สถิติภัยคุกคามที่เกิดขึ้นกับผู้ให้บริการโทรคมนาคมและอินเทอร์เน็ตในประเทศไทย ปี 2556

ข้อมูลที่นำเสนอต่อไปนี้เป็นการรวบรวมสถิติโดยเฉพาะภัยคุกคามทางโทรคมนาคมและอินเทอร์เน็ตที่เกิดขึ้นในประเทศไทย จึงคิดว่าควรจัดรวบรวมข้อมูลนี้สรุปเป็นรายปี เกิดขึ้นโดยการรวมค่าที่ได้มาจาก ASN (Autonomous System Number) ที่มีอยู่ในประเทศไทยและค้นหาตามไอพีที่อยู่ภายใต้ ASN จัดรวมในรูปข้อมูลบนฐานข้อมูลกลางทำให้เราเห็นภาพรวมที่น่าสนใจ

ภาพจากระบบ SRAN : Thailand Internet Map System ที่จัดทำขึ้นเมื่อปลายปี 2556  
จากข้อมูลที่ทางทีมงาน SRAN ได้รวบรวมขึ้นมาเมื่อเดือนธันวาคม พ.ศ. 2556 พบว่า
จากภาพแผนที่อินเทอร์เน็ตที่ทางศูนย์เทคโนโลยีและคอมพิวเตอร์แห่งชาติ NECTEC ได้จัดทำขึ้นในเดือนธันวาคม 2556 ที่เป็น International Internet Gateway มาประกอบกับข้อมูลที่ทางทีมงาน SRAN จัดทำลงฐานข้อมูลจะสามารถสรุปได้ดังนี้

1. เส้นทางการเชื่อมต่ออินเทอร์เน็ตในประเทศไทยไปยังต่างประเทศ
จากจำนวนค่า ASN ที่ Active โดยมีการเส้นทางการเชื่อมต่ออินเทอร์เน็ตและมีการใช้งานแก่ผู้บริโภคทางโทรคมนาคมจำนวน 252 ASN พบลิงค์ไปยังต่างประเทศ 46 ประเทศที่ปรากฏ

จะพบว่าเส้นทางเชื่อมต่อินเทอร์เน็ตไปที่ประเทศสหรัฐอเมริกาจำนวนมากที่สุดถึง 22 ลิงค์ รองลองมาคือประเทศญี่ปุ่น จำนวน 8 ลิงค์ และประเทศออสเตเลีย และอังกฤษจำนวน 7 ลิงค์
ASN ที่สำคัญในประเทศไทย
2. CAT Telecom 
– AS4651  มีการเชื่อมโยงดังนี้
ภาพแผนที่การเชื่อมโยงอินเทอร์เน็ตขาต่างประเทศของ AS4651
รวมลิงค์ที่เชื่อม AS4651 จำนวน 21 ลิงค์ที่ไปต่างประเทศ
โดยเชื่อมกับประเทศสหรัฐอเมริกาจำนวน 8 ลิงค์ ประเทศอังกฤษ จำนวน 3 ลิงค์ และฮ่องกง จำนวน 3 ลิงค์ เป็นต้น
– AS4652 
– AS9931
3. TOT
 AS38040 
เมื่อทำการวิเคราะห์ภาพรวมประเภทหน่วยงานภายในประเทศไทย แบ่งเป็น 3 ชนิดภัยคุกคามจาก 5 กลุ่มประเภทหน่วยงาน ซึ่งประกอบด้วย
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ (Malware) ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้และมีการนำไฟล์ไวรัสเข้าสู่เครื่องคอมพิวเตอร์
โดยสามารถจัดอันดับตาม ASN ในประเทศไทยได้ดังนี้
(ข้อมูลจาก www.sran.net)
รายชื่อ 10 อันดับ หน่วยงานที่พบการโจมตีบนโลกไซเบอร์ (Web Attack) มากที่สุดในประเทศไทย 
อันดับ 1 AS9931  ของบริษัท CAT Telecom  จำนวนที่พบ 6,543 ครั้ง
อันดับ 2 AS9891 ของบริษัท CS LOXINFO  จำนวนที่พบ 1,913 ครั้ง
อันดับ 3 AS4618 ของบริษัท Internet Thailand Company Limited จำนวน 1,336 ครั้ง
อันดับ 4 AS56067 ของบริษัท Metrabyte company จำนวน 1,330 ครั้ง
อันดับ 5 AS23974 ของกระทรวงศึกษาธิการ จำนวน 924 ครั้ง
อันดับ 6 AS4765 ของบริษัท World Net & Services จำนวน 916 ครั้ง
อันดับ 7 AS4621 ของโครงข่ายมหาวิทยาลัยและสถาบันการศึกษา จำนวน 599 ครั้ง
อันดับ 8 AS7470 ของบริษัท True Internet จำนวน 294 ครั้ง
อันดับ 9 AS23884 ของบริษัท Proimage Engineering and Communication จำนวน 261 ครั้ง
อันดับ 10 AS9737 ของบริษัท TOT จำนวน 183 ครั้ง
รายชื่อ 10 อันดับ หน่วยงานที่พบว่ามีการติดเชื้อ (Malware) มากที่สุดในประเทศไทย
อันดับ 1 AS9931 ของบริษัท CAT Telecom จำนวน 19,027 ครั้ง
อันดับ 2 AS9891 ของบริษัท CS Loxinfo จำนวน 3,607 ครั้ง
อันดับ 3 AS56067 ของบริษัท Metra byte company จำนวน 2,612 ครั้ง
อันดับ 4 AS131447 ของบริษัท POP IDC จำนวน 1,596 ครั้ง 
อันดับ 5 AS23884 ของบริษัท Proimage Engineering and Communication จำนวน 860 ครั้ง
อันดับ 6 AS9737 ของบริษัท TOT จำนวน 650 ครั้ง
อันดับ 7 AS23974 ของกระทรวงศึกษาธิการ จำนวน 639 ครั้ง
อันดับ 8 AS7654 ของบริษัท Internet Service Provider จำนวน 592 ครั้ง
อันดับ 9 AS7470 ของบริษัท True Internet จำนวน 405 ครั้ง
อันดับ 10 AS56309 ของบริษัท Siam Data จำนวน 386 ครั้ง
Nontawattana  Saraman
SRAN Dev

นนทวรรธนะ  สาระมาน
18/01/57

แนวโน้มภัยคุกคามที่เกิดขึ้นในปี 2557

ทางทีมงาน SRAN ได้รวบรวมภัยคุกคามที่คิดว่ามีแนวโน้มจะเกิดขึ้นในปี 2557 มาให้อ่านโดยประกอบเนื้อหาดังนี้

1. การใช้บริการธนาคารผ่านทางโทรศัพท์มือถือ จะได้รับผลกระทบจากการโจมตี MITM การพิสูจน์ยืนยันสองขั้นตอน ไม่เพียงพออีกต่อไป

ปี 2555 เราได้เห็นถึงการเพิ่มขึ้นอย่างรวดเร็วของภัยคุกคามบริการธนาคารออนไลน์ ไตรมาสที่สามเห็นการติดเชื้อมัลแวร์ในระดับสูงอย่างที่ไม่เคยเกิดขึ้นมาก่อน
ภัยคุกคามธนาคารไม่ได้จำกัดอยู่ที่คอมพิวเตอร์เพียงอย่างเดียว เรายังพบมัลแวร์เหล่านี้ในโทรศัพท์มือถืออีกด้วย แอพบริการธนาคารปลอมกลายเป็นปัญหาที่พบบ่อย และได้ตกเป็นเป้าหมายของอาชญากร นำมาโดยแอพมุ่งร้ายที่เสแสร้งว่าเป็นตัวสร้างรหัสสำหรับการพิสูจน์ตัว
การใช้โทรศัพท์มือถืออย่างไม่ตั้งใจ อาจทำให้การพิสูจน์ยืนยันสองขั้นตอนไม่เพียงพอ เนื่องจากผู้คนใช้โทรศัพท์มือถือเพื่อการทำธุรกรรมทางการเงิน และการพิสูจน์ตัวมากขึ้น อาชญากรเริ่มใช้การดักข้อมูลตัวเลขที่ใช้เพื่อการพิสูจน์ตัว โดยอาศัยความช่วยเหลือจากมัลแวร์บนโทรศัพท์มือถือ เช่นPERKEL และ ZITMO

ในปี 2556 เกือบหนึ่งในห้าของผู้ใช้สมาร์ทโฟนในสหรัฐ ฯ ทำธรุกรรมผ่านทางอุปกรณ์พกพา คาดว่าตัวเลขนี้จะเพิ่มขึ้นในปี 2557 ซึ่งจะเป็นปีแห่งใช้บริการธนาคารในโทรศัพท์มือถือ แต่คาดได้ว่าจะมีภัยคุกคามอย่างการโจมตี man-in-the-middle (MitM) เพิ่มขึ้นด้วย

แอนดรอยด์จะยังคงเป็นระบบปฏิบัติการที่โดดเด่นมากที่สุดในตลาด แต่ความโดดเด่นนี้จะยังคงถูกใช้ประโยชน์ เนื่องจากเราคาดเดาว่าปริมาณของแอพมุ่งร้ายและมีความเสี่ยงสูง จะไปถึงสามล้านแอพ ภายในสิ้นปี 2557 ถึงแม้ Google จะทุ่มเทความพยายามในการแก้ไขปัญหานี้ โดยการออกระบบปฏิบัติการใหม่ Android KitKat แต่ไม่ใช่ผู้ใช้ทุกคนที่จะได้รับประโยชน์จากฟีเจอร์ด้านความปลอดภัยใหม่นี้ เนื่องจากปัญหาในขั้นตอนการอัพเดทของระบบปฏิบัติการ

ระบบปฏิบัติการใหม่ ๆ สำหรับโทรศัพท์มือถือ เช่น Tizen, Sailfish และ Firefox ที่อ้างว่าสามารถทำงานร่วมกับแอพของแอนดรอยด์ได้ กำลังเข้าสู่ตลาด ข้อดีคือ ทำให้แอพของแอนดรอยด์สามารถทำงานบนระบบปฏิบัติการอื่น ๆ ได้ แต่ก็มีข้อเสียคือ ช่วยให้อาชญากรสร้างภัยคุกคามสำหรับหลากหลายแฟลตฟอร์มได้ง่ายมากยิ่งขึ้น

2. อาชญากรจะใช้วิธี targeted attack และ spear phishing เพิ่มมากขึ้น

targeted attack เป็นการโจมตีที่มุ่งเป้าไปยังผู้ใช้ บริษัท หรือองค์การแบบเฉพาะเจาะจง ไม่ทำแบบสุ่มไปทั่ว แต่จะออกแบบมาเพื่อโจมตีและละเมิดเป้าหมายเฉพาะเท่านั้น

ในปี 2556 การโจมตีครั้งหนึ่งสามารถควบคุมคอมพิวเตอร์มากกว่า 12,000 ไอพีจากประเทศต่าง ๆ มากกว่า 100 ประเทศ โดยใช้เครื่องแม่ข่ายcommand-and-control (C&C) เพียงสองตัว แสดงให้เห็นว่าขนาดนั้นไม่สำคัญ แม้แต่การโจมตีที่เล็กที่สุดก็สามารถใช้ได้ผลกับเป้าหมายขนาดใหญ่ที่สุดได้ การโจมตีที่ประสบความสำเร็จเหล่านี้ทำให้อาชญากรนำเทคนิคของ targeted attack มาใช้

ในปี 2557 อาชญากรจะใช้วิธี targeted attack เพิ่มมากขึ้น การค้นคว้าเกี่ยวกับซอฟท์แวร์โอเพ่นซอร์ส และการโจมตี spear phishing จะมีเพิ่มมากขึ้น

spear phishing เป็นความพยายามหลอกลวงโดยใช้อีเมลปลอม มุ่งเป้าไปที่องค์การเฉพาะเจาะจง เพื่อให้สามารถเข้าถึงข้อมูลความลับ โดยทั่วไปแล้ว จะไม่ใช่การกระทำแบบสุ่ม แต่เป็นเกิดจากผู้กระทำความผิดที่มุ่งหวังผลประโยชน์ทางการเงิน ความลับทางการค้า หรือข้อมูลข่าวสารทางทหาร

แรงจูงใจของการนำเทคนิคของ targeted attack มาใช้ มีมากกว่าเรื่องอัตราผลสำเร็จ ยังเป็นเพราะการใช้งานง่าย และประสิทธิผลในการหลบหลีกการตรวจจับ ส่วนการโจมตี spear phishing ยังทำได้ค่อนข้างง่าย และยากในการติดตามหาต้นตอ

จะมีการใช้ช่องโหว่ CVE-2012-0158 และ CVE-2010-3333 เพื่อโจมตีเป้าหมายต่อไป โดยเฉพาะ CVE-2010-3333 เป็นช่องโหว่ที่ถูกโจมตีมากที่สุดใน Microsoft Word จนกระทั่งมีช่องโหว่ CVE-2012-0158 ปรากฏขึ้นมา

อย่างไรก็ตามอาชญากรจะไม่อาศัยเพียงช่องโหว่ในซอฟท์แวร์และระบบเท่านั้น แต่ยังพยายามเอาชนะจุดอ่อนที่สุด คือมนุษย์นั่นเอง

3. ในปริบทของ targeted attack เราจะเห็นการโจมตี  clickjacking และ watering hole มากขึ้น

watering hole เป็นกลยุทธ์ในการโจมตีที่ค้นพบในปี 2555 โดยบริษัท RSA โดยผู้โจมตีต้องการโจมตีกลุ่มเฉพาะเจาะจง ประกอบด้วยสามขั้นตอนคือ หนึ่ง คาดเดาหรือสังเกตเว็บไซต์ที่กลุ่มนั้นใช้งานบ่อย สอง แพร่มัลแวร์ไปยังเว็บไซต์เหล่านี้ สาม สมาชิกในกลุ่มเป้าหมายติดเชื้อมัลแวร์ โดยอาศัยความเชื่อถือที่กลุ่มเป้าหมายมีต่อเว็บไซต์ ทำให้กลยุทธ์นี้มีประสิทธิภาพ ถึงแม้กลุ่มนี้จะมีความต้านทานต่อการโจมตี spear phishing หรือรูปแบบอื่น ๆของphishing

ปี 2556 เฟซบุ๊คตกเป็นเหยื่อของการโจมตี watering hole ต้นตอมาจากเว็บไซต์ของผู้พัฒนา iPhone แห่งหนึ่ง การโจมตีนี้โดดเด่น เนื่องจากความแม่นยำและความสำคัญของเหยื่อ โดยผู้โจมตีได้ฝังมัลแวร์ไปในหน้าเว็บหนึ่ง ที่รู้ว่าสามารถดึงดูดเป้าหมายที่พวกเขาต้องการได้ เหตุการณ์นี้แสดงให้เห็นว่า ผู้โจมตีไม่จำเป็นต้องอาศัยกลวิธีแนบไฟล์มาพร้อมอีเมล ตามแบบดั้งเดิมเท่านั้น

เราจะเห็นการโจมตี watering hole มากขึ้นในปี 2557 ผู้โจมตีจะหลอกล่อเป้าหมายมายังไซต์ที่มี watering hole โดยใช้เทคนิค social engineeringหรือ clickjacking เพื่อที่จะใช้ช่องโหว่เพื่อบุกรุกคอมพิวเตอร์

clickjacking เป็นเทคนิคในการหลอกล่อผู้ใช้ให้คลิกที่บางสิ่งบางอย่าง ที่แตกต่างจากสิ่งที่ผู้ใช้เข้าใจว่ากำลังคลิกอยู่ ซึ่งจะเปิดเผยข้อมูลความลับ หรือยึดการควบคุมคอมพิวเตอร์ ในขณะที่กำลังคลิกในหน้าเว็บที่ดูเหมือนไม่มีอันตราย เป็นปัญหาความปลอดภัยของเว็บบราวเซอร์ clickjack จะใช้รูปแบบของโค้ดหรือสคริปท์ที่สามารถปฏิบัติการโดยที่ผู้ใช้ไม่รู้ตัว เช่นการคลิกที่ปุ่มที่ดูเหมือนจะทำงานอีกหน้าที่หนึ่ง

จากการที่มีช่องโหว่ในระบบปฏิบัติการที่พบน้อยลง ผู้โจมตีจะหันไปสนใจกับช่องโหว่ในชุดซอฟท์แวร์มากขึ้น โดยเฉพาะซอฟท์แวร์ที่ไม่ได้รับการสนับสนุนจากผู้ขายอีกต่อไป ซึ่งจะนำไปสู่การโจมตีที่มุ่งเป้าไปที่ช่องโหว่ที่ค้นพบใหม่ ๆ

ผู้โจมตีจะไม่อาศัยอีเมลเป็นพาหะการโจมตีเพียงอย่างเดียว ด้วยการเพิ่มขึ้นของแนวโน้มที่พนักงานนำอุปกรณ์ไอทีของตนมาใช้ในที่ทำงาน (consumerization) ซึ่งจะทำให้โทรศัพท์มือถือกลายเป็นพาหะในการโจมตีเพิ่มมากขึ้น ผู้โจมตีจะมุ่งเป้าไปที่อุปกรณ์ใด ๆ ที่จะเชื่อมต่อกับเครือข่ายเป้าหมาย ทำให้อุปกรณ์ที่สวมใส่ได้อย่างนาฬิกาอัจฉริยะ (smart watches) ก็จะกลายเป็นเป้าหมายใหม่ด้วย

4. เราจะได้เห็นการละเมิดข้อมูลครั้งสำคัญ เกิดขึ้นเดือนละครั้ง

ข้อมูลยังคงเป็นสิ่งที่ดึงดูดใจสำหรับอาชญากร การบุกรุกระบบของ Adobe เมื่อไม่นานมานี้ได้ขโมยข้อมูลของผู้ใช้ราว 150 ล้านบัญชี ทำให้เกิดโดมิโน เอฟเฟกต์ ผู้ให้บริการรายอื่น ๆ เตือนผู้ใช้ให้อัพเดทบัญชี เพื่อป้องกันการบุกรุกในกรณีที่ใช้ข้อมูลล็อกอินและรหัสผ่านเหมือนกัน

ปี 2556 ได้เกิดการละเมิดข้อมูลขึ้นหลายครั้ง Evernote ขอให้ผู้ใช้ 50 ล้านราย อัพเดทบัญชีของตน หลังจากค้นพบว่าแฮกเกอร์อาจได้เข้าถึงข้อมูลเหล่านี้ LivingSocial ถูกละเมิดข้อมูลของผู้ใช้ 50 ล้านคน ส่วน Yahoo! ญี่ปุ่นถูกละเมิดข้อมูลของผู้ใช้ 22 ล้านราย

เหตุการณ์สำคัญ ๆ เหล่านี้จะยังคงดำเนินต่อไปในปี 2557 เครื่องแม่ข่ายเว็บที่เหมือนกับ Adobe จะยังคงตกเป็นเป้าหมายต่อไป ไม่มีองค์การใดที่จะปลอดภัยจากการละเมิดข้อมูล ใครบางคนจะพยายามบุกรุกเครือข่ายโดยใช้เครื่องมือและการโจมตีช่องโหว่ใหม่ ๆ

5. การโจมตีช่องโหว่ในซอฟท์แวร์ที่ผู้จำหน่ายยกเลิกการสนับสนุนแล้ว แต่ยังมีการใช้กันอย่างกว้างขวาง เช่น Java 6 และ Windows XP จะเพิ่มมากขึ้น

อาชญากรพยายามค้นหาช่องโหว่ในการรักษาความปลอดภัย เพื่อเริ่มการโจมตี การสิ้นสุดการสนับสนุน Java 6 เมื่อต้นปี 2556 พิสูจน์ได้ว่าเป็นโอกาสทอง

โปรแกรมโจมตีช่องโหว่ (exploit) ใน Java ได้ถูกผนวกเข้ากับ Neutrino Exploit Kit ซึ่งเป็นที่รู้กันดีว่าใช้สำหรับแพร่เชื้อมัลแวร์เข้าไปในคอมพิวเตอร์เพื่อเรียกค่าไถ่ (ransomware) สิ่งที่ทำให้การโจมตีนี้สร้างปัญหาใหญ่คือ จำนวนผู้ใช้ Java ราวร้อยละ 50 ยังคงใช้ Java 6

อาชญากรใช้เทคนิค reverse-engineer กับ patch ที่ผู้จำหน่ายปล่อยออกมา เพื่อตรวจสอบว่าช่องโหว่ไหนที่แก้ไขไปแล้ว และใช้ความรู้นี้เพื่อมุ่งเป้าการโจมตีที่ระบบเก่า โดยเฉพาะซอฟท์แวร์ที่ยกเลิกการสนับสนุนแล้ว สิ่งนี้อาจเป็นสาเหตุที่ทำให้เกิดการโจมตี Java 6

คนร้ายยังโจมตีช่องโหว่ในซอฟท์แวร์เฉพาะด้านอีกด้วย  ช่องโหว่ต่าง ๆ ใน Adobe ColdFusion ที่ใช้ในการพัฒนาเว็บแอพพลิเคชั่น ได้ถูกโจมตีเพื่อเข้าถึงฐานข้อมูล เฉพาะปี 2556 ได้มีการละเมิดข้อมูลที่มุ่งเป้าที่หน่วยงานทางทหาร รัฐบาล และการวิจัยทางอวกาศ มีรายงานว่าการละเมิดเหล่านี้ เป็นผลมาจากการเข้าถึงซอร์สโค้ดของ ColdFusion อย่างผิดกฏหมาย

จากการที่ไมโครซอฟท์จะหยุดให้การสนับสนุนสำหรับ Windows XP ในปี 2557 เราจะได้เห็นเหตุการณ์แบบเดียวกันกับ Java 6คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการนี้มีความเสี่ยงในการติดมัลแวร์ มากกว่าวินโดวส์เวอร์ชั่นอื่น ๆ 6 เท่า ตัวเลขอาจสูงขึ้นอีกหลังจากการสนับสนุนหยุดลงแล้ว

ข้อมูลบอกไว้ว่าราวร้อยละ 20 ของผู้ใช้พีซียังใช้ Windows XP ตัวเลขอาจจะไม่มากเท่ากับผู้่ใช้ Windows 7 แต่ยังคงแสดงให้เห็นถึงตัวเลขของผู้ที่อาจตกเป็นเหยื่อ ช่วยไม่ได้ที่ Windows XP ยังคงมีฐานผู้ใช้งานกว่า 300 ล้านเครื่องในบริษัทต่าง ๆ อีกด้วย

ระบบฝังตัวต่าง ๆ (embedded sytem) รวมถึงเทอร์มินัลของ point-of-sale (PoS) อุปกรณ์ในสถานพยาบาล และโครงสร้างพื้นฐานที่สำคัญ อาจเป็นต้นเหตุของภัยคุกคามเครือข่าย เนื่องจากมักจะใช้วินโดวส์รุ่นเก่าที่ไม่ได้รับการสนับสนุนจากผู้ขาย ถึงแม้ว่าระบบเหล่านี้มีความเฉพาะเจาะจงสูงมาก อาชญากรอาจใช้ประโยชน์จากการขาดการสนับสนุนและใช้เพื่อจุดเริ่มต้นการบุกรุก

คาดว่าการโจมตี ColdFusion จะดำเนินต่อไปในปี 2557 เช่นกัน เพราะการโจมตีที่ผ่านมาไม่นาน พบว่าเป็นเหยื่อที่มีค่าสูง อาชญากรจะยังคงโจมตีที่คล้ายคลึงกัน โดยหวังว่าจะได้พบกับเป้าหมายที่เป็นเป้าสายตาของสาธารณะชน

6. Deep Web จะท้าทายฝ่ายบังคับใช้กฏหมาย

Deep Web เข้ามาอยู่ในความสนใจหลังจากเอฟบีไอได้จับกุม Silk Road ซึ่งเป็นตลาดใต้ดิน แต่ถือกันว่าเป็นชัยชนะเพียงเล็กน้อย เนื่องจากมีการพบเห็นเว็บไซต์เวอร์ชั่นใหม่ขึ้นมาอีก เพียงหนึ่งเดือนหลังจากการปิดตัว ตลาดอื่น ๆ ก็จะทำตามในไม่ช้า โดยอ้างว่า มีความปลอดภัยที่ดีกว่าสำหรับผู้ซื้อและผู้ขาย

การแก้ไขอาชญากรรมทางอินเทอร์เน็ตทำได้ยาก เนื่องจากโดยธรรมชาติแล้ว แตกต่างจากอาชญากรรมทั่วไป หน่วยงานบังคับใช้กฎหมายอาจไม่มีระเบียบการ หรือบุคลากรที่ถูกต้อง เพื่อจัดการกับอาชญากรรมทางอินเทอร์เน็ต ความยุ่งยากยังเกิดขึ้นเมื่อการสืบสวนเกี่ยวข้องกับรัฐและประเทศที่แตกต่างกัน ซึ่งอาจมีกฎหมายและระเบียบการที่หลากหลาย

ในปี 2557 อาชญากรจะหลบซ่อนใต้ดินลึกมากยิ่งขึ้น Deep Web ให้การปิดบังชื่อผ่านทาง ‘darknets’ ซึ่งเป็นเครือข่ายชนิดหนึ่ง ที่รับประกันได้ถึงการเข้าถึงที่ไม่เปิดเผย และไม่สามารถตามรอยได้ เครือข่าย darknet ที่นิยมมากที่สุดคือ The Onion Router (TOR) Deep Web ยังช่วยให้อาชญากรสามารถซ่อนเนื้อหาจากการตรวจสอบ โดยสามารถหลบหลีกจาก search engine ได้ ดังนั้นเนื้อหาที่ประกาศลงใน Deep Web จึงไม่สามารถเข้าถึงผ่านทางโครงสร้างพื้นฐานอินเทอร์เน็ตสาธารณะได้

หน่วยงานบังคับใช้กฎหมาย ซึ่งอาจไม่มีความรู้หรือประสบการณ์เพียงพอในการจัดการกับอาชญากรรมทางอินเทอร์เน็ต จะประสบความลำบากในการติดตามอาชญากรรมใน Deep Web พัฒนาการใต้ดินนี้จะทำให้หน่วยงานบังคับใช้กฎหมายต้องลงทุนในการต่อสู้กับอาชญากรรมอินเทอร์เน็ตเพิ่มขึ้น เราจะได้เห็นการริเริ่มจากองค์การระหว่างประเทศ ที่นำโดยประเทศที่พัฒนาแล้วมากขึ้น ซึ่งจะตระหนักถึงสถานการณ์มากขึ้น และดำเนินการที่เป็นรูปธรรม พวกเขาจะนำผู้เชี่ยวชาญมาฝึกสอนเจ้าหน้าที่บังคับใช้กฎหมาย โชคไม่ดีที่ประเทศโลกที่สามยังคงตามหลังอยู่ 4-5 ปี

7. ความไม่เชื่อใจของสาธารณชนจะมีผลตามมา หลังจากการเปิดโปงกิจกรรมการเฝ้าสังเกตที่รัฐเป็นผู้อุปถัมภ์ ส่งผลให้เกิดช่วงเวลาของความพยายามฟื้นฟูความเป็นส่วนตัว

เอกสารความลับที่เอ็ดเวิร์ด สโนว์เดน อดีดผู้รับจ้างของ NSA ได้รับมา เน้นถึงสภาพที่ซับซ้อนของความเป็นส่วนตัวในยุคดิจิตัล

การใช้สปายแวร์ (spyware) ไม่ได้จำกัดอยู่ที่อาชญากรอีกต่อไป จริง ๆ แล้ว สปายแวร์กลายเป็นเครื่องมือของฝ่ายรัฐบาล เพื่อการจารกรรมทางการเมือง เรายังได้เห็นการขายสปายแวร์เชิงการค้า โดยมักทำการตลาดให้เป็นเครื่องมือในการติดตามคู่สมรสนอกใจ กระแสหลักของการใช้สปายแวร์ และการสอดแนม มีเส้นบาง ๆ กั้นอยู่ระหว่างข้อมูลข่าวสารที่เป็น “ส่วนตัว” และ “สาธารณะ”

ความกังวลเกี่ยวกับความเป็นส่วนตัว ผลักดันให้ผู้ใช้ระมัดระวังการแสดงตนในอินเทอร์เน็ตมากขึ้น วัยรุ่นหลายคนได้เปลี่ยนจากการใช้เฟซบุ๊คมาใช้แอพส่งข้อความแทน ด้วยจำนวนผู้ใช้เฟซบุ๊คมากกว่าหนึ่งพันสองร้อยล้านคน  วัยรุ่นพบว่ามีความเป็นส่วนตัวในเครือข่ายสังคมนี้น้อยมาก พวกเขาเลยหันไปใช้แอพส่งข้อความ เพื่อการสื่อสารทั้งในทางส่วนตัวและสังคมมากขึ้น แอพส่งข้อความ WeChat มีผู้ใช้เพิ่มขึ้นถึงร้อยละ 1,021 อายุระหว่าง 16-19 ปี ส่วนแอพแชร์รูป Snapchat อ้างว่ามี “snaps” หรือรูปภาพส่งออกไป 350 ล้านครั้งต่อวัน สาเหตุที่ทำให้มีจำนวนมากเช่นนี้ อาจเป็นเพราะฟังก์ชั่นในการลบโดยอัตโนมัติของแอพนี้ ใช้เพื่อป้องกันความเป็นส่วนตัวของผู้ใช้

การเปิดโปงกิจกรรมการเฝ้าสังเกตที่รัฐเป็นผู้อุปถัมภ์ ผลักดันให้หลาย ๆ คนพิจารณาถึงที่เก็บข้อมูลของพวกเขาใหม่ ความไม่เชื่อใจในการใช้โครงสร้างพื้นฐานของสหรัฐ ฯ จะมีผลตามมา รัฐบาลต่างชาติอาจหยุดใช้งาน ความกังวลเกี่ยวกับการเฝ้าสังเกตในระดับนานาชาติ อาจทำให้บางรัฐพิจารณาทบทวนนโยบายใหม่ โดยเฉพาะที่เกี่ยวกับการใช้งานอินเทอร์เน็ต ทั้ง ๆ ที่มีการคัดค้านของสาธารณชนอย่างรุนแรง เราจะได้เห็นการเฝ้าสังเกตในระดับรัฐเกิดมากขึ้น

ท่ามกลางความกังวลเกี่ยวกับความเป็นส่วนตัว ผู้ให้บริการคลาวด์จะยืนยันให้เห็นถึงการควบคุมด้านความปลอดภัย และการป้องกันความเป็นส่วนตัวของข้อมูล เราจะได้เห็นพวกเขาทำงานร่วมกับบริษัทด้านความปลอดภัย เพื่อให้มั่นใจได้ถึงการป้องกันข้อมูลและความเป็นส่วนตัว จะทำให้เกิดแนวโน้ม bring-your-own-controls (BYOC) ซึ่งช่วยให้ลูกค้ามั่นใจได้ว่าข้อมูลแบ่งเป็นส่วน ได้รับการป้องกัน และไม่สามารถอ่านได้จากผู้ที่ไม่ได้รับอนุญาต

ผู้ใช้จะเข้าใจว่าในการรักษาความเป็นส่วนตัว พวกเขาจำเป็นต้องควบคุมว่า ใครสามารถเห็นข้อมูลข่าวสารของพวกเขาได้ พวกเขาจะปกป้องความเป็นส่วนตัวในไซต์สำคัญ ๆ อย่าง Google และ Facebook อย่างจริงจัง ใช้ความพยายามในการเรียนรู้มากขึ้นถึงเครื่องมือที่ช่วยในการป้องกันข้อมูล และควบคุมสิ่งที่แบ่งปันในโลกออนไลน์ อาจพิจารณาถึงการสำรวจการใช้งานเครื่องมือการเข้ารหัสอย่างเช่น TOR เพื่อให้มั่นใจได้ว่าข้อมูลข่าวสารของพวกเขายังคงเป็นส่วนตัว

เราจะเห็นบริษัทต่าง ๆ ได้กำไรจากการขายข้อมูลเพื่อจุดประสงค์ในการโฆษณา บริษัทด้านการทำเหมืองข้อมูลขนาดใหญ่ (big data mining) จะเจริญเติบโตต่อไป

สำหรับอาชญากร ธรุกิจยังคงเป็นเช่นเดิม พวกเขาจะทำเงินจากข้อมูลที่ขโมยมา และประสบความสำเร็จในตลาดใต้ดิน

8. เรายังคงไม่เห็นภัยคุกคามของ Internet of Everything ที่แพร่หลายและกินขอบเขตกว้าง สิ่งนี้ต้องอาศัย “killer app” ซึ่งอาจปรากฏในส่วนของ AR ในรูปแบบของเทคโนโลยีอย่าง จอภาพสวมศีรษะ

จากการที่มีอุปกรณ์ต่าง ๆ เชื่อมต่อกันมากขึ้น การรักษาความปลอดภัยอุปกรณ์เหล่านี้ จะหมายถึงการป้องกันจุดในการเข้าถึงทั้งหมด รวมทั้งอินเทอร์เน็ตด้วย

การพัฒนาของระบบ SCADA

SCADA (Supervisory Control and Data Acquisition การควบคุมกำกับดูแลและเก็บข้อมูล) เป็นประเภทหนึ่งของระบบการควบคุมอุตสาหกรรม (Industrial Control System หรือ ICS) ที่มีการควบคุมด้วยระบบคอมพิวเตอร์ ที่เฝ้าดูและควบคุมกระบวนการทางอุตสาหกรรมที่มีอยู่ในโลกทางกายภาพ เป็นกระบวนการขนาดใหญ่ ที่สามารถรวมหลายไซต์งานและระยะทางกว้างใหญ่ กระบวนการเหล่านี้รวมถึงอุตสาหกรรม, โครงสร้างพื้นฐาน, และกระบวนการที่มีพื้นฐานมาจากการให้บริการ

ผลการวิจัยที่ผ่านมาแสดงให้เห็นว่าระบบ SCADA ยังคงขาดการรักษาความปลอดภัย ในขณะนี้ได้มีความพยายามในการแก้ไขปัญหานี้ มีการจัดตั้งโครงการให้เงินรางวัลกับผู้ค้นพบช่องโหว่ (bug bounty program) และคณะทำงานเฉพาะจากผู้จำหน่าย เพื่อให้มั่นใจได้ถึงความปลอดภัยของระบบ SCADA ถึงแม้มีข้อจำกัดด้านความปลอดภัย แต่ยังคงมีการใช้งานระบบ SCADA ต่อไป

การโจมตีในระบบ SCADA ยังคงดำเนินต่อไป การโจมตีเหล่านี้ พร้อมด้วยการอภิปรายและการวิจัย จะแสดงให้เห็นช่องโหว่ของเครือข่าย SCADAเครือข่ายนี้มักจะอาศัยการป้องกันโดยการแยกออกทางกายภาพ ทำให้ตกเป็นเป้าหมายของผู้โจมตีได้อย่างง่ายดาย

เป้าหมายใหม่ที่ง่ายต่อการโจมตี

เทคโนโลยี Radio-frequency-enabled จะกลายเป็นเป้าหมายใหม่ที่ง่ายต่อการโจมตี มักใช้ในเทคโนโลยีในกาติดตาม เช่น AIS (Automatic Identification System) ความถี่วิทยุจะกลายเป็นจุดเริ่มต้นในการโจมตี เพราะ AIS ใช้ในการจราจรทางเรือ ระบบที่มีช่องโหว่อาจถูกคนร้ายโจมตีได้

เกมเมอร์เป็นเหยื่อกลุ่มใหม่

แรงจูงใจในการมุ่งโจมตีผู้เล่นเกมส์ไม่ได้มีเพียงแต่เรื่องจำนวนเท่านั้น จำนวนผู้เล่นเกมส์คอนโซลจะไปถึง 165 ล้านคนภายในปี 2560 แต่ยังหมายถึงฮาร์ดแวร์ที่พวกเขาใช้ เกมเมอร์ใช้คอมพิวเตอร์ที่มีความสามารถในการประมวลผลสูงเพื่อใช้ในการเล่นเกมส์ที่เข้มข้น โชคไม่ดีที่พลังในการประมวลผลนี้ สามารถใช้เพื่อทำ Bitcoin mining (ขั้นตอนในการใช้พลังในการประมวลผลเพื่อใช้ในกิจกรรมของ Bitcoin) ได้เช่นเดียวกัน เราเคยเห็นสิ่งนี้เกิดขึ้นมาก่อน โดยเฉพาะเมื่อมีการรับเอา cryptocurrency (สกุลเงินอิเล็กทรอนิกส์ที่อาศัยการเข้ารหัสลับ) มาใช้เพิ่มขึ้น เรื่องนี้จะไม่เป็นสิ่งสุดท้ายที่เกิดขึ้น

การรอคอย “killer app”

เราจะได้เห็นนวัตกรรมทางเทคนิคที่ไม่สำคัญจำนวนมาก แต่ยังไม่มีการค้นพบที่ยิ่งใหญ่ในอาชญากรรมทางอินเทอร์เน็ต อาชญากรยังคงรอ “killer app” การค้นพบที่ยิ่งใหญ่ทางเทคโนโลยี ที่จะดึงความสนใจของคนจำนวนมาก ขณะที่อุปกรณ์อัจฉริยะขนาดเล็กได้ออกวางขาย แต่ยังไม่มีสิ่งใดที่ทำให้ประชาชนสนใจได้มากเท่ากับการสร้างสรรค์ที่ยิ่งใหญ่ครั้งก่อนอย่าง iPod ได้

ไปไกลกว่าปี 2557

“สิ่งท้าทายต่อไป” ที่อาชญากรกำลังรอ อาจมาจากโลกของ augmented reality (AR) เฮดเซ็ต (headsets) ความเป็นจริงเสมือน (virtual reality) จะกลายเป็นเทคโนโลยีแปลกใหม่ ไม่เพียงแต่จะเปลี่ยนพื้นที่ในการเล่นเกมส์ แต่จะใช้ในจุดประสงค์อื่น ๆ เช่น การเข้าร่วมการเรียกประชุม หรือการประกาศในเครือข่ายสังคม

อุปกรณ์อัจฉริยะเหล่านี้จะเป็นที่ต้องการมากขึ้น เฮดเซ็ตแบบ AR จะตกเป็นเป้าหมายใหม่ในการขโมยข้อมูลส่วนตัว กล้องที่อยู่ภายในจะถูกใช้เพื่อการโจมตี ทำให้อาชญากรเห็นความเคลื่อนไหวประจำวันของผู้ใช้ และเป็นเครื่องมือในการบันทึกข้อมูลต่าง ๆ เช่น PIN และข้อมูลส่วนตัวอื่น ๆ

จะมีการใช้อากาศยานที่ควบคุมจากระยะไกล (drone) เพื่อการตรวจตราและกสิกรรม พวกมันจะกลายเป็นสิ่งธรรมดาที่พบได้ทั่วไป และทำให้เป็นมาตรฐานในแวดวงการค้า โชคไม่ดีที่อาชญากรจะใช้ประโยชน์จากพวกมันเช่นเดียวกัน

ไกลกว่าปี 2557 เทคโนโลยีด้าน radio-frequency-enabled จะตกเป็นเป้าหมายอย่างแท้จริง เราจะได้เห็นการโจมตีสถานีส่งสัญญาณ AIS ภายในปี 2563 ซึ่งจะมีผลที่รุนแรงมากต่อธุรกิจการขนส่งสินค้าทางเรือเป็นต้น

9. การโจมตีแบบ DDoS จะทำแบบหลบซ่อนมากขึ้น

ผู้โจมตี DDoS จะเปลี่ยนจากการโจมตีที่ใช้การโจมตีที่มีปริมาณมาก ๆ ไปเป็นการโจมตีคอขวด ที่มีผลกระทบกับการดำเนินงาน อย่างเช่นหน้าเว็บที่ทำให้เครื่องแม่ข่ายทำงานหนัก หรือคอขวดทางเครือข่ายโดยเฉพาะ (อย่างเช่นการจัดการ login และ session) ซึ่งสามารถขยายผลกระทบจากการโจมตีได้มากกว่าการโจมตีที่อาศัยปริมาณ ดังนั้นอาจเริ่มเห็นการแพร่กระจายของเครื่องมือที่เก็บรวบรวมข้อมูลเกี่ยวกับไซต์ที่ต้องการโจมตี ทำให้การโจมตี DDoS มีผลกระทบมากขึ้น แต่ปริมาณการใช้เครือข่ายน้อยลงกว่าที่เคยพบมาก่อน

10. มัลแวร์อย่าง “Stuxnets” จะพบได้บ่อยมากขึ้น

มัลแวร์ที่ได้รับการสนับสนุนระดับรัฐอย่าง “Stuxnet” เชื่อกันว่ามีต้นตอมาจากสหรัฐ ฯ อิสราเอล หรือทั้งคู่ ได้รับการพิสูจน์แล้วว่ามีความซับซ้อน และมีประสิทธิผลเกินว่าที่แฮกเกอร์เพียงสองคนจะทำได้ คาดว่าจะมีมัลแวร์ชนิดนี้จากจีน รัสเซีย อิหร่าน อินเดีย บราซิล และปากีสถาน อาจจะมีออกมาแล้วก็ได้ แต่ยังไม่สามารถตรวจจับได้ ปี 2557 เป็นปีที่จะเห็นความแพร่หลายของมันได้ชัดเจน

xxxxxxxxxxxxxxxxxxx

เรียบเรียงโดย   นนทวรรธนะ  สาระมาน และ เกียรติศักดิ์  สมวงศ์

Nontawattana  Saraman   and  Kiattisak  Somwong

SRAN Dev Team
10/01/2557

ข้อมูลอ้างอิง

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-trend-micro-security-predictions-for-2014-and-beyond.pdf

http://www.esecurityplanet.com/network-security/7-security-trends-to-expect-in-2014.html

http://searchsecurity.techtarget.com/definition/spear-phishing

http://www.webopedia.com/TERM/T/targeted_attack.html

http://en.wikipedia.org/wiki/Watering_Hole

http://en.wikipedia.org/wiki/Clickjacking

http://en.wikipedia.org/wiki/Deep_Web

http://th.wikipedia.org/wiki/%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A%E0%B8%AA%E0%B8%81%E0%B8%B2%E0%B8%94%E0%B8%B2

http://Bitcoin.org/en/faq#what-is-bitcoin-mining

http://en.termwiki.com/TH:cryptocurrency

http://appreview.in.th/disruptive-technology-and-business/

Anonymous Router : Untracked เราเตอร์ล่องหน

การตั้งค่า

  1. ทำการ Restore OpenWrt firmware ไปยัง เครื่อง router ซึ่งดูรุ่นตามตารางนี้ Table of Hardware
  2. ทำการ SSH ไปยัง OpenWrt router and install package dependency โดยมีขั้นตอนดังนี้
    opkg update
opkg install libevent2-openssl libevent2 libminiupnpc libnatpmp tor-alpha tor-alpha-fw-helper tor-alpha-geoip
  3. ทำการ Configure network configuration file, ไปที่ /etc/config/network
    config interface 'Untracked'
    option proto 'static'
    option ipaddr '172.16.1.1'
    option netmask '255.255.255.0'
  4. ทำการ Configure firewall zone configuration file, append ไปที่ /etc/config/firewall
    config zone
    option name 'Untracked'
    option network 'Untracked'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option conntrack '1'

config rule
    option name 'Allow-Tor-DHCP'
    option src 'Untracked'
    option proto 'udp'
    option dest_port '67'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-DNS'
    option src 'Untracked'
    option proto 'udp'
    option dest_port '9053'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-Transparent'
    option src 'Untracked'
    option proto 'tcp'
    option dest_port '9040'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-SOCKS'
    option src 'Untracked'
    option proto 'tcp'
    option dest_port '9050'
    option target 'ACCEPT'
    option family 'ipv4'
  5. ทำการ Configure tor (Untracked) dhcp network, ไปยัง /etc/config/dhcp
    config dhcp Untracked
    option interface    Untracked
    option start        100
    option limit        150
    option leasetime    1h
  6. ทำการ Configure torrc file
    RunAsDaemon 1
DataDirectory /var/lib/tor
User Untracked
VirtualAddrNetwork 10.192.0.0/10
TransPort 9040
TransListenAddress 172.16.1.1
DNSPort 9053
DNSListenAddress 172.16.1.1
TrackHostExits .
TrackHostExitsExpire 1800
StrictExitNodes 1
ExitNodes {de},{ru},{us},{fr},{gb},{at},{in},{br},{it},{ua}
  7. ทำการ Configure tor startup, ไปยัง /etc/rc.local
    sleep 10; 
/etc/init.d/tor start
  8. ทำการ Configure wireless configuration use tor network, ปรับเปลี่ยนค่า /etc/config/wireless
    config wifi-iface
    option device 'radio1'
    option mode 'ap'
    option encryption 'psk-mixed'
    option key 'xxxxxxxx'
    option ssid 'UNT'
    option network 'Untracked'
  9. ทำการ Configure ปรับเปลี่ยน firewall rule (iptables),  ปรับเปลี่ยนค่า /etc/firewall.user
    enable_transparent_tor() {
  iptables -t nat -A PREROUTING -i wlan1 -p udp --dport 53 -j REDIRECT --to-ports 9053
  iptables -t nat -A PREROUTING -i wlan1 -p tcp --syn -j REDIRECT --to-ports 9040 
}
enable_transparent_tor

SRAN Dev Team

ในวันที่ CAT บางรักไฟดับ

ช่วงเที่ยงของวันที่ 30 พฤศจิกายน 2556 ม็อบที่ต่อต้านรัฐบาลได้เข้าไปยังอาคารบริษัท กสท โทรคมนาคม หรือ CAT Telecom ทำให้เกิดไฟฟ้าดับที่อาคารทั้งหมด ซึ่งกลุ่มม๊อบพยายามเรียกการกระทำเช่นนี้ว่า เป็นการทำอารยะขัดขืน แต่ผลลัพธ์ที่เกิดนั้นส่งผลให้การสื่อสารที่เชื่อมต่อทางอินเทอร์เน็ตได้มีผลกระทบโดยตรง โดยเฉพาะเราเตอร์หลักที่ใช้ทำงานเป็นเกตเวย์ประเทศ ซึ่งในต่างประเทศเรียกเหตุการณ์นี้ว่า “Internet Outage” โดยที่เหตุการณ์ในครั้งนี้ที่เกิดขึ้นกินเวลาเกือบ 4 ชั่วโมง ที่ไม่สามารถใช้งานได้ตามปกติ และส่งผลกระทบอะไรบ้างนั้น
ผมลองมานั่งเขียนดูเผื่อว่าท่านผู้อ่านจะได้นึกภาพตามไปด้วยกันได้ถูกต้อง และช่วยประเมินในความเสียหายได้บ้าง

ภาพแสดงข้อมูลสถานะการเชื่อมติดต่อข้อมูลของทางทรูอินเทอร์เน็ต

เรียบเรียงผลกระทบ ดังนี้
1. ผลกระทบการเชื่อมข้อมูล ผ่าน AS4651
AS4651 เป็น Gateway ที่สำคัญของประเทศตัวหนึ่งที่มีการเชื่อมโยงกับโครงข่ายทั้งในและต่างประเทศเป็นจำนวนมาก โดยข้อมูลในวันที่เกิดขึ้น พบว่า AS4651 มีจำนวน IPv4 ที่ให้บริการจำนวน 15,104 ค่า ข้อมูลทั่วไปจากลงทะเบียน ชื่อที่อยู่และผู้ติดต่อของ AS4651

person:         IP-network CAT Telecom
nic-hdl:        IC174-AP
e-mail:         ip-noc@cat.net.th
address:        Data Comm. Dept.(Internet)
address:        address:      CAT Telecom Public Company Ltd,
address:        address:      72 Charoenkrung Road Bangrak Bangkok THAILAND 10501
phone:          +66-2-6142374
fax-no:         +66-2-6142270
country:        TH
changed:        suchok@cat.net.th 20051202
mnt-by:         MAINT-TH-THIX-CAT
source:         APNIC

person:         THIX network staff CAT Telecom
nic-hdl:        TC476-AP
e-mail:         admin-thix@cat.net.th
address:        Data Comm. Dept.(Internet)
address:        address:      CAT Telecom Public Company Ltd,
address:        address:      72 Charoenkrung Road Bangrak Bangkok THAILAND 10501
phone:          +66-2-6142374
fax-no:         +66-2-6142270
country:        TH
changed:        suchok@cat.net.th 20051202
mnt-by:         MAINT-TH-THIX-CAT
source:         APNIC
ข้อมูลเชิงสถิติที่เกี่ยวกับการเชื่อมต่อข้อมูลไปยัง ASN ทั้งในและต่างประเทศ

ประวัติของสถานะการเชื่อมต่อข้อมูล

กราฟแสดงสถานะการติดต่อสื่อสารของ AS4651 ดูย้อนหลัง 90 วัน และค่า Upstreams สำหรับ AS4651
จากกราฟจะพบว่าในวันที่ 30 พฤศจิกายน 2556 นั้นมีการหยุดการใช้งานไปช่วงเวลาหนึ่งกราฟจะดิ่งตกตัดค่าเป็น 0 ขาดการติดต่อกับ ASN อื่นๆ ทั้งในประเทศและต่างประเทศ
AS4651 ในวันที่ 30 พฤศจิกายน 2556 นั้นมีการเชื่อมโยงการติดต่อข้อมูลทั้งหมด 112 การเชื่อมโยงผ่าน Protocol BGP Peering
ตัวอย่างบางส่วนของเครือข่ายที่เชื่อมติดต่อกับ AS4651
เมื่อทำการพิจารณาทั้งหมดจาก 112 เครือข่ายพบว่ามีโครงข่ายในประเทศไทยที่กระทบถึง 28 โครงข่ายประกอบด้วย (วัดค่าจากตอนเหตุการณ์ปิดการสื่อสารในวันที่ 30 พฤศจิกายน 2556) ดังนี้
1. True : AS7470
2. CAT 1 : AS9931
3. BB-BroadBand (UIH) : AS38794
4. 3BB : AS45758
 5. INET : AS4618
6. World Net : AS4765
7. Jasmine : AS7616
8. CSloxinfo : AS4750
9. DTAC : AS9587
10. KIRZ : AS24187
11. Milcom : AS3888
12. ServeNET : AS45413
13. Proimage Engineering : AS23884
14. Symphony Communication AS132876
15. Loxley Wireless : AS45142
16. Smart Corp : AS4741
17. Nettree : AS45456
18. NIPA : AS45328
19. CAT 2 : AS131090
20. My Telecom Group : AS24491
21. TT&T : AS55465
22. Fiber To the Home : AS9413
23. PTT ICT : AS55403
24. SiamData : AS56309
25. A-Net : AS4776
26. 101 Global : AS45606
27. NTTCTNET : AS38566
28. Uni-Net : AS4621
** ที่สำคัญอันเกิดผลกระทบต่อผู้บริโภค คือ True : AS7470 , 3BB , DTAC , CAT (Data Center) และ Uni-Net โครงข่ายฝั่งมหาวิทยาลัยต่างๆในประเทศไทย

2. ผลกระทบต่อ AS9931
AS9931 เป็น Router ตัวสำคัญตัวหนึ่งของบริษัท กสท โทรคมนาคม หรือ “CAT Telecom” เนื่องจาก Router ตัวนี้จะมีการเชื่อมต่อให้กับหน่วยงานต่างทั้งในและต่างประเทศ ซึ่งความสำคัญไม่น้อยไปกว่า AS4651 และอาจจะส่งผลกระทบต่อการใช้ของหน่วยงานทั้ง ภาครัฐบาลและภาคเอกชน จะสร้างความเสียหายมากกว่า AS4651 ด้วยหากเหตุการณ์นี้เกิดขึ้นในวันทำงาน ข้อมูลเบื้องต้นสำหรับ AS9931

ข้อมูลเบื้องต้น AS9931

person:         Serthsiri Khantawisoote
address:        Data Communication Department, CAT
address:        Bangkok 10501
country:        TH
phone:          +66-2-237-4300
fax-no:         +66-2-506-3186
e-mail:         kserth@cat.net.th
nic-hdl:        SK79-AP
mnt-by:         MAINT-TH-THIX-CAT
changed:        hostmaster@apnic.net 20000320
source:         APNIC

person:         Tanussit Klaimongkol
address:        Data Comm. Dept.(Internet)
address:        CAT Bangkok 10501
address:        Thailand
country:        TH
phone:          +66-2-2374300
fax-no:         +66-2-5063186
e-mail:         ktanus@cat.net.th
nic-hdl:        TK38-AP
mnt-by:         MAINT-TH-THIX-CAT
changed:        ktanus@cat.net.th 20000215
source:         APNIC

ข้อมูลเชิงสถิติของ AS9931 จำนวนค่า IPv4 ที่ให้บริการมีจำนวน 198,912 ค่า

AS9931 มีการเชื่อมต่อกับโครงข่ายทั้งในและต่างประเทศรวมทั้งหมด 41 เครือข่าย ซึ่งโดยมากเป็นเครือข่ายในประเทศไทยและเป็นภาคเอกชน และหน่วยงานของรัฐเป็นต้น

ดังตัวอย่างเครือข่ายที่มีการเชื่อมต่อ AS9931 ดังนี้

รายการเครือข่ายที่มีการเชื่อมติดต่อกับ AS9931

จะเห็นได้ว่า AS9931 จะกระทบต่อหน่วยงานต่างๆภายในประเทศไทยจำนวนมาก ได้แก่ สถาบันการเงิน เช่น
– ภาคธนาคารประกอบด้วย ธนาคารไทยพาณิชย์ , ธนาคารแห่งประเทศไทย เป็นต้น
– มหาวิทยาลัย ประกอบด้วย มหาวิทยาลัยเชียงใหม่ , มหาวิทยาลัยรามคำแหง เป็นต้น
– สายการบิน ประกอบด้วย การบินไทย , Bangkok Airway เป็นต้น
– กระทรวง ประกอบด้วย กระทรวงการคลัง , กระทรวงการต่างประเทศ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นต้น
– รัฐวิสาหกิจ เช่น การประปา และ การไฟฟ้าภูมิภาค

อีกทั้งส่งผลกระทบไปยังผู้ให้บริการต่างประเทศที่มีการเชื่อมสัญญาณมาที่ AS9931 เช่นประเทศลาว และกัมพูชา ก็ได้รับผลกระทบต่อการขาดการติดต่อสื่อสารเนื่องจากไฟฟ้าในอาคาร กสท บางรักถูกตัดไฟอีกด้วย หากเหตุการณ์ดังกล่าวเกิดขึ้นในวันธรรมดา คือ วันจันทร์ – ศุกร์ ผลกระทบและความเสียหายที่เกิดขึ้นจะมีมูลค่าความเสียหายมากกว่าที่เกิดเหตุการณ์ขึ้นในวันเสาร์ที่ผ่านมาเป็นอันมาก

Pony botnet : บ็อทเน็ตขโมยรหัสผ่าน

แฮกเกอร์ได้ขโมยชื่อผู้ใช้และรหัสผ่านเกือบสองล้านบัญชีของ Facebook, Google, Twitter, Yahoo และอื่น ๆ ตามรายงานที่เผยแพร่เมื่อไม่นานนี้กลุ่มนักวิจัยสามารถเข้าถึงแผงควบคุมของผู้ดูแลระบบ (control panel) สำหรับเซิร์ฟเวอร์ที่เป็นส่วนหนึ่งของบ็อตเน็ตที่เรียกว่า “Pony” ที่เก็บรวบรวมข้อมูลที่สำคัญจากผู้ใช้มากถึง 102 ประเทศ รวมทั้งประเทศไทยของเราด้วย จึงจำเป็นต้องนำเสนอบทความนี้เพื่อเตือนผู้ใช้งานอินเทอร์เน็ตให้มีความระมัดระวังและเป็นข้อมูลไว้ศึกษาต่อไป

ภาพประกอบที่ 1 แสดงจำนวนเหยื่อของ botnet Ponyจากประเทศต่าง ๆ  จะเห็นได้ว่าประเทศไทยอยู่ในอันดับ 2 ของ Pony botnet ที่ได้รหัสผ่านไป

บอทเน็ตนี้แอบดักจับข้อมูลล็อกอินของเว็บไซต์ที่สำคัญ ๆ ในช่วงเดือนที่ผ่านมา และส่งชื่อผู้ใช้และรหัสผ่านเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์และติดตามเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศเนเธอร์แลนด์ พวกเขาค้นพบบัญชีผู้ใช้เว็บไซต์ต่าง ๆ รวมถึง

• Facebook ประมาณ 318,000 บัญชี
• Gmail, Google+ และ Youtube ประมาณ70,000 บัญชี
• Yahoo ประมาณ60,000 บัญชี
• Twitter ประมาณ22,000 บัญชี
• Odnoklassniki (เครือข่ายสังคมของรัสเซีย) ประมาณ9,000 บัญชี
• ADP (บริษัทชั้นนำ 500 อันดับในสหรัฐอเมริกา โดยนิตยสารฟอร์จูน 500) ประมาณ8,000 บัญชี
• LinkedIn ประมาณ8,000 บัญชี

ภาพประกอบที่ 2 แสดงจำนวนของบัญชีผู้ใช้ของเว็บไซต์ที่ถูกขโมยในจำนวนประมาณสองล้านบัญชีที่ถูกขโมย เมื่อแบ่งตามประเภทของบริการแล้ว ประกอบด้วย
• ประมาณ 1,580,000 เป็นบัญชีผู้ใช้เว็บไซต์
• ประมาณ 320,000 เป็นบัญชีผู้ใช้อีเมล
• ประมาณ 41,000 เป็นบัญชีผู้ใช้ FTP
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Remote Desktop
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Secure Shell
มีไวรัสแพร่บนเครื่องคอมพิวเตอร์ส่วนบุคคลจำนวนมากได้อย่างไร แฮกเกอร์อาจใช้ซอฟต์แวร์บันทึกการกดคีย์บอร์ดของผู้ใช้ที่ตกเป็นเหยื่อ (keylogger) แล้วส่งข้อมูลผ่าน proxy server ดังนั้นจึงเป็นไปไม่ได้ที่จะติดตามหาเครื่องคอมพิวเตอร์ที่ติดเชื้อ
ปฏิบัติการนี้แอบเก็บข้อมูลรหัสผ่านตั้งแต่ 21 ตุลาคมที่ผ่านมา และอาจจะทำงานอย่างต่อเนื่อง แม้ว่า จะค้นพบ proxy server ที่ตั้งอยู่ในเนเธอร์แลนด์ มิลเลอร์จาก Trustwaveกล่าวว่า มีเซิร์ฟเวอร์อื่นที่คล้ายคลึงกันหลายแห่ง ที่พวกเขายังไม่ได้ค้นพบยังเปิดเผยเกี่ยวกับการใช้รหัสผ่านของผู้ใช้ที่ตกเป็นเหยื่อว่า เกือบ 16,000 บัญชีใช้รหัสผ่าน “123456” อีก 2,212 บัญชีใช้รหัสผ่าน “password” และ 1,991 บัญชีใช้รหัสผ่าน “admin” มีเพียงร้อยละ 5 ของรหัสผ่านเกือบสองล้านรหัสที่ถือว่าดีเยี่ยม ใช้อักขระทั้งสี่รูปแบบและยาวมากกว่า 8 ตัวอักษร อีกร้อยละ 17 อยู่ในขั้นดี ร้อยละ 44 อยู่ในระดับปานกลาง ร้อยละ 28 อยู่ในขั้นเลว และ ร้อยละ 6 อยู่ในขั้นแย่มาก

ภาพประกอบที่ 3 รหัสผ่านที่ใช้มากที่สุด สิบอันดับ
ภาพประกอบที่ 4 ความแข็งแกร่งของรหัสผ่านที่พบ
จะพบว่าบริษัทเหล่านี้ทราบถึงการถูกละเมิดข้อมูล หลังจากนั้น พวกเขาประกาศการค้นพบของพวกเขาต่อสาธารณชนADP, Facebook, LinkedIn, Twitter และ Yahoo บอกนักข่าวว่า พวกเขาได้รับการแจ้งเตือน และการรีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกบุกรุกแล้ว ส่วน Google ปฏิเสธที่จะแสดงความคิดเห็น
หากคุณอยากรู้ว่าคอมพิวเตอร์ของคุณติดเชื้อหรือไม่ การค้นหาโปรแกรมและไฟล์จะไม่เพียงพอ เพราะไวรัสทำงานซ่อนตัวอยู่เบื้องหลัง ทางออกที่ดีที่สุดของคุณคือ การปรับปรุงซอฟต์แวร์ป้องกันไวรัสของคุณ และดาวน์โหลดแพทช์ล่าสุดสำหรับเว็บเบราว์เซอร์ รวมถึงAdobe  และ Java โปรแกรมในเครื่องของคุณให้ทันสมัย
29/11/56

SRAN Dev Team

อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked

จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น

อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

คุณสมบัติ

1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don’t Tracking)
ด้วยคุณสมบัติทั้ง 3 รวมเรียก “UN Tracked” Defend Privacy Data and against Internet Surveillance

สิ่งที่ได้รับจากการใช้ “UN Tracked”
1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน

ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง
ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย
การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร
  
ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกัน
ได้ถึง 50 เครื่อง
อีกหนึ่งการพัฒนาจาก SRAN Team สนใจเพื่อสอบถามรายละเอียดเพิ่มเติม ติดต่ออีเมลที่ info at gbtech.co.th

ตามล่ามัลแวร์

บทความนี้ไม่มีเจตนาทำให้หน่วยงานใดหน่วยงานหนึ่งเสื่อมเสียแต่อย่างใด แต่ต้องการเขียนเพื่อเป็นกรณีศึกษาจากเหตุการณ์จริง กับการติดเชื้อมัลแวร์ที่เป็นโครงข่ายอาชญากรรมข้ามชาติ (Cyber Crime) ที่ทำให้หน่วยงานภาครัฐ เอกชน รวมถึงสถาบันการศึกษาของประเทศไทยต้องตกเป็นเหยื่อกับเครือข่ายองค์กรอาชญากรรมคอมพิวเตอร์นี้

จึงตั้งใจเพื่อเขียนขึ้นเพื่อเป็นการสร้างความตระหนักถึงผู้ดูแลระบบถึงปัญหาเครื่องแม่ข่ายที่มีช่องโหว่และมีการเข้าถึงระบบโดยแฮกเกอร์สามารถนำมัลแวร์มาแพร่เชื้อได้ ดังนั้นหากเป็นเว็บไซต์ที่สามารถเข้าถึงได้ทั่วไปอาจทำให้ผู้ใช้งานทั่วไปติดเชื้อตามกันได้

อีกทั้งเป็นแนวสืบสวนหาร่องรอยเส้นทางของมัลแวร์ถึงผลกระทบในการติดเชื้อรวมถึงช่องโหว่ที่ทำให้มัลแวร์เข้ามาติดในเครื่องคอมพิวเตอร์
อ่านเพื่อความบันเทิงและได้ความรู้

++++++++++++++++++++++++++
มัลแวร์ คืออะไร
++++++++++++++++++++++++++
คือ โปรแกรมไม่พึ่งประสงค์ที่ทำให้เครื่องคอมพิวเตอร์ผู้ใช้งาน (รวมถึงอุปกรณ์มือถือสมัยใหม่ ได้แก่ สมาร์ทโฟน) ต้องสูญเสียความต่อเนื่องในการใช้งาน (Availability) , ความถูกต้องของข้อมูลและการสื่อสาร (Integrity) และสูญเสียความลับของข้อมูล (Confidentiality)

+++++++++++++++++++++++++++++++
เริ่มต้น จากการพบข้อมูล
+++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
เริ่มการวิเคราะห์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
http://school.obec.go.th/trimitvararam/picture/
และ
http://school.obec.go.th/pikul/2-%A2%E9%CD%C1%D9%C5%BA%D8%A4%A4%C5/23-%BA%D8%A4%C5%D2%A1%C3.html

(อันตรายหากเครื่องคอมพิวเตอร์คุณไม่มีระบบป้องกันที่อัพเดทเพียงพอไม่ควรเข้าลิงค์ดังกล่าว)

++++++++++++++++++++++++++++++++++++++++++++
ประวัติการติดเชื้อ
++++++++++++++++++++++++++++++++++++++++++++

ดูค่าการจดทะเบียนโดแมน

เมื่อทำการค้นหาประวัติการติดเชื้อพบว่า
พบ
ประวัติที่เคยติดเป็นเว็บหลอกลวง Phishing เริ่มตั้งแต่ปี 2009 จนถึง 2012 ส่วนใหญ่เกิดขึ้นบนเว็บบอร์ด
ประวัติการติดเชื้อมัลแวร์

Malicious and Suspicious URLs

URL First Detected
http://school.obec.go.th//banmuangsuang/important.html 2009-11-13 11:56:58
http://school.obec.go.th/amnuaykan3/ 2010-03-15 22:18:29
http://school.obec.go.th/anbs_saraburi/ 2009-05-03 16:45:54
http://school.obec.go.th/anubanbanmoh/ 2012-06-07 18:59:43
http://school.obec.go.th/artprathane 2013-05-01 03:05:05
http://school.obec.go.th/banbangchang/mawnarak/pa2.htm 2013-05-21 13:10:05
http://school.obec.go.th/bandonlao 2013-05-07 01:55:14
http://school.obec.go.th/bandonlao/ 2009-09-26 06:24:49
http://school.obec.go.th/bankaengnabon/important.html 2009-11-12 07:47:24
http://school.obec.go.th/bankhoadaeng 2013-05-07 18:45:04
http://school.obec.go.th/banklongkhong/House.htm 2013-07-17 21:20:08
http://school.obec.go.th/bankokenonglom 2013-06-27 00:10:07
http://school.obec.go.th/bankokenonglom/ 2013-05-22 21:15:05
http://school.obec.go.th/banmuangsuang/important.html 2009-11-12 10:02:02
http://school.obec.go.th/banpakae/important.html 2009-11-11 07:04:28
http://school.obec.go.th/banrubprak/important.html 2009-11-11 06:33:18
http://school.obec.go.th/bansanschool/da.html 2012-06-08 08:01:07
http://school.obec.go.th/bnkham/DATA_SCHOOL/admin.html 2013-05-27 15:30:11
http://school.obec.go.th/bnws 2013-04-20 00:15:46
http://school.obec.go.th/bokluea/ 2013-01-29 04:45:06
http://school.obec.go.th/bokluea/?name=boss 2013-03-18 23:35:08
http://school.obec.go.th/bsms/parvud.html 2013-02-16 00:00:53
http://school.obec.go.th/hauykrai/ 2013-01-04 21:00:04
http://school.obec.go.th/hinkleung/test9.htm 2013-01-26 00:09:25
http://school.obec.go.th/huakhao 2013-07-03 00:34:30
http://school.obec.go.th/huayaungkk2/ 2009-09-29 06:00:49

ดูค่า MD5 ของไฟล์ที่ติดเชื้อเพื่อนำมาวิเคราะห์ (Malware Analysis)



URL MD5 IP Threat
2013-07-23 19:12:53 http://school.obec.go.th/nongpangtru_kan1/index3.htm… C0C5A98D3A155E58018D0648792C8873 210.1.20.7 TH JS/TrojanDownloader.Iframe.NHP trojan
2013-07-23 05:03:53 http://school.obec.go.th/donthongwittaya… 939709D74D64CCB2FCCFE0691588364B 210.1.20.7 TH Trojan-Downloader.JS.Agent.feo
2013-07-23 04:56:28 http://school.obec.go.th/ns/pn22554.htm… 888AFD2FE9F83A5D385A8A435ECCEDB5 210.1.20.7 TH JS/Kryptik.BC trojan
2013-07-22 23:38:21 http://school.obec.go.th/borihan/… FB0BD87A9D893E5CD9230D95DACC6D6F 210.1.20.7 TH JS/TrojanDownloader.Shadraem.A trojan
2013-07-21 17:01:02 http://school.obec.go.th/khaokling/data_bankhaokling/Food_Project_50.html… 0A96F0D2843FFB46697031EDBAF70B89 210.1.20.7 TH HTML/TrojanDownloader.IFrame trojan
2013-07-21 14:57:21 http://school.obec.go.th/payakwit/scoutsimina52.html… F7C30FD9F865B4557BE1A31FDEA40527 210.1.20.7 TH JS/Kryptik.CK trojan
2013-07-21 06:23:52 http://school.obec.go.th/bukitjerae… 5DBD43A93EB86D5B6A0840FFC355317E 210.1.20.7 TH JS/IFrame.BH.gen
2013-07-20 21:41:59 http://school.obec.go.th/suksapiset/tourchiengmai1.htm… E5EEAC34BB2F6E97774580045FEC0910 210.1.20.7 TH JS/TrojanDownloader.HackLoad.AG trojan
2013-07-20 20:28:23 http://school.obec.go.th/chauatschool… 0F6FB069A9E258C069C49FB93B4DA468 210.1.20.7 TH JS/TrojanDownloader.Agent.NTW trojan
2013-07-20 11:22:54 http://school.obec.go.th/scispk/newsacti01.htm… 52E080A5EBCC3F65769D84E3C7ED52EB 210.1.20.7 TH HTML/IFrame.L
ประวัติการติดเชื้อมัลแวร์เมื่อทำการเรียกดูชื่อไฟล์ที่ติดเชื้อ

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
วิเคราะห์การเชื่อมโยงระบบเครือข่ายเพื่อทำให้เกิดการติดเชื้อมัลแวร์
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

เมื่อมีทำการเรียกค่าโดแมนดังกล่าวจะมีการติดต่อสื่อสารไปยังโดแมนที่สร้างขึ้นเพื่อการโจรกรรมข้อมูล

ภาพช่องสี่เหลี่ยมสี่เหลืองคือโดแมนที่ถูกสร้างขึ้นมาเป็นมัลแวร์ ซึ่งเป็นโครงข่ายของอาชญากรรมทางโลกไซเบอร์ (Cyber Crime) ประกอบด้วย
gxjamuwp .cz.cc
shkoztdm .cz.cc
qjpbdbmd .cz.cc
ziejpzrv .cz.cc
lfmzwijq .cz.cc
และตัวอันตรายที่จะวิเคราะห์อย่างละเอียดอีกทีคือ marbit  dot com 

เมื่อทำการเรียกค่าเพื่อดูการตอบสนองข้อมูลฝั่งเว็บไซต์ให้บริการ

มีการตอบค่ากลับและมีการเปลี่ยนเส้นทางข้อมูลดังนี้

เมื่อทำการตรวจสอบการเรียกค่าเว็บไซต์จะพบการเชื่อมโยงติดต่อไปยังโดแมนที่ถูกสร้างขึ้นเป็นมัลแวร์เพื่อทำให้เครื่องคอมพิวเตอร์ที่อ่อนแอติดเชื้อได้

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ตัวอย่างการเรียกค่าที่ติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ช่องโหว่ที่พบทำให้มีการติดเชื้อ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1. มาจาก Office Snapshot Viewer
– คำนิยามการเข้าถึงระบบ The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine 
– ช่องโหว่ CVE-2008-2463
2. MsVidCtl OverflowOverflow 
– คำนิยามการเข้าถึงระบบ in Microsoft Video ActiveX Control via specially-crafted data parameter
– ช่องโหว่ CVE-2008-0015
3. Adobe getIconStack-based buffer overflow 
– คำนิยาม in Adobe Reader and Acrobat via the getIcon method of a Collab object
– ช่องโหว่ CVE-2009-0927
4. Adobe util.printf overflowStack-based buffer overflow 
– คำนิยาม in Adobe Acrobat and Reader via crafted format string argument in util.printf
– ช่องโหว่ CVE-2008-2992
5. Adobe Collab overflow
– คำนิยาม Multiple Adobe Reader and Acrobat buffer overflows
– ช่องโหว่ CVE-2007-5659
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
รายชื่อไฟล์ที่พบประวัติการติดเชื้อ 
ชื่อ “donthongwittaya”
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ซึ่งมีการตรวจสอบจากโปรแกรมแอนตี้ไวรัสได้ผลลัพธ์ดังนี้ https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
การแสดงอัตลักษณ์ไฟล์มัลแวร์ที่พบ
ตัวอย่างการแสดงผลของโปรแกรมแอนตี้ไวรัสกับไฟล์ donthingwittaya

ข้อมูลเพิ่มเติมที่
http://checkip.me/whomap.php?domain=school.obec.go.th
http://www.sran.net/statistic?q=school.obec.go.th
http://urlquery.net/report.php?id=3963804
https://www.virustotal.com/th/file/939709D74D64CCB2FCCFE0691588364B/analysis/
http://wepawet.iseclab.org/view.php?hash=41a7ee22c704e708cdb57362372c1699&t=1374610813&type=js
http://anubis.iseclab.org/?action=result&task_id=162d0bbf11f5d90d47de47d9e87f8eff7&format=html

23/07/56
Nontawattana  Saraman
SRAN Dev Team

“รู้เขา รู้เรา” ใครโจมตีเรา และเราโจมตีใคร

เราเคยเสนอระบบเพื่อให้รู้ทันภัยคุกคามจากการโจมตีบนโลกไซเบอร์ให้กับรัฐบาลไทย เพื่อให้ภาพรวมการโจมตีที่เกิดขึ้นในประเทศไทย เพื่อการป้องกันภัยอย่างยั้งยืน แต่ด้วยว่าเป็นเรื่องที่อธิบายลำบากเนื่องด้วยเป็นภาษาทางเทคนิคจึงทำให้โครงการยังไม่เกิดเป็นชิ้นเป็นอัน  ด้วยความฝันส่วนตัวของกลุ่มเราจึงอยากทำระบบดังกล่าวให้เป็นความจริงโดยไม่ต้องสนใจว่าใครจะให้ทำ เงินลงทุนมาจากไหน ? หรือระบบนี้จะเป็นว่าต้องการหรือไม่ก็ตาม เราได้ดำเนินการด้วยเงินทุนตัวเองสร้างระบบขึ้นมาจนเราได้เก็บเกี่ยวข้อมูลได้ระดับหนึ่งเป็นข้อมูลที่น่าสนใจ  และเป็นพื้นฐานที่ดีในการจะ “รู้เขา รู้เรา” หากนำไปใช้จริงจะช่วยลดปริมาณข้อมูลจราจร (Data Traffic) ที่เป็นภัยคุกคามไม่ว่าเป็นภัยทางอาชญากรรมคอมพิวเตอร์ที่แฝงมากับการสร้างบอทเน็ต การหลอกลวง การแฮก การขโมยข้อมูลเป็นต้น จะทำให้อินเทอร์เน็ตในประเทศไทยมีความมั่นคงปลอดภัยขึ้นโดยเฉพาะประชาชนผู้ใช้งานอินเทอร์เน็ตทั่วไปในประเทศไทย ที่อาจมีความรู้ทางด้านเทคนิคการป้องกันตัวและเป็นผู้ใช้งานทั่วไปที่ไม่มีความรู้ทางเทคนิคในการป้องกันตัวจะได้รับประโยชน์กับการใช้งานอย่างปลอดภัยขึ้น

ในอดีตจนถึงปัจจุบันเรายังไม่เคยมีการจัดทำข้อมูลเชิงสถิติเพื่อให้ทราบถึงภัยคุกคามที่เกิดขึ้นในประเทศไทย เหตุผลหนึ่งที่เกิดการจัดทำระบบ SRAN [in] block นี้ขึ้นก็มาจากคำพูดที่กล่าวว่า “รู้เขา รู้เรารบร้อยครั้งชนะร้อยครั้ง” มาใช้ในการประเมินสถานการณ์ด้านภัยคุกคามบนโลกไซเบอร์สำหรับประเทศไทยเรา พบว่าเรายังไม่มีข้อมูลเพียงพอสำหรับการประเมินได้เลย เราแทบไม่รู้ว่า เราไปโจมตีใครบ้างในโลกไซเบอร์ และ มีใครโจมตีเราบ้างในโลกไซเบอร์ ซึ่งวิธีการทำให้รู้เขารู้เรานั้นจำเป็นต้องมีการจัดทำระบบและข้อมูลในเชิงรุกขึ้น 

เมื่อเปรียบเทียบการโจมตีที่เกิดขึ้นบนโลกไซเบอร์นั้นอาจแบ่งได้เป็น 2 ประเภทใหญ่ได้แก่

(1)  Client Compromise คือ เครื่องลูกข่ายที่ถูกควบคุมจากแฮกเกอร์ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกล ซึ่งเครื่องลูกข่ายที่กล่าวถึงนั้น ได้แก่ คอมพิวเตอร์ที่ใช้ตามบ้าน, คอมพิวเตอร์ที่ใช้ในสำนักงาน หรือเครื่องทำงานของพนักงาน , โทรศัพท์มือถือ เป็นต้น ซึ่ง Client Compromise หากจัดทำข้อมูลขึ้นและระบุประเทศไทยได้ก็จะทำให้ทราบถึงการรู้ว่าเครื่องคอมพิวเตอร์ในประเทศเราไปโจมตีที่ใดอยู่บ้าง ตัวอย่างเครื่อง Client ที่ถูก Compromise จากการจัดทำข้อมูลจากทีมงาน SRAN ผ่านเทคโนโลยี Honey pot สามารถดูได้ที่ http://www.sran.org/attack จะทำให้เห็นภาพรวมเครื่องลูกข่ายที่ติดเชื้อและพยายามโจมตีเครื่องคอมพิวเตอร์ไปยังที่ต่างๆทั่วโลก ซึ่งบางเครื่องมาจากคอมพิวเตอร์โน้ตบุ๊ค (Notebook) ตามบ้านที่ใช้บริการอินเทอร์เน็ต แม้กระทั่งเครื่องมือถือที่ใช้บริการอินเทอร์เน็ตผ่านโครงข่ายมือถือ 2G และ 3G เป็นต้น 

ภาพที่ 1 ข้อมูลใน www.sran.net/attack แสดงข้อมูลเครื่องคอมพิวเตอร์ในประเทศไทยที่พยายามโจมตีบนโลกไซเบอร์ ซึ่งการโจมตีที่พบนั้นอาจจะโจมตีทั้งในและต่างประเทศ โดยที่เครื่องเหล่านี้ไม่รู้ตัวว่ากลายเป็นนักโจมตีระบบไปเสียแล้ว และเมื่อเราระบุแหล่งที่มาของค่าไอพีแอดเดรสลงบนแผนที่สารสนเทศ (GeoIP) แล้วจะพบว่าคอมพิวเตอร์เกือบทุกจังหวัดในประเทศไทยเป็นนักโจมตีระบบทั้งสิ้น
ภาพที่ 2 การแสดงข้อมูลเฉพาะประเทศไทยในวันที่ 20 กรกฏาคม 2556 เวลา 19:20 พบว่าส่วนใหญ่เครื่องคอมพิวเตอร์ในประเทศไทยที่โจมตีระบบที่อื่ๆ ทั่วโลกจะโจมตีบริการ SSH มากที่สุด 
ภาพที่ 3 ตัวอย่างการแสดงผลเครื่องคอมพิวเตอร์ในประเทศไทยที่กลายเป็นนักโจมตีระบบทั้งที่ตนเองอาจไม่รู้ตัว ซึ่งหากตรวจสอบดูแล้วส่วนใหญ่เป็นผู้ใช้งานตามบ้าน / ผู้ใช้งานมือถือ มีทั้งการติดเชื้อเป็นบอทเน็ต และเป็นนักโจมตีรหัสผ่าน (Brute force password) รวมทั้งการส่งข้อมูลขยะ (Spam)
***** สรุปในข้อ 1 คือเครื่องคอมพิวเตอร์ในประเทศไทย ไปโจมตี ชาวบ้าน (ทั้งในประเทศและต่างประเทศ) ตกเป็นเหยื่อ โดยส่วนใหญ่ไม่รู้ตัว

(2) Server Compromise คือ เครื่องแม่ข่ายที่ถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือการถูกทำการใดการหนึ่งที่มีผู้ควบคุมจากทางไกลได้ ซึ่งเครื่องแม่ข่ายที่กล่าวถึงนั้นมักจะเป็นเครื่องที่ออนไลน์ตลอดเวลา 24×7 ได้แก่ เว็บเซิร์ฟเวอร์ , เมล์เซิร์ฟเวอร์ , ดาต้าเบสเซิร์ฟเวอร์ และเครื่องแม่ข่ายอื่นๆ ที่ค่าไอพีแอดเดรส หรือ โดเมนแนม สาธารณะที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต ส่วนนี้เป็นการรู้เขา ใครโจมตีเราที่ไหนบ้าง หน่วยงานไหนบ้าง ตัวอย่างเครื่อง Server ที่ถูก Compromise เฉพาะในประเทศไทย ที่ทีมงาน SRAN ได้เก็บรวบรวมข้อมูลมาพบว่า

ภาพที่ 4 สถิติภาพรวมการตรวจจับการถูกที่อื่นโจมตีที่เกิดขึ้นกับเครื่องแม่ข่าย (Server) ในประเทศไทย ซึ่งภาพนี้เป็นการแสดงข้อมูลเครื่องแม่ข่ายในประเทศไทยที่ถูกโจมตี ทั้งถูกแฮกเว็บไซต์ (Web Attack) , การยึดเครื่องเพื่อสร้างเป็นเครื่องหลอกลวงข้อมูล (Phishing) และ เครื่องแม่ข่ายที่ติดเชื้อมัลแวร์ (Malware)   รวมถึงสถิติช่องโหว่ และเครื่องคอมพิวเตอร์ที่เปิดบริการ Proxy เพื่อการอำพรางไอพีแอดเดรส เป็นต้น ข้อมูลที่แสดงจากวันที่ 19 กรกฏาคม 2556  ด้านล่างเป็นจำนวนสถิติผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรียงตามตัวเลขการถูกโจมตี ซึ่งจะพบว่า ASN หมายเลข 9931 ของ CAT Telecom ถูกโจมตีมากที่สุดถึง 5,284 ครั้ง เฉพาะการถูกแฮกหรือเปลี่ยนหน้าเว็บเพจ (Web Attack)

ภาพที่ 5 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกแฮก และเปลี่ยนหน้าเว็บเพจ
ภาพที่ 6 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ถูกสร้างเป็นเว็บไซต์หลอกลวง (Phishing) 
ภาพที่ 7 การค้นพบเครื่องแม่ข่ายในประเทศไทย ที่ติดเชื้อมัลแวร์ (Malware) ซึ่งมีโอกาสแพร่เชื้อให้กับผู้ใช้งานที่เปิดหน้าเพจนั้นๆ

ซึ่งทั้งหมด สามารถดูรายประเภทได้ที่ http://www.sran.net/statistic?q=ซึ่งจากข้อมูลพบว่าประเทศไทยของเรานั้นประสบปัญหาการที่เครื่องแม่ข่ายถูกควบคุมจากแฮกเกอร์ ไม่ว่าเป็นการถูกทำให้ติดเชื้อหรือถูกทำการใดการหนึ่งที่ทำให้สามารถควบคุมระยะไกลได้เป็นจำนวนมาก จากสถิติในเว็บไซต์ www.sran.net/reports เมื่อพิจารณาย้อนหลังไป 3 ปี คือปี พ.ศ. 2554 – มิถุนายน 2556 (ค.ศ. 2011 – 2013) พบว่ามีเครื่องคอมพิวเตอร์ในประเทศไทยที่ทั้งติดเชื้อมัลแวร์ (Malware) , การถูกโจมตีเว็บไซต์จากแฮกเกอร์ (Web Attack) และการตกเป็นเครื่องในการเผยแพร่ข้อมูลหลอกลวง (Phishing) ซึ่งเหล่านี้ล้วนเป็นเครื่องแม่ข่าย (Server)

ภาพที่ 8 สถิติการถูกโจมตีตั้งแต่ปี ค.ศ 2011 – 2013 (ปัจจุบัน) ตามประเภทเครื่องแม่ข่ายที่ถูกโจมตีทั้งการถูกแฮก การตกเป็นเครื่องหลอกลวง และการติดเชื้อ
ภาพที่ 9 เมื่อมีการแบ่งประเภทตามหน่วยงานที่มีเครื่องแม่ข่ายที่ตกเป็นฐานในการโจมตีก็พบว่าหน่วยงาน ปี 2011 ภาครัฐบาลถูกโจมตีมากที่สุด ปี 2012 ภาครัฐบาลถูกโจมตีมากที่สุด
ปี 2013 ประเภทเอกชน (Commercial) ถูกโจมตีมากที่สุด รองลงมาคือภาคการศึกษา (Academic) เป็นต้น
จากข้อมูลย้อนหลัง 2 ปีกับอีก 6 เดือนพบว่าแนวโน้มการที่เครื่องแม่ข่าย (Server) ในประเทศไทยจะติดเชื้อมัลแวร์และการตกเป็นเครื่องมือในการเผยแพร่ข้อมูลหลอกลวง (Phishing) มีอัตราเพิ่มสูงขึ้น ซึ่งจะส่งผลทำให้มีการแพร่กระจายไวรัสและข้อมูลหลอกลวงไปสู่ประชาชนมีค่อนข้างสูง เพราะจากสถิติในปีล่าสุดพบว่ามีเครื่องแม่ข่าย (Server) ที่ติดเชื้อไปแล้ว 10,652 ครั้ง ซึ่งปริมาณมากกว่าสิ้นปี 2555 และ 2554 เสียอีก ดังนั้นจึงเป็นที่มาของภารกิจในการ ”ลดความเสี่ยง” และประหยัดงบประมาณ สำหรับเครื่องแม่ข่ายที่ยังขาดระบบรักษาความมั่นคงปลอดภัยทางข้อมูลไม่ให้ตกเป็นเป้าในการโจมตีของแฮกเกอร์และการติดเชื้อมัลแวร์จากการใช้งานอินเทอร์เน็ต นั้นทีมงาน SRAN พัฒนาได้คิดค้นเทคนิควิธีที่ช่วยในการลดความเสี่ยงต่อภัยอันตรายต่างๆ ด้วยการนำข้อมูลจราจรที่ผ่านการใช้งานเว็บเซิร์ฟเวอร์ผ่านมาช่องดีเอ็นเอสผ่านคลาวด์คอมพิวติ้ง ที่ทางทีมงาน SRAN ได้จัดทำขึ้น และช่วยป้องกันภัยคุกคามผ่านการเฝ้าระวังภัยและการป้องกันภัยแบบรวมศูนย์ ซึ่งจะทำให้เรารู้ทันภัยคุกคามที่เกิดขึ้นกับตนเองและป้องกันภัยได้แบบ Real Time เพื่อลดความเสี่ยงอันจะก่อให้เกิดความเสียหายต่อไป

การป้องกันเว็บไซต์ผ่านระบบ SRAN IN Block

SRAN iBlock เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค (www.gbtech.co.th) จัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing) โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์ เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัย
ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตี DDoS/DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น 
ภาพแสดงขั้นตอนการทำงานของ IN Block Services

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง  เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์ เจาะระบบข้อมูล ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall) , การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

ตามล่ามัลแวร์ iframe injection เว็บไซต์ในไทย

ตรวจมัลแวร์ Redkit exploit kit iframe injection
++++++++++++++++++++++++++++++++++++++++++++++
พบเหตุการณ์
++++++++++++++++++++++++++++++++++++++++++++++
ที่ http://www.cru.ac.th/cru_web/
ตรวจสอบจากเครือข่ายแม่ข่าย
++++++++++++++++++++++++++++++++++++++++++++++

Nmap scan report for 110.77.220.122
Host is up (0.31s latency).
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd (before 2.0.8) or WU-FTPD
|_banner: 220 Welcome to CRU FTP services.
22/tcp  open   ssh      OpenSSH 4.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_4.3
25/tcp  closed smtp
80/tcp  open   http     Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|   Date: Tue, 23 Jul 2013 06:40:32 GMT
|   Server: Apache/2.2.3 (CentOS)
|   Last-Modified: Wed, 10 Jul 2013 07:45:56 GMT
|   ETag: "1426800c-1556e-4e12377bfb500"
|   Accept-Ranges: bytes
|   Content-Length: 87406
|   Connection: close
|   Content-Type: text/html
|   
|_  (Request type: GET)
| http-title: xE0xB9x82xE0xB8xA3xE0xB8x87xE0xB9x80xE0xB8xA3xE0xB8xB5xE0xB8xA2xE0xB8x99xE0xB8x8AxE0xB8xA5xE0xB8xA3xE0xB8xB2xE0xB8xA9xE0xB8x8FxE0xB8xA3xE0xB8xADxE0xB8xB3xE0xB8xA3xE0xB8xB8xE0xB8x87 xE0...
|_Requested resource was http://110.77.220.122/cru_web/
110/tcp closed pop3
143/tcp closed imap
443/tcp open   ssl/http Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|_  (Request type: GET)
| ssl-cert: Subject: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Issuer: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Public Key type: rsa
| Public Key bits: 1024
| Not valid before: 2012-05-14T14:37:18+00:00
| Not valid after:  2032-05-09T14:37:18+00:00
| MD5:   394a 5a16 1dfb f58a 3705 69dc 47a5 4908
| SHA-1: 57c1 542d 00cd 6554 b04d 3d54 13ff bec0 d3fd d194
| -----BEGIN CERTIFICATE-----
| MIICvTCCAiYCCQDdu+DGElp74DANBgkqhkiG9w0BAQUFADCBojELMAkGA1UEBhMC
| VEgxETAPBgNVBAgTCENob25idXJpMREwDwYDVQQHEwhDaG9uYnVyaTEjMCEGA1UE
| ChMaQ2hvbnJhZHNhZG9ybnVtcnVuZyBTY2hvb2wxETAPBgNVBAsTCENob25jaGFp
| MQ4wDAYDVQQDEwVDaG9uMTElMCMGCSqGSIb3DQEJARYWY3J1X3NjaG9vbEBob3Rt
| YWlsLmNvbTAeFw0xMjA1MTQxNDM3MThaFw0zMjA1MDkxNDM3MThaMIGiMQswCQYD
| VQQGEwJUSDERMA8GA1UECBMIQ2hvbmJ1cmkxETAPBgNVBAcTCENob25idXJpMSMw
| IQYDVQQKExpDaG9ucmFkc2Fkb3JudW1ydW5nIFNjaG9vbDERMA8GA1UECxMIQ2hv
| bmNoYWkxDjAMBgNVBAMTBUNob24xMSUwIwYJKoZIhvcNAQkBFhZjcnVfc2Nob29s
| QGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUNiDSmaZ3
| neIoKKaDubNIT3tKHx8y84L7bfs+xC319iNtgHFv/DsnaQS4tjPVrI3jorK8FDzV
| K9n5TNLIEarayHft7HOzToerNcwYshrArb8qpXrRD7SJoHfmMH5z+CE9TqFQEh22
| fDssKN0+/mA2/GMsxX7P1D5VbAm+BdM95QIDAQABMA0GCSqGSIb3DQEBBQUAA4GB
| AG051xp8Q6hvcW+IhJRXAanVKtod7TXG4ZVQ0Elx8AxsnGdk4rD0mvPXE7vWf7bG
| onvP8eBQKv4SvHLDzee9qxRxwcZAGXsI80TagIG0ekI4q03Nk3RiaycWDgP7kR48
| BOhMR+pMi8RQfZTdjBK14GOD/wgpBVlA2ycvg+87ZOwg
|_-----END CERTIFICATE-----
Aggressive OS guesses: Linux 2.6.18 (92%), Linux 2.6.32 (92%), FreeBSD 6.2-RELEASE (91%), Linux 2.6.9 - 2.6.18 (91%), Cisco UC320W PBX (Linux 2.6) (90%), Linux 2.6.9 (90%), Linux 2.6.22.1-32.fc6 (x86, SMP) (89%), Linux 2.6.5 (89%), Linux 2.6.11 (89%), Linux 2.6.28 (89%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: CRU

Host script results:
| asn-query: 
| BGP: 110.77.220.0/24 and 110.77.208.0/20 | Country: TH
|   Origin AS: 131090 - CAT-IDC-4BYTENET-AS-AP CAT TELECOM Public Company Ltd,CAT
|_    Peer AS: 4651
| dns-blacklist: 
|   SPAM
|_    l2.apews.org - SPAM
| hostmap-ip2hosts: 
|   hosts: 
|     cru.ac.th
|_    www.cru.ac.th

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
การเชื่อมโยง
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
พบสิ่งผิดปกติ
ที่เกิดจาก iframe ซ่อนโดแมนมัลแวร์ในเว็บ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 width="210" height="210" src="source/swf/clock.swf" quality="high"
pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">



width=“864” height=“354” src=“source/swf/banner.swf” quality=“high”

pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">

+++++++++++++++++++++++++++++++++++++++++++++++++++++++
ตรวจการเรียกข้อมูล
++++++++++++++++++++++++++++++++++++++++++

URL Status Content Type
http://www.cru.ac.th/ 302 text/html
 http://www.cru.ac.th/cru_web/ 200 text/html
 http://www.cru.ac.th/cru_web/js/jquery.js 200 application/x-javascript
 http://mybodybuildingjourney.com/oeef.html?j=3267321 301 text/html
 http://mikeborge.com/oeef.html?j=3267321 200 text/html
 http://mikeborge.com/0o4.jar 200 application/zip
 about:blank 200 text/html
 http://www.cru.ac.th/cru_web/js/easySlider1.7.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/Scripts/AC_RunActiveContent.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/source/swf/banner.swf 200 application/x-shockwave-flash
 http://www.cru.ac.th/cru_web/source/swf/clock.swf 200 application/x-shockwave-flash
 http://artisticgenepool.com/oaaf.html?j=3267321 301 text/html
 http://mikeborge.com/oaaf.html?j=3267321 404 empty
 http://mybodybuildingjourney.com/oeef.html?i=3267321 301 text/html
 http://mikeborge.com/oeef.html?i=3267321 404 empty
 http://www.cru.ac.th/cru_web/css/mainMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/screen.css 404 text/html
 http://www.cru.ac.th/cru_web/css/topMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/personMenu.css 404 text/html

Redirects

From To
http://www.cru.ac.th/ http://www.cru.ac.th/cru_web/
http://mybodybuildingjourney.com/oeef.html?j=3267321 http://mikeborge.com/oeef.html?j=3267321
http://artisticgenepool.com/oaaf.html?j=3267321 http://mikeborge.com/oaaf.html?j=3267321
http://mybodybuildingjourney.com/oeef.html?i=3267321 http://mikeborge.com/oeef.html?i=3267321

ActiveX controls

  • D27CDB6E-AE6D-11CF-96B8-444553540000
    Name Value
    Attributes movie 
    source/swf/clock.swf
    jQuery1366577423256 
    147.0
    		 
    1022.0
    quality 
    high
  • =================================
  • ตรวจ HTTP
  • =================================
  • โหลด HTTP Capture แบบ Proxy Request จะเห็นการติดต่อไปที่ เว็บมัลแวร์ mybodybuildingjourney.com


==============================================================
ตรวจ Whois
==============================================================
Domain name: mybodybuildingjourney.com
Registrant Contact:
Pete81
Petri Olsson ()
Fax:
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Administrative Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Technical Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Status: Locked
Name Servers:
ns3321.hostgator.com
ns3322.hostgator.com
Creation date: 15 Oct 2009 16:41:05
Expiration date: 15 Oct 2013 16:41:05


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Link 
https://www.virustotal.com/th/url/e23ec6b60262684212b39c1751a04d5fe8c573beb91826b30c50684c257ee39f/analysis/
http://wepawet.iseclab.org/view.php?hash=66100e0d535a4c1119acb647613b4b70&t=1366577405&type=js
http://urlquery.net/report.php?id=2104305
http://checkip.me/whomap.php?domain=mybodybuildingjourney.com