZAGXsI80TagIG0ekI4q03Nk3RiaycWDgP7kR48
| BOhMR+pMi8RQfZTdjBK14GOD/wgpBVlA2ycvg+87ZOwg
|_-----END CERTIFICATE-----
Aggressive OS guesses: Linux 2.6.18 (92%), Linux 2.6.32 (92%), FreeBSD 6.2-RELEASE (91%), Linux 2.6.9 - 2.6.18 (91%), Cisco UC320W PBX (Linux 2.6) (90%), Linux 2.6.9 (90%), Linux 2.6.22.1-32.fc6 (x86, SMP) (89%), Linux 2.6.5 (89%), Linux 2.6.11 (89%), Linux 2.6.28 (89%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: CRU

Host script results:
| asn-query: 
| BGP: 110.77.220.0/24 and 110.77.208.0/20 | Country: TH
|   Origin AS: 131090 - CAT-IDC-4BYTENET-AS-AP CAT TELECOM Public Company Ltd,CAT
|_    Peer AS: 4651
| dns-blacklist: 
|   SPAM
|_    l2.apews.org - SPAM
| hostmap-ip2hosts: 
|   hosts: 
|     cru.ac.th
|_    www.cru.ac.th

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
การเชื่อมโยง
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
พบสิ่งผิดปกติ
ที่เกิดจาก iframe ซ่อนโดแมนมัลแวร์ในเว็บ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 width="210" height="210" src="source/swf/clock.swf" quality="high"
pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">



width=“864” height=“354” src=“source/swf/banner.swf” quality=“high”

pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">

+++++++++++++++++++++++++++++++++++++++++++++++++++++++
ตรวจการเรียกข้อมูล
++++++++++++++++++++++++++++++++++++++++++

URL Status Content Type
http://www.cru.ac.th/ 302 text/html
 http://www.cru.ac.th/cru_web/ 200 text/html
 http://www.cru.ac.th/cru_web/js/jquery.js 200 application/x-javascript
 http://mybodybuildingjourney.com/oeef.html?j=3267321 301 text/html
 http://mikeborge.com/oeef.html?j=3267321 200 text/html
 http://mikeborge.com/0o4.jar 200 application/zip
 about:blank 200 text/html
 http://www.cru.ac.th/cru_web/js/easySlider1.7.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/Scripts/AC_RunActiveContent.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/source/swf/banner.swf 200 application/x-shockwave-flash
 http://www.cru.ac.th/cru_web/source/swf/clock.swf 200 application/x-shockwave-flash
 http://artisticgenepool.com/oaaf.html?j=3267321 301 text/html
 http://mikeborge.com/oaaf.html?j=3267321 404 empty
 http://mybodybuildingjourney.com/oeef.html?i=3267321 301 text/html
 http://mikeborge.com/oeef.html?i=3267321 404 empty
 http://www.cru.ac.th/cru_web/css/mainMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/screen.css 404 text/html
 http://www.cru.ac.th/cru_web/css/topMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/personMenu.css 404 text/html

Redirects

From To
http://www.cru.ac.th/ http://www.cru.ac.th/cru_web/
http://mybodybuildingjourney.com/oeef.html?j=3267321 http://mikeborge.com/oeef.html?j=3267321
http://artisticgenepool.com/oaaf.html?j=3267321 http://mikeborge.com/oaaf.html?j=3267321
http://mybodybuildingjourney.com/oeef.html?i=3267321 http://mikeborge.com/oeef.html?i=3267321

ActiveX controls

  • D27CDB6E-AE6D-11CF-96B8-444553540000
    Name Value
    Attributes movie 
    source/swf/clock.swf
    jQuery1366577423256 
    147.0
    		 
    1022.0
    quality 
    high
  • =================================
  • ตรวจ HTTP
  • =================================
  • โหลด HTTP Capture แบบ Proxy Request จะเห็นการติดต่อไปที่ เว็บมัลแวร์ mybodybuildingjourney.com


==============================================================
ตรวจ Whois
==============================================================
Domain name: mybodybuildingjourney.com
Registrant Contact:
Pete81
Petri Olsson ()
Fax:
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Administrative Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Technical Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Status: Locked
Name Servers:
ns3321.hostgator.com
ns3322.hostgator.com
Creation date: 15 Oct 2009 16:41:05
Expiration date: 15 Oct 2013 16:41:05


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Link 
https://www.virustotal.com/th/url/e23ec6b60262684212b39c1751a04d5fe8c573beb91826b30c50684c257ee39f/analysis/
http://wepawet.iseclab.org/view.php?hash=66100e0d535a4c1119acb647613b4b70&t=1366577405&type=js
http://urlquery.net/report.php?id=2104305
http://checkip.me/whomap.php?domain=mybodybuildingjourney.com

    การป้องกันข้อมูลส่วนตัวกับ UNtracked อินเทอร์เน็ตล่องหน

    อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked
    จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น 

    อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

    คุณสมบัติ

    1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
    2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
    3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don’t Tracking)
    ด้วยคุณสมบัติทั้ง 3 รวมเรียก “UN Tracked” Defend Privacy Data and against Internet Surveillance

    สิ่งที่ได้รับจากการใช้ “UN Tracked”
    1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
    2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
    3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
    4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

    จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน

    ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง


    ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย

    การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
    Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
    ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร

     ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกันได้ถึง 50 เครื่อง

    ความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซที่ควรเอาใจใส่

    การถูกเจาะระบบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซได้เพิ่มขึ้นจนกลายเป็นเรื่องที่พบเห็นหรือได้ยินบ่อยครั้งแล้วในสมัยนี้ ผลรายงานความปลอดภัยทางคอมพิวเตอร์ทั่วโลกของSpiderLabsในปี 2012ได้ระบุว่า กว่า 20% ของเหตุภัยที่เกิดขึ้นนั้นมีเว็บไซต์อีคอมเมิร์ซเกี่ยวข้องด้วย โดยมีอัตราส่วนเพิ่มขึ้นจากปีก่อนหน้าถึง 9%ซึ่งเกือบ40% ของเหตุภัยดังกล่าวเกิดขึ้นในทวีป Asia-Pacificโดยเหตุการณ์ต่างๆที่เกิดขึ้นจากทั่วโลกเหล่านี้มีแรงจูงใจเพื่อการขโมยข้อมูลบัตรเครดิตเป็นเสียส่วนใหญ่
    เพื่อเป็นการเสริมการป้องกันต่อการโจมตีที่มุ่งเป้าไปยังระบบอีคอมเมิร์ซ, เราจะต้องมีความรู้ความเข้าใจข้อเท็จจริงของความปลอดภัยในระบบอีคอมคอมเมิร์ซให้มากยิ่งขึ้นไปกว่านี้ และจากประสพการณ์ของพวกเราที่ผ่านมานั้น โดยทั่วไปแล้วการรับชำระค่าสินค้าและบริการส่วนมากบนเว็บไซต์อีคอมเมิร์ซจะมีสามวิธีดังนี้
    การจัดเก็บข้อมูลและดาวน์โหลด
    วิธีการนี้เป็นวิธีการที่มักใช้โดยกลุ่มผู้ประกอบการธุรกิจรายย่อย โดยเฉพาะกลุ่มที่มีการนำระบบร้านค้าออนไลน์เข้ามาเสริมกับร้านค้าจริง ซึ่งร้านเหล่านี้จะมีเครื่องมือรับชำระเงินด้วยบัตรเครดิตแล้ว ดังนั้นเมื่อมีการสั่งซื้อสินค้าผ่านทางเว็บไซต์ ผู้ประกอบการจะทำการดำเนินการใส่ข้อมูลบัตรเครดิตของลูกค้าลงในเครื่องเพื่อชำระเงินทีละรายการด้วยตนเอง
    ผลลัพท์จากวิธีการดังกล่าว ส่งผลให้ข้อมูลบัตรเครดิตของลูกค้าถูกจัดเก็บไว้ที่ไหนสักแห่ง โดยมากมักเป็นบนเว็บเซิฟเวอร์
    ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ
    กลุ่มผู้ประกอบการรายที่ใหญ่ขึ้นมามีความเป็นไปได้สูงที่จะใช้วิธีการนี้ เพราะด้วยเหตุผลที่ว่ามันช่วยให้การรับชำระเงินเป็นไปได้ไม่ติดขัด และยังช่วยตรวจสอบสถานะบัตรเครดิต ณ เวลานั้นๆด้วย ซึ่งเมื่อลูกค้าให้ข้อมูลบัตรเครดิตแก่เว็บไซต์ของผู้ประกอบการแล้วในระหว่างขั้นตอนการคิดราคารวมสินค้าทั้งหมด ระบบจะทำการส่งข้อมูลเหล่านั้นไปยังเกตเวย์ของผู้ให้บริการบัตรเครดิตโดยตรงเพื่อตรวจสอบสถานะ ทำให้ข้อมูลบัตรเครดิตของลูกค้าไม่ถูกเก็บลงในระบบคอมพิวเตอร์ของผู้ประกอบการ และช่วยให้ลูกค้าไม่จำเป็นต้องถูกระบบเปลี่ยนหน้าเพจไปยังเว็บไซต์อื่นๆเพื่อชำระเงิน
    ชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรง
    จุดมุ่งหมายของวิธีการนี้คือ เพื่อยืนยันให้ชัดเจนว่าข้อมูลบัตรเครดิตของลูกค้าจะไม่มีปรากฎในเว็บไซต์ของร้านค้าเลย โดยเมื่อลูกค้าได้เข้าสู่ขั้นตอนการคิดยอดค่าชำระแล้ว ลูกค้าจะถูกนำไปยังระบบของผู้ให้บริการ เพื่อให้ข้อมูลบัตรเครดิตและหักเงินจากยอดชำระของรายการสั่งซื้อ
    วิธีการชำระผ่านเกตเวย์โดยตรง และผ่านอินเทอร์เฟซเกตเวย์นั้นมีความคล้ายคลึงกันมาก เว้นแต่ช่องแบบฟอร์มที่ลูกค้าจะต้องทำการกรอกข้อมูลบัตรเครดิตเพื่อชำระเงินนั้นมาจากคนละเว็บไซต์ ข้อมูลเหล่านั้นจะถูกส่งไปยังผู้ให้บริการโดยตรงหากเป็นวิธีการชำระผ่านเกตเวย์โดยตรงในขณะที่การชำระผ่านอินเทอร์เฟซเกตเวย์ ข้อมูลจะถูกส่งไปที่เว็บไซต์ของร้านค้าก่อนที่จะถูกนำไปส่งที่ผู้ให้บริการโดยอัตโนมัติอีกทอดหนึ่ง
    ในบางสภาวะนั้นทั้งสามวิธีการดังกล่าว สามารถตกเป็นเป้าจากการโจมตีในรูปแบบเหล่านี้ได้:
    1. ข้อมูลที่ถูกจัดเก็บไว้ –แฮคเกอร์ใช้การค้นหาตำแหน่งของไฟล์ที่มีการบันทึกข้อมูลบัตรเครดิตไว้ และคัดลอกเอาออกมา มักเกิดขึ้นกับผู้ประกอบการที่เลือกใช้วิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” และในบางครั้งเองก็อาจเกิดกับวิธีการ “ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ” ได้ด้วยหากผู้ประกอบการเกิดความเผลอเรอ
    2. ช่วงระหว่างการรอส่งข้อมูลให้ผู้บริการ–เนื่องจากวิธีการชำระผ่านอินเทอร์เฟซเกตเวย์นั้นจะไม่มีข้อมูลบัตรเครดิตถูกเก็บไว้ในระบบของร้านค้าเลย ดังนั้นแฮคเกอร์จึงต้องทำการดักจับข้อมูลในช่วงระหว่างที่เว็บไซต์ร้านค้ากำลังเตรียมนำข้อมูลบัตรเครดิตที่ลูกค้ากรอกลงในแบบฟอร์มชำระเงิน ส่งให้กับผู้ให้บริการ การดักจับข้อมูลจะกระทำโดยการบันทึกข้อมูลทุกรายการที่มีการระบุให้ส่งไปที่ผู้ให้บริการลงในไฟล์เพื่อที่จะได้ดาวน์โหลดหรืออีเมล์ออกมาดูได้
    3. เหยื่อล่อ และการสับเปลี่ยน–ในขณะที่การใช้วิธีการชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรงจะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลลงไปได้มาก แต่ก็ไม่ได้ทำให้ผู้ประกอบการสามารถทำให้เสี่ยงดังกล่าวหมดไปได้อย่างสิ้นเชิง ด้วยการเปลี่ยนแปลงการส่งข้อมูลบัตรเครดิตที่ลูกค้าได้ทำการกรอกลงไป
    ตัวอย่างเช่น แฮคเกอร์อาจทำการแฮคเว็บไซต์ร้านค้าให้ทำการแสดงแบบฟอร์มกรอกข้อมูลปลอมแทนที่จะเป็นแบบฟอร์มจากผู้ให้บริการจริงๆ ซึ่งเมื่อมีการกรอกข้อมูลลงไปแล้ว ข้อมูลจะถูกสำเนาออกเป็นสองชุด โดยชุดแรกจะถูกส่งไปที่ผู้ให้บริการจริง ในขณะที่อีกชุดจะส่งไปให้แฮคเกอร์เอง ทำให้ลูกค้าและตัวผู้ประกอบการเองไม่สามารถรู้ตัวได้ว่าถูกขโมยข้อมูลแล้ว
    หน้าที่ส่วนหนึ่งของผู้จัดทำบทความนี้คือการให้บริการตอบสนองกับภัยคุกคามที่เกิดขึ้น  ซึ่งต้องมีการสอบถามผู้ประกอบการที่ถูกขโมยข้อมูลบัตรเครดิตไป และมีจำนวนไม่น้อยที่ได้โต้แย้งว่าข้อมูลของพวกเขามีความปลอดภัย ไม่เกิดการรั่วไหลออกไปได้ ด้วยเหตุผลเหล่านี้:
    • ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
    • ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
    • มีการนำเอาระบบ SSLมาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
    • ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
    • ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
    ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
    เมื่อผู้ประกอบการยกเหตุผลนี้ขึ้นมา นั่นหมายถึง “เราไม่ได้มีความตั้งใจที่จะจัดเก็บข้อมูลบัตรเครดิตในระยะยาวเลย”เพราะผู้ประกอบการทุกคนต่างก็ทราบอยู่เสมอว่าพวกเขาไม่มีความจำเป็นที่จะต้องเก็บข้อมูลเหล่านั้นไว้เมื่อถึงจุดๆหนึ่งที่ทำรายการเก็บค่าชำระแล้วแต่การทำเช่นนั้นซึ่งเป็นส่วนหนึ่งของวิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” จะต้องมีการเก็บข้อมูลบัตรเครดิตไว้ระยะเวลาหนึ่งก่อนที่ข้อมูลบัตรจะถูกนำไปใช้ชำระเงินทีละรายการ โดยภายหลังจากขั้นตอนนี้แล้วผู้ประกอบการจะทำการลบข้อมูลบัตรเครดิตออกจากระบบของพวกเขา
    จากประสพการณ์ที่ทางผู้จัดทำบทความนี้ได้พบมานั้น น้อยครั้งนักที่ข้อมูลดังกล่าวจะถูกลบออกไปได้จนหมดสิ้น เพราะว่าผู้พัฒนาโปรแกรมรังเกียจการสูญหายของข้อมูล ดังนั้นโปรแกรมสำหรับการจัดการร้านค้าส่วนใหญ่จึงถูกปรับแต่งให้ทำการเปลี่ยนสถานะการรายการสั่งซื้อจากแจ้งความประสงค์ในการสั่งซื้อให้กลายเป็นสถานะถูกส่งสินค้าไปแล้ว และซ่อนข้อมูลอื่นๆของรายการสั่งซื้อ รวมไปถึงข้อมูลการชำระเงินของลูกค้าไว้มากกว่าการลบออกไป นอกจากนี้ในบางโปรแกรมยังได้มีค่าการปรับแต่งเริ่มต้นให้ทำการสำรองข้อมูลทั้งหมดไว้ที่ฐานข้อมูลเป็นประจำอีกด้วย
    อย่างไรก็ตาม หากพิจารณาถึงประเด็นข้างต้นที่กล่าวมา ช่วงเวลาดังกล่าวหากข้อมูลมีการจัดเก็บไว้ในระบบแม้แต่เพียงวินาทีเดียว ก็เป็นสิ่งเคลือบแคลงใจที่จะเกิดความเป็นไปได้ว่าข้อมูลจะถูกขโมยออกไปได้โดยแฮคเกอร์ ผู้ประกอบการส่วนใหญ่มักมีความเชื่อที่ผิดๆว่า แฮคเกอร์จะต้องทำการเฝ้าติดตามความเคลื่อนไหวของเว็บไซต์ร้านค้าตลอดเวลา และขโมยข้อมูลบัตรเครดิตจากรายการสั่งซื้อที่เพิ่มเข้ามาเก็บไว้ทีละรายการ แต่จากประสพการณ์ของผู้จัดทำบทความได้พบว่าแฮคเกอร์เหล่านี้ใช้ระบบอัตโนมัติเพื่อเพิ่มความสะดวกสบายและลดเวลาในการปฏิบัติการ เช่นการใช้สคริปต์ควบคุมให้คอมพิวเตอร์ของพวกเขาตรวจสอบรายการสั่งซื้อเข้าใหม่จากเว็บไซต์ร้านค้าเป้าหมายได้ทุกๆ 5นาที
    นอกจากนี้ยังเคยปรากฏการขโมยข้อมูลผ่านอินเทอร์เฟซของเกตเวย์ผู้ให้บริการอีกด้วย ในกรณีนี้มักเกิดจากข้อมูลในบัตรเครดิตถูกบันทึกไว้ในไฟล์ log โดยอุบัติเหตุ แม้ตัวผู้ประกอบการไม่ได้จงใจให้เกิดเหตุเช่นนั้น เช่น หน้าที่การบันทึกไฟล์ log ที่มาพร้อมกับโปรแกรมจัดการ, จากตัวระบบเอง, หรือการตั้งค่าติดตั้งที่มิได้รับการเปลี่ยนกลับครั้งเมื่อผู้ประกอบการทดสอบการติดตั้งโปรแกรมจัดการ
    ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
    หากผู้ประกอบการยกเหตุผลว่าข้อมูลบัตรเครดิตถูกเข้ารหัสไว้ คำถามที่เกิดขึ้นจะตามมานั้นคือ “เยี่ยมไปเลย –แต่พวกคุณทำอย่างไรถึงจะเห็นข้อมูลเหล่านั้นเวลาทำรายการคิดค่าชำระ?” คำตอบที่ได้รับนั้นมักระบุว่า ข้อมูลได้ถูกถอดรหัสเรียบร้อยปรากฏอยู่ที่หน้าจอให้แล้ว เมื่อเข้าไปทำรายการด้วยบัญชีที่ลงทะเบียนไว้ ซึ่งแน่นอนว่ามันควรจะต้องเป็นเช่นนั้น, เพราะผู้ประกอบการยังจำเป็นต้องนำข้อมูลบัตรเครดิตมาทำรายการด้วยตนเอง ดังนั้นโปรแกรมจัดการจึงต้องมีวิธีการบางอย่างเพื่อถอดรหัสไว้ด้วย
    ถึงแม้ความเป็นไปได้ที่ข้อมูลบัตรเครดิตถูกเข้ารหัสไว้อย่างรัดกุม และช่วยให้ผู้ประกอบการสามารถเข้าไปดูข้อมูลได้ในขณะที่ป้องกันมิให้แฮคเกอร์เห็นข้อมูลใดๆ (เช่น โปรแกรมจัดการซื้อขายของ LiteCommerceที่มีการเข้ารหัสแบบอสมมาตร ตามมาตรฐาน GPG)มากกว่า การเข้ารหัสด้วยกุญแจเพียงดอกเดียว แต่นั่นหมายถึงกระบวนการเข้ารหัสที่ด้วยกุญแจที่ถูกจัดเก็บไว้ในสถานที่เดียวกันและสามารถถูกเรียกใช้ได้ตลอดเวลาโดยเว็บแอพพลิเคชั่น
    การเข้ารหัสประเภทดังกล่าวมักไม่มีผลต่อแฮคเกอร์ที่สามารถแฮคเข้าเว็บไซต์ของร้านค้าได้เรียบร้อยแล้ว
    เมื่อแฮคเกอร์พบว่าข้อมูลที่ตนเองต้องการได้ถูกเข้ารหัสไว้ พวกเขาจะมองหาวิธีการถอดรหัสข้อมูลโดยวิเคราะห์จากโค้ดโปรแกรม เมื่อนำโค้ดในการถอดรหัสมาเรียบเรียงเขียนขึ้นใหม่ก็จะสามารถถอดรหัสเพื่อดูข้อมูลที่อยู่ข้างในได้
    มีการนำเอาระบบ SSL มาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
    ใบรับรองSSLเป็นส่วนหนึ่งที่สำคัญของความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซ โดยมีจุดประสงค์เพื่อปกป้องข้อมูลที่ถูกส่งผ่านจากเครื่องคอมพิวเตอร์ของผู้เข้าเยี่ยมชมเว็บไซต์หรือลูกค้าไปถึงเครื่องเซิฟเวอร์ของร้านค้า  โชคไม่ดีนักที่มันไม่ทำให้ข้อมูลมีความปลอดภัยเพิ่มขึ้นเลย เพราะเมื่อข้อมูลได้เดินทางถึงเครื่องเซิฟเวอร์ของร้านค้าแล้ว ใบรับรองSSL จะไม่สามารถป้องกันข้อมูลจากการถูกแฮคเว็บไซต์ร้านค้าโดยตรงได้
    ผู้ประกอบการส่วนใหญ่มักมีความเข้าใจผิดว่าใบรับรอง SSLจะสามารถช่วยป้องกันการโจมตีจากแฮคเกอร์ได้ทุกชนิด โดยเฉพาะกลุ่มรายย่อย
    ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
    ผู้ประกอบการจำนวนไม่น้อยที่มีการจ้างวานให้หน่วยงานที่สามเข้ามาดูแลจัดการตามมาตรฐาน PCI-DSS ซึ่งหลายต่อหลายครั้งผู้ประกอบการมีความเชื่อว่าหากผ่านมาตรฐานแล้ว พวกเขาจะไม่ต้องกังวลเรื่องความปลอดภัยอีก
    ซึ่งน่าเสียดายว่าความเชื่อเหล่านี้ไม่เป็นความจริง –ความปลอดภัยบนเว็บไซต์ของร้านค้ายังเป็นสิ่งที่จำเป็นต่อข้อมูลส่วนตัวและบัตรเครดิตของลูกค้า เพราะหากแฮคเกอร์สามารถที่จะเข้าไปขโมยข้อมูลเหล่านั้นออกมาได้ด้วยการแก้ไขการทำงานของเว็บไซต์หากสามารถแฮคเข้าไปควบคุมเครื่องเซิฟเวอร์ของร้านค้าได้สำเร็จ
    หากผู้ประกอบการเลือกใช้วิธีการคิดค่าชำระผ่านอินเทอร์เฟซเกตเวย์ แฮคเกอร์จะใช้การอีเมล์ข้อมูลบัตรเครดิตส่งมาให้ ในช่วงขั้นตอนการคิดราคาสินค้าเพื่อชำระเงินและเตรียมส่งให้ผู้บริการบัตรเครดิตตรวจสอบสถานะของบัตร
    ส่วนวิธีการชำระผ่านเกตเวย์โดยตรงนั้น แฮคเกอร์สามารถลวงให้ผู้ซื้อสินค้ากรอกข้อมูลบัตรเครดิตที่เว็บไซต์เกตเวย์ปลอมที่ได้สร้างขึ้นมาเตรียมไว้ จากนั้นทำการสำเนาข้อมูลการซื้อขาย แล้วส่งไปให้ที่เกตเวย์ของจริงอีกครั้งหนึ่ง ทำให้ผู้ประกอบการได้รับใบเสร็จจากการชำระเงิน และไม่เป็นที่สงสัยด้วย
    ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
    นี่อาจเป็นสาเหตุหลักที่ส่งผลให้เกิดแนวโน้มภัยคุกคามต่อเว็บไซต์อีคอมเมิร์ซมากที่สุด ผู้ประกอบการรายย่อยเกือบทุกรายที่ผู้จัดทำบทความได้เคยสอบถามได้เปิดเผยว่าพวกเขามีความเชื่อที่ว่าแฮคเกอร์มักมุ่งเป้าโจมตีไปที่บริษัทที่มีธุรกิจขนาดใหญ่ และถึงกับจินตนาการไปว่าในเวลาดังกล่าวจะต้องมีแฮคเกอร์จำนวนมากกำลังขบคิดหาวิธีโจมตีบริษัทใหญ่ๆเหล่านั้นอยู่
    ในความเป็นจริงนั้น แฮคเกอร์เกือบทั้งหมดมักไม่มีความสนใจว่าเป้าหมายของพวกเขาจะมีความใหญ่โตทางด้านธุรกิจเพียงใด ในทางกลับกันพวกเขามุ่งเป้าไปที่การพยายามเจาะระบบรักษาความปลอดภัยที่ใช้โดยผู้ประกอบการธุรกิจ เพราะสามารถพัฒนาเครื่องมือเพื่อใช้ในการแฮคได้ง่าย
    นอกจากนี้แล้วพวกเขายังมีทัศนคติในเชิงบวกอีกด้วย หากระบบที่ถูกแฮคจะมีข้อมูลบัตรเครดิตเพียงไม่กี่ใบก็ตาม พวกเขาก็เลือกที่จะลงมือแล้วหาเหยื่อรายถัดไป และเมื่อรวมกับการนำระบบขโมยข้อมูลที่ทำงานโดยอัตโนมัติแล้ว ทำให้มีค่าใช้จ่ายน้อย และสามารถกระทำการได้อย่างต่อเนื่อง
    เพราะเหตุฉะนี้เอง เป้าหมายการโจมตีจึงตกไปอยู่กับกลุ่มผู้ประกอบการรายย่อยซึ่งมักใช้โปรแกรมหรือซอฟต์แวร์ที่ฟรีหรือถูก แต่ไม่มีประสิทธิภาพในการป้องกันภัยได้ดีพอ
    แล้วเช่นนี้บทเรียนอะไรบ้างที่ผู้ประกอบการธุรกิจควรจะต้องทราบไว้ ?แนวทางง่ายๆด้านล่างนี้จะช่วยลดความเสี่ยงจากการถูกโจมตีโดยภัยคุกคามได้ ดังนี้:
    1.ไม่เก็บบันทึกข้อมูลบัตรเครดิต, มีเพียงบางสถานการณ์เท่านั้นที่ผู้ประกอบการจำเป็นต้องเก็บข้อมูลบัตรเครดิตไว้กับเครื่องเซิฟเวอร์ตัวเอง ผู้ประกอบการรายย่อยควรเลือกใช้วิธีชำระผ่านเกตเวย์โดยตรงโดยที่ไม่มีข้อมูลถูกจัดเก็บไว้
    2.หมั่นอัพเดตโปรแกรมจัดการร้านค้าให้ทันสมัยอยู่เสมอ, หลายครั้งที่แฮคเกอร์ใช้ประโยชน์จากช่องโหว่ของโปรแกรมที่ยังไม่ได้รับการแก้ไขในเวอร์ชั่นเก่าๆเพื่อโจมตีเว็บไซต์ร้านค้า
    3.ตรวจสอบเว็บไซต์ของตนเองเป็นประจำ, ตามที่ได้กล่าวมาทั้งหมดในบทความนี้ ผู้ประกอบการจะไม่สามารถรับรองความปลอดภัยของเว็บไซต์ได้ร้อยเปอร์เซ็นต์ ไม่เว้นแม้แต่การใช้วิธีชำระเงินผ่านเกตเวย์โดยตรงก็ตาม ผู้ประกอบการควรพิจารณานำเอาซอฟต์แวร์ที่ตรวจสอบการเปลี่ยนแปลงของข้อมูลของไฟล์หรือค่าติดตั้งในเซิฟเวอร์เข้ามาช่วยป้องกันการแก้ไขข้อมูลโดยมิได้รับอนุญาตจากผู้ไม่ประสงค์ดี และหากเป็นไปได้ ผู้ประกอบการควรทำการทดสอบการชำระเงินทุกวันเพื่อยืนยันว่าข้อมูลมิได้ถูกส่งไปที่อื่นด้วย

    วิเคราะห์ Malware จาก file bin.exe

    เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

    Hostname 122.155.18.90
    IP 122.155.18.90
    AS AS9931
    CAT-AP The Communication Authoity of Thailand, CAT
    Web server Apache/2
    OS Unknown
    ISP CAT Telecom public company Ltd
    City Bangkok
    Country Thailand
    Local time Thu Nov 15 15:53:26 ICT 2012

    http://checkip.me/whomap.php?domain=122.155.18.90

    มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
    วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
    วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
    วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
    (file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

    ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

    URL MD5 IP Threat
    2012-10-17 16:36:56 http://122.155.18.90/Done.exe… 312B9857A2476F7516BCB287CB404940 122.155.18.90 TH Trojan-Dropper.Win32.Dapato.btlt
    2012-10-04 23:21:16 http://122.155.18.90/1.exe… D648F3D2E177DFAC4EC34B154A2575D2 122.155.18.90 TH Win32/Injector.XFC trojan
    2012-07-26 09:46:27 http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe… 537E450713251692F260E7722D5BBF3D 122.155.18.90 TH Win32/Packed.Themida application
    2012-07-26 06:59:06 http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe… E9A63A6AA767986F9A502A0ECF178A61 122.155.18.90 TH Win32/Packed.Themida application
    2012-07-22 16:03:33 http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe… 482B9368AFBF39AC162BD0338AC30840 122.155.18.90 TH Win32/Packed.Themida application

    ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
    เอาตัวล่าสุดคือ bin.exe

    Scan date 2012-11-14 19:33:31 +00:00
    File name 4200663
    MD5 hash 5402d50803d892edfb8878a2ccbab0de
    File type Win32 EXE
    File Size (Byte) 2118144
    Detection ratio 27 / 44
    Scan result
    แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
    Scan result of virustotals
    Vendor Version Result Virus Name Database Date
    1. TotalDefense 37.0.10162 Virus not found 20121114
    2. MicroWorld-eScan 12.0.250.0 Virus not found 20121114
    3. nProtect 2012-11-14.02 Virus found Trojan.Generic.7962842 20121114
    4. CAT-QuickHeal 12.00 Virus not found 20121114
    5. McAfee 5.400.0.1158 Virus found Artemis!5402D50803D8 20121114
    6. K7AntiVirus 9.154.7858 Virus found Riskware 20121114
    7. TheHacker None Virus not found 20121113
    8. F-Prot 4.6.5.141 Virus found W32/Themida_Packed!Eldorado 20121114
    9. Symantec 20121.2.1.2 Virus found WS.Reputation.1 20121114
    10. Norman 6.08.06 Virus found W32/Troj_Generic.EWJYW 20121114
    11. ByteHero 1.0.0.1 Virus not found 20121110
    12. TrendMicro-HouseCall 9.700.0.1001 Virus found TROJ_GEN.R47CGJP 20121114
    13. Avast 6.0.1289.0 Virus found Win32:Malware-gen 20121114
    14. eSafe 7.0.17.0 Virus not found 20121112
    15.ClamAV 0.97.3.0 Virus not found 20121114
    16. Kaspersky 9.0.0.837 Virus found Trojan-Downloader.Win32.Dapato.mpc 20121114
    17. BitDefender 7.2 Virus found Trojan.Generic.7962842 20121114
    18. Agnitum 5.5.1.3 Virus found Suspicious!SA 20121114
    19. ViRobot 2011.4.7.4223 Virus not found 20121114
    20. Sophos 4.83.0 Virus found Mal/Behav-374 20121114
    21. Comodo 14201 Virus found UnclassifiedMalware 20121114
    22. F-Secure 9.0.17090.0 Virus found Trojan.Generic.7962842 20121114
    23. DrWeb 7.0.4.09250 Virus found Trojan.DownLoader7.21460 20121114
    24. VIPRE 13976 Virus found Trojan.Win32.Generic!BT 20121114
    25. AntiVir 7.11.50.24 Virus found TR/Crypt.XPACK.Gen 20121114
    26. TrendMicro 9.561.0.1028 Virus found TROJ_GEN.R47CGJP 20121114
    27. McAfee-GW-Edition 2012.1 Virus found Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20121114
    28. Emsisoft 3.0.0.569 Virus not found 20121114
    29. Jiangmin 13.0.900 Virus found Trojan/Miner.bd 20121114
    30. Antiy-AVL 2.0.3.7 Virus not found 20121113
    31. Kingsoft 2012.9.22.155 Virus not found 20121112
    32. Microsoft 1.8904 Virus not found 20121114
    33. SUPERAntiSpyware 5.6.0.1008 Virus not found 20121114
    34. GData 22 Virus found Trojan.Generic.7962842 20121114
    35. Commtouch 5.3.2.6 Virus not found 20121114
    36. AhnLab-V3 2012.11.15.00 Virus found Downloader/Win32.Dapato 20121114
    37. VBA32 3.12.18.3 Virus not found 20121114
    38. PCTools 8.0.0.5 Virus not found 20121114
    39. ESET-NOD32 7693 Virus found probably a variant of Win32/BitCoinMiner.H 20121114
    40. Rising 24.36.01.05 Virus not found 20121114
    41. Ikarus T3.1.1.122.0 Virus found Trojan.Win32.Miner 20121114
    42. Fortinet 5.0.26.0 Virus found W32/BitCoinMiner.H 20121114
    43. AVG 10.0.0.1190 Virus found Generic6_c.BDXE 20121114
    44. Panda 10.0.3.5 Virus found Trj/Thed.A 20121114
    File fuzzy hashing
    Context Triggered Piecewise Hashing ของไฟล์
    File ssdeep of 4200663
    49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx
    File metadata
    แสดงรายละเอียดและคุณลักษณะของไฟล์
    File exif of 4200663
    Property Value
    mimetype application/octet-stream
    subsystem Windows command line
    machinetype Intel 386 or later, and compatibles
    timestamp 2012:07:05 13:47:47+01:00
    filetype Win32 EXE
    petype PE32
    codesize 0
    linkerversion 10.0
    entrypoint 0x6e014
    initializeddatasize 2114048
    subsystemversion 5.1
    imageversion 0.0
    osversion 5.1
    uninitializeddatasize 0
    Portable Executable structural information
    Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1
    

    ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้
    

    1. 4200663
    

    2. output.4200663.txt
    

    3. bin.exe
    

    ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย
    

    122.155.18.90
    

    ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph
    

    วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555
    

    ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้
    

    

    

    

    
		
    

		
	
    


    

    

	
	
    

		
    วิเคราะห์ malware จาก file Extratos-Debitos.exe
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    

    Siamhelpจากข้อมูลใน siamhelp.org พบว่ามีเว็บหลายเว็บในประเทศไทยมีการติดเชื้อโดยไม่รู้ตัว ซึ่งอาจส่งผลให้คนที่เข้าเยี่ยมชมเว็บเหล่านั้นจะมีการติดเชื้อและแพร่ต่อๆกันไป กลายเป็นส่วนหนึ่งของปริมาณ botnet ที่เกิดขึ้นในปัจจุบัน
    

    จากข้อมูล http://www.siamhelp.org/reports/infect
    
เว็บที่ติดเชื้อ คือ http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe  (หากไม่มีระบบป้องกันห้ามเข้า path ดังกล่าว)
    

    เมื่อทำการวิเคราะห์
    
Step 1  ทำการ whois ที่ http://checkip.me/whomap.php?domain=daycare.kku.ac.th
    

    

    


    


    

    

  • delegation information (beta) for daycare.kku.ac.th
    

    


    

+-ams.sns-pb.isc.org ams.sns-pb.isc.org (199.6.1.30)

    

    

|
+-dns1.thnic.co.th dns1.thnic.co.th (202.28.1.22)

    

    

|
|
+-ns-a.thnic.co.th ns-a.thnic.co.th (61.19.242.38)

    

    

|
|
|
+-ns-e.thnic.co.th ns-e.thnic.co.th (194.0.1.28)

    

    

|
|
|
|
+-sfba.sns-pb.isc.org sfba.sns-pb.isc.org (149.20.64.3)

    

    

|
|
|
|
|
+-th.cctld.authdns.ripe.net th.cctld.authdns.ripe.net (193.0.9.116)

    

    

|
|
|
|
|
|
+-kknt.kku.ac.th (202.12.97.21)

    

    

|
|
|
|
|
|
|
+-kku1.kku.ac.th (202.12.97.1)

    

    

|
|
|
|
|
|
|
|
+-ns.thnic.net ns.thnic.net ns.thnic.net (202.28.0.1)

    

    

|
|
|
|
|
|
|
|
|
+-ns2.kku.ac.th (202.12.97.44)

    

    

|
|
|
|
|
|
|
|
|
|


    

    
    

    

    Step 2  ค้นหาความเกี่ยวข้อง DNS และการ routing 
    • 

    

    ค้นหาจาก http://sran.org/dns/   หรือ http://dns.robtex.com/daycare.kku.ac.th.html#records
    

    ผลลัพธ์คือ
    

    

    

    

    

    Step 3 ตรวจสอบในระดับ Web Application
    

    


    
Overview

    

    
    

    

    


    




    
    


    
URL
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe


    

    
IP
202.12.97.32

    

    
ASN
Unknown

    

    
Location
 Thailand

    

    



    
    

    

    โดยปรับ User agent ผ่าน http://urlquery.net
    

    


    
Settings

    

    
    

    

    


    



    
    


    
UserAgent
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

    

    
Referer


    

    
Adobe Reader
8.0

    

    
Java
1.6.0_26

    
    

    

    


    
Intrusion Detection Systems

    

    
    

    

    


    



    
    


    
Suricata /w Emerging Threats Pro


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILEMAGIC windows executable

    
    

    
    		

    

    
Snort /w Sourcefire VRT


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILE-IDENTIFY Portable Executable binary file magic detected

    
    

    
    		

    
    

    

    

    
    		

    
    

    

    

    

    ตรวจสอบโดยใช้ http://wepawet.iseclab.org
    

    

    Malware
    

    

    Additional (potential) malware:
    

    

    


    
URL
Type
Hash
Analysis

    
    


    
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe
PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly
320ba22fa9b47a135c235786e850f157

    
    

    

    

    รายละเอียด อ่าน http://wepawet.iseclab.org/view.php?type=js&hash=12a654aded391a575b177607f80ef00d&t=1351079337#sec_network
    

    

    

    สิ่งที่เห็นคือมีการ Redirect  ไปที่โดแมน arjunkarki.org  
    

    

    

    Network Activity
    

    

    


    
URL
Status
Content Type

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
302
text/html

    

    
 http://www.arjunkarki.org/media/Debitos-Extrato.jar
200
application/zip

    
    

    

    Redirects
    

    


    
From
To

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
http://www.arjunkarki.org/media/Debitos-Extrato.jar

    
    

    

    

    

    เมื่อทำการ whois  โดเมนที่ต้องสงสัย ผลที่ได้คือ
    

    

    

    Domain ID:D153928453-LROR
Domain Name:ARJUNKARKI.ORG
Created On:25-Aug-2008 16:18:46 UTC
Last Updated On:27-Oct-2012 02:21:26 UTC
Expiration Date:25-Aug-2013 16:18:46 UTC
Sponsoring Registrar:Click Registrar, Inc. d/b/a publicdomainregistry.com (R1935-LROR)
Status:OK
Registrant ID:DI_9323685
Registrant Name:Som Rai
Registrant Organization:Rural Reconstruction Nepal (RRN)
Registrant Street1:P.O.Box: 8130
Registrant Street2:Gairidhara
Registrant Street3:
Registrant City:Kathmandu
Registrant State/Province:Bagmati
Registrant Postal Code:n/a
Registrant Country:NP
Registrant Phone:+977.14427823
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:som@rrn.org.np
Admin ID:DI_9323686
Admin Name:Anup Manandhar
Admin Organization:Vianet Communications
Admin Street1:Pulchowk
Admin Street2:
Admin Street3:
Admin City:Kathmandu
Admin State/Province:Bagmati
Admin Postal Code:n/a
Admin Country:NP
Admin Phone:+977.15546410
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:anup@vianet.com.np
Tech ID:DI_9323686
Tech Name:Anup Manandhar
Tech Organization:Vianet Communications
Tech Street1:Pulchowk
Tech Street2:
Tech Street3:
Tech City:Kathmandu
Tech State/Province:Bagmati
Tech Postal Code:n/a
Tech Country:NP
Tech Phone:+977.15546410
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:anup@vianet.com.np
Name Server:DNS1.ARJUNKARKI.ORG
Name Server:DNS2.ARJUNKARKI.ORG
    

    

    

    รายละเอียดที่ http://checkip.me/whomap.php?domain=arjunkarki.org
    

    

    

    Link ไปที่เนปาลได้อย่างไร  ... 
    

    

    

    

    

    มีความเป็นไปได้ว่าเว็บไซต์ที่นำเสนอมีการโดนเจาะระบบแล้วมีการฝั่ง file ที่มี malware อยู่โดย malware ชนิดนี้ถูกควบคุมจากอีกที่หนึ่ง
    

    

    Step 4 วิเคราะห์ file malware
    

    

    ทำการ download file ผ่าน sandbox Anubis iseclab 
    

    

    


    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    


    

    


    

    

    

    


    


    


    
– Files Created:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Read:


    
    

    
    		

    

    


    


    
C:WINDOWSsystem32shell32.dll

    

    
C:lsarpc, Flags: Named pipe

    

    
c:autoexec.bat

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Modified:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    

    
C:lsarpc, Flags: Named pipeinfo

    

    
DeviceAfdAsyncConnectHlpinfo

    

    
DeviceAfdEndpointinfo

    

    
DeviceRasAcdinfo

    
    

    
    		

    
    

    


    

    


    


    


    

– File System Control Communication:


    
    

    
    		

    

    


    


    
File
Control Code
Times

    

    
C:lsarpc, Flags: Named pipe 
0x0011C017 
16 

    
    

    
    		

    
    

    


    

    


    


    


    

– Device Control Communication:


    
    

    
    		

    

    


    

    


    
File
Control Code
Times

    

    
DeviceAfdEndpoint 
AFD_GET_INFO (0x0001207B) 


    

    
DeviceAfdEndpoint 
AFD_SET_CONTEXT (0x00012047) 
10 

    

    
DeviceAfdEndpoint 
AFD_BIND (0x00012003) 


    

    
DeviceAfdEndpoint 
AFD_GET_TDI_HANDLES (0x00012037) 


    

    
DeviceAfdEndpoint 
AFD_GET_SOCK_NAME (0x0001202F) 


    

    
DeviceAfdEndpoint 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_SELECT (0x00012024) 


    

    
DeviceAfdEndpoint 
AFD_SET_INFO (0x0001203B) 


    

    
DeviceAfdAsyncConnectHlp 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_RECV (0x00012017) 


    

    
DeviceAfdEndpoint 
AFD_SEND (0x0001201F) 


    

    
unnamed file 
0x00120028 


    
    

    

    
    		

    
    

    


    

    


    


    


    

– Memory Mapped Files:


    
    

    
    		

    

    


    

    


    
File Name

    

    
C:WINDOWSSystem32wshtcpip.dll

    

    
C:WINDOWSsystem32DNSAPI.dll

    

    
C:WINDOWSsystem32RASAPI32.DLL

    

    
C:WINDOWSsystem32TAPI32.dll

    

    
C:WINDOWSsystem32WINMM.dll

    

    
C:WINDOWSsystem32WS2HELP.dll

    

    
C:WINDOWSsystem32WS2_32.dll

    

    
C:WINDOWSsystem32hnetcfg.dll

    

    
C:WINDOWSsystem32mswsock.dll

    

    
C:WINDOWSsystem32rasadhlp.dll

    

    
C:WINDOWSsystem32rasman.dll

    

    
C:WINDOWSsystem32rtutils.dll

    

    
C:WINDOWSsystem32sensapi.dll

    

    
C:WINDOWSsystem32shell32.dll

    

    
C:WINDOWSsystem32wsock32.dll

    
    

    

    
    		

    
    

    

    

    

    


    


    


    

– DNS Queries:


    
    

    
    		

    

    


    


    
Name
Query Type
Query Result
Successful
Protocol

    

    
daycare.kku.ac.th 
DNS_TYPE_A 
202.12.97.32 
YES 
udp 

    
    

    
    		

    
    

    


    

    


    


    


    

–  HTTP Conversations:


    
    

    
    		

    

    


    


    
From ANUBIS:1029 to 202.12.97.32:80 – [daycare.kku.ac.th]

    

    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    
    		

    
    

    

    

    

    


    


    


    

– Mutexes Created:


    
    

    
    		

    

    


    


    
CritOpMutex

    

    
MSCTF.Shared.MUTEX.IFG

    

    
_SHuassist.mtx

    
    

    
    		

    
    

    

    จากการใช้ virustotal ผลคือ
    

    

    

    File detail
    

    แสดงรายละเอียดพื้นฐานของไฟล์
    

    

    

    
File detail of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Scan date
2012-11-15 01:41:05 +00:00

    

    
File name
smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    

    
MD5 hash
b07609c11d52d6eaa75c368e414bb025

    

    
File type
Win32 EXE

    

    
File Size (Byte)
12800

    

    
Detection ratio
23 / 44

    
    

    

    

    

    

    

    Scan result
    

    แสดงผลลัพธ์การสแกน
    

    

    

    
Scan result of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Vendor
Version
Result
Virus Name
Database Date

    
    


    
TotalDefense
37.0.10163
Virus not found

20121115

    

    
MicroWorld-eScan
12.0.250.0
Virus found
Trojan.MSIL.Crypt.wvu (ES)
20121114

    

    
nProtect
2012-11-14.02
Virus not found

20121114

    

    
CAT-QuickHeal
12.00
Virus not found

20121114

    

    
McAfee
5.400.0.1158
Virus found
Artemis!B07609C11D52
20121115

    

    
K7AntiVirus
9.154.7858
Virus found
Riskware
20121114

    

    
TheHacker
None
Virus not found

20121113

    

    
F-Prot
4.6.5.141
Virus not found

20121114

    

    
Symantec
20121.2.1.2
Virus found
Downloader
20121115

    

    
Norman
6.08.06
Virus found
W32/Troj_Generic.FJBCF
20121114

    

    
ByteHero
1.0.0.1
Virus not found

20121110

    

    
TrendMicro-HouseCall
9.700.0.1001
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
Avast
6.0.1289.0
Virus found
Win32:Malware-gen
20121115

    

    
eSafe
7.0.17.0
Virus not found

20121112

    

    
ClamAV
0.97.3.0
Virus not found

20121115

    

    
Kaspersky
9.0.0.837
Virus found
Trojan.MSIL.Crypt.wvu
20121114

    

    
BitDefender
7.2
Virus not found

20121114

    

    
Agnitum
5.5.1.3
Virus not found

20121114

    

    
ViRobot
2011.4.7.4223
Virus not found

20121114

    

    
Sophos
4.83.0
Virus not found

20121115

    

    
Comodo
14205
Virus not found

20121115

    

    
F-Secure
9.0.17090.0
Virus not found

20121115

    

    
DrWeb
7.0.4.09250
Virus not found

20121115

    

    
VIPRE
13982
Virus found
Trojan.Win32.Generic!BT
20121115

    

    
AntiVir
7.11.50.38
Virus found
TR/MSIL.Crypt.wvu
20121115

    

    
TrendMicro
9.561.0.1028
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
McAfee-GW-Edition
2012.1
Virus found
Artemis!B07609C11D52
20121115

    

    
Emsisoft
3.0.0.569
Virus found
Trojan.MSIL.Crypt.AMN (A)
20121115

    

    
Jiangmin
13.0.900
Virus not found

20121114

    

    
Antiy-AVL
2.0.3.7
Virus not found

20121115

    

    
Kingsoft
2012.9.22.155
Virus found
Win32.Troj.Crypt.(kcloud)
20121112

    

    
Microsoft
1.8904
Virus not found

20121114

    

    
SUPERAntiSpyware
5.6.0.1008
Virus found
Trojan.Agent/Gen-Frauder
20121115

    

    
GData
22
Virus found
Win32:Malware-gen
20121115

    

    
Commtouch
5.3.2.6
Virus not found

20121114

    

    
AhnLab-V3
2012.11.15.00
Virus found
Spyware/Win32.ArchSMS
20121114

    

    
VBA32
3.12.18.3
Virus not found

20121114

    

    
PCTools
8.0.0.5
Virus found
Downloader.Generic
20121115

    

    
ESET-NOD32
7693
Virus found
MSIL/TrojanDownloader.Banload.K
20121114

    

    
Rising
24.36.01.05
Virus not found

20121114

    

    
Ikarus
T3.1.1.122.0
Virus found
Trojan.Msil
20121115

    

    
Fortinet
5.0.26.0
Virus found
MSIL/Banload.K!tr
20121115

    

    
AVG
10.0.0.1190
Virus found
Agent3.CKIJ
20121115

    

    
Panda
10.0.3.5
Virus found
Trj/CI.A
20121114

    
    

    

    

    

    

    


    

    


    

    


    

    


    

    

    File fuzzy hashing
    

    Context Triggered Piecewise Hashing ของไฟล์
    

    

    

    
File ssdeep of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    192:sxwuKTS5DJ+z2LdY1GQk7b1AURjsNyHRW+iBMWO7h7urmpvL2IYRR2:huKTS5MsYoKLYHR2MDyrmpD2s
    

    

    

    

    

    File metadata
    

    แสดงรายละเอียดและคุณลักษณะของไฟล์
    

    

    

    
File exif of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Property
Value

    
    


    
subsystemversion
4.0

    

    
linkerversion
8.0

    

    
imageversion
0.0

    

    
fileversionnumber
0.0.0.0

    

    
uninitializeddatasize
0

    

    
languagecode
Neutral

    

    
fileflagsmask
0x003f

    

    
characterset
Unicode

    

    
initializeddatasize
1536

    

    
originalfilename
loader.exe

    

    
mimetype
application/octet-stream

    

    
legalcopyright


    

    
fileversion
0.0.0.0

    

    
timestamp
2012:11:08 19:35:04+00:00

    

    
filetype
Win32 EXE

    

    
petype
PE32

    

    
internalname
loader.exe

    

    
productversion
0.0.0.0

    

    
filedescription


    

    
osversion
4.0

    

    
fileos
Win32

    

    
subsystem
Windows GUI

    

    
machinetype
Intel 386 or later, and compatibles

    

    
codesize
10752

    

    
filesubtype
0

    

    
productversionnumber
0.0.0.0

    

    
entrypoint
0x48ee

    

    
objectfiletype
Executable application

    

    
assemblyversion
0.0.0.0

    
    

    

    

    

    

    

    

    

    

    

    รายละเอียดดูจาก http://www.siamhelp.org/scan/result/file/b07609c11d52d6eaa75c368e414bb025
    

    

    เมื่อเอาค่า MD5 จาก file ไวรัสมาตรวจสอบพบว่า มี File name ที่เป็นไวรัสเดียวกันดังนี้
    

    

    

    File names 
    

      

    1. Extratos-Debitos.exe
      2. 

    2. file-4758613_exe
      3. 

    3. loader.exe
      4. 

    4. output.3545948.txt
      5. 

    5. b2c920576cebc4cde06f22763d9bf116f0a3e9cb.exe
      6. 

    6. 3545948
      7. 

    7. smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
      8. 

    

    แล้วพบกันตอนหน้า …