ตามล่ามัลแวร์ iframe injection เว็บไซต์ในไทย

ตรวจมัลแวร์ Redkit exploit kit iframe injection
++++++++++++++++++++++++++++++++++++++++++++++
พบเหตุการณ์
++++++++++++++++++++++++++++++++++++++++++++++
ที่ http://www.cru.ac.th/cru_web/
ตรวจสอบจากเครือข่ายแม่ข่าย
++++++++++++++++++++++++++++++++++++++++++++++

Nmap scan report for 110.77.220.122
Host is up (0.31s latency).
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd (before 2.0.8) or WU-FTPD
|_banner: 220 Welcome to CRU FTP services.
22/tcp  open   ssh      OpenSSH 4.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_4.3
25/tcp  closed smtp
80/tcp  open   http     Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|   Date: Tue, 23 Jul 2013 06:40:32 GMT
|   Server: Apache/2.2.3 (CentOS)
|   Last-Modified: Wed, 10 Jul 2013 07:45:56 GMT
|   ETag: "1426800c-1556e-4e12377bfb500"
|   Accept-Ranges: bytes
|   Content-Length: 87406
|   Connection: close
|   Content-Type: text/html
|   
|_  (Request type: GET)
| http-title: xE0xB9x82xE0xB8xA3xE0xB8x87xE0xB9x80xE0xB8xA3xE0xB8xB5xE0xB8xA2xE0xB8x99xE0xB8x8AxE0xB8xA5xE0xB8xA3xE0xB8xB2xE0xB8xA9xE0xB8x8FxE0xB8xA3xE0xB8xADxE0xB8xB3xE0xB8xA3xE0xB8xB8xE0xB8x87 xE0...
|_Requested resource was http://110.77.220.122/cru_web/
110/tcp closed pop3
143/tcp closed imap
443/tcp open   ssl/http Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|_  (Request type: GET)
| ssl-cert: Subject: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Issuer: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Public Key type: rsa
| Public Key bits: 1024
| Not valid before: 2012-05-14T14:37:18+00:00
| Not valid after:  2032-05-09T14:37:18+00:00
| MD5:   394a 5a16 1dfb f58a 3705 69dc 47a5 4908
| SHA-1: 57c1 542d 00cd 6554 b04d 3d54 13ff bec0 d3fd d194
| -----BEGIN CERTIFICATE-----
| MIICvTCCAiYCCQDdu+DGElp74DANBgkqhkiG9w0BAQUFADCBojELMAkGA1UEBhMC
| VEgxETAPBgNVBAgTCENob25idXJpMREwDwYDVQQHEwhDaG9uYnVyaTEjMCEGA1UE
| ChMaQ2hvbnJhZHNhZG9ybnVtcnVuZyBTY2hvb2wxETAPBgNVBAsTCENob25jaGFp
| MQ4wDAYDVQQDEwVDaG9uMTElMCMGCSqGSIb3DQEJARYWY3J1X3NjaG9vbEBob3Rt
| YWlsLmNvbTAeFw0xMjA1MTQxNDM3MThaFw0zMjA1MDkxNDM3MThaMIGiMQswCQYD
| VQQGEwJUSDERMA8GA1UECBMIQ2hvbmJ1cmkxETAPBgNVBAcTCENob25idXJpMSMw
| IQYDVQQKExpDaG9ucmFkc2Fkb3JudW1ydW5nIFNjaG9vbDERMA8GA1UECxMIQ2hv
| bmNoYWkxDjAMBgNVBAMTBUNob24xMSUwIwYJKoZIhvcNAQkBFhZjcnVfc2Nob29s
| QGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUNiDSmaZ3
| neIoKKaDubNIT3tKHx8y84L7bfs+xC319iNtgHFv/DsnaQS4tjPVrI3jorK8FDzV
| K9n5TNLIEarayHft7HOzToerNcwYshrArb8qpXrRD7SJoHfmMH5z+CE9TqFQEh22
| fDssKN0+/mA2/GMsxX7P1D5VbAm+BdM95QIDAQABMA0GCSqGSIb3DQEBBQUAA4GB
| AG051xp8Q6hvcW+IhJRXAanVKtod7TXG4ZVQ0Elx8AxsnGdk4rD0mvPXE7vWf7bG
| onvP8eBQKv4SvHLDzee9qxRxwcZAGXsI80TagIG0ekI4q03Nk3RiaycWDgP7kR48
| BOhMR+pMi8RQfZTdjBK14GOD/wgpBVlA2ycvg+87ZOwg
|_-----END CERTIFICATE-----
Aggressive OS guesses: Linux 2.6.18 (92%), Linux 2.6.32 (92%), FreeBSD 6.2-RELEASE (91%), Linux 2.6.9 - 2.6.18 (91%), Cisco UC320W PBX (Linux 2.6) (90%), Linux 2.6.9 (90%), Linux 2.6.22.1-32.fc6 (x86, SMP) (89%), Linux 2.6.5 (89%), Linux 2.6.11 (89%), Linux 2.6.28 (89%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: CRU

Host script results:
| asn-query: 
| BGP: 110.77.220.0/24 and 110.77.208.0/20 | Country: TH
|   Origin AS: 131090 - CAT-IDC-4BYTENET-AS-AP CAT TELECOM Public Company Ltd,CAT
|_    Peer AS: 4651
| dns-blacklist: 
|   SPAM
|_    l2.apews.org - SPAM
| hostmap-ip2hosts: 
|   hosts: 
|     cru.ac.th
|_    www.cru.ac.th

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
การเชื่อมโยง
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
พบสิ่งผิดปกติ
ที่เกิดจาก iframe ซ่อนโดแมนมัลแวร์ในเว็บ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 width="210" height="210" src="source/swf/clock.swf" quality="high"
pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">



width=“864” height=“354” src=“source/swf/banner.swf” quality=“high”

pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">

+++++++++++++++++++++++++++++++++++++++++++++++++++++++
ตรวจการเรียกข้อมูล
++++++++++++++++++++++++++++++++++++++++++

URL Status Content Type
http://www.cru.ac.th/ 302 text/html
 http://www.cru.ac.th/cru_web/ 200 text/html
 http://www.cru.ac.th/cru_web/js/jquery.js 200 application/x-javascript
 http://mybodybuildingjourney.com/oeef.html?j=3267321 301 text/html
 http://mikeborge.com/oeef.html?j=3267321 200 text/html
 http://mikeborge.com/0o4.jar 200 application/zip
 about:blank 200 text/html
 http://www.cru.ac.th/cru_web/js/easySlider1.7.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/Scripts/AC_RunActiveContent.js 200 application/x-javascript
 http://www.cru.ac.th/cru_web/source/swf/banner.swf 200 application/x-shockwave-flash
 http://www.cru.ac.th/cru_web/source/swf/clock.swf 200 application/x-shockwave-flash
 http://artisticgenepool.com/oaaf.html?j=3267321 301 text/html
 http://mikeborge.com/oaaf.html?j=3267321 404 empty
 http://mybodybuildingjourney.com/oeef.html?i=3267321 301 text/html
 http://mikeborge.com/oeef.html?i=3267321 404 empty
 http://www.cru.ac.th/cru_web/css/mainMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/screen.css 404 text/html
 http://www.cru.ac.th/cru_web/css/topMenu.css 200 text/css
 http://www.cru.ac.th/cru_web/css/personMenu.css 404 text/html

Redirects

From To
http://www.cru.ac.th/ http://www.cru.ac.th/cru_web/
http://mybodybuildingjourney.com/oeef.html?j=3267321 http://mikeborge.com/oeef.html?j=3267321
http://artisticgenepool.com/oaaf.html?j=3267321 http://mikeborge.com/oaaf.html?j=3267321
http://mybodybuildingjourney.com/oeef.html?i=3267321 http://mikeborge.com/oeef.html?i=3267321

ActiveX controls

  • D27CDB6E-AE6D-11CF-96B8-444553540000
    Name Value
    Attributes movie 
    source/swf/clock.swf
    jQuery1366577423256 
    147.0
    		 
    1022.0
    quality 
    high
  • =================================
  • ตรวจ HTTP
  • =================================
  • โหลด HTTP Capture แบบ Proxy Request จะเห็นการติดต่อไปที่ เว็บมัลแวร์ mybodybuildingjourney.com


==============================================================
ตรวจ Whois
==============================================================
Domain name: mybodybuildingjourney.com
Registrant Contact:
Pete81
Petri Olsson ()
Fax:
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Administrative Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Technical Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Status: Locked
Name Servers:
ns3321.hostgator.com
ns3322.hostgator.com
Creation date: 15 Oct 2009 16:41:05
Expiration date: 15 Oct 2013 16:41:05


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Link 
https://www.virustotal.com/th/url/e23ec6b60262684212b39c1751a04d5fe8c573beb91826b30c50684c257ee39f/analysis/
http://wepawet.iseclab.org/view.php?hash=66100e0d535a4c1119acb647613b4b70&t=1366577405&type=js
http://urlquery.net/report.php?id=2104305
http://checkip.me/whomap.php?domain=mybodybuildingjourney.com

    การป้องกันข้อมูลส่วนตัวกับ UNtracked อินเทอร์เน็ตล่องหน

    อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked
    จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น 

    อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

    คุณสมบัติ

    1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
    2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
    3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don’t Tracking)
    ด้วยคุณสมบัติทั้ง 3 รวมเรียก “UN Tracked” Defend Privacy Data and against Internet Surveillance

    สิ่งที่ได้รับจากการใช้ “UN Tracked”
    1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
    2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
    3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
    4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

    จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน

    ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง


    ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย

    การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
    Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
    ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร

     ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกันได้ถึง 50 เครื่อง

    ความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซที่ควรเอาใจใส่

    การถูกเจาะระบบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซได้เพิ่มขึ้นจนกลายเป็นเรื่องที่พบเห็นหรือได้ยินบ่อยครั้งแล้วในสมัยนี้ ผลรายงานความปลอดภัยทางคอมพิวเตอร์ทั่วโลกของSpiderLabsในปี 2012ได้ระบุว่า กว่า 20% ของเหตุภัยที่เกิดขึ้นนั้นมีเว็บไซต์อีคอมเมิร์ซเกี่ยวข้องด้วย โดยมีอัตราส่วนเพิ่มขึ้นจากปีก่อนหน้าถึง 9%ซึ่งเกือบ40% ของเหตุภัยดังกล่าวเกิดขึ้นในทวีป Asia-Pacificโดยเหตุการณ์ต่างๆที่เกิดขึ้นจากทั่วโลกเหล่านี้มีแรงจูงใจเพื่อการขโมยข้อมูลบัตรเครดิตเป็นเสียส่วนใหญ่
    เพื่อเป็นการเสริมการป้องกันต่อการโจมตีที่มุ่งเป้าไปยังระบบอีคอมเมิร์ซ, เราจะต้องมีความรู้ความเข้าใจข้อเท็จจริงของความปลอดภัยในระบบอีคอมคอมเมิร์ซให้มากยิ่งขึ้นไปกว่านี้ และจากประสพการณ์ของพวกเราที่ผ่านมานั้น โดยทั่วไปแล้วการรับชำระค่าสินค้าและบริการส่วนมากบนเว็บไซต์อีคอมเมิร์ซจะมีสามวิธีดังนี้
    การจัดเก็บข้อมูลและดาวน์โหลด
    วิธีการนี้เป็นวิธีการที่มักใช้โดยกลุ่มผู้ประกอบการธุรกิจรายย่อย โดยเฉพาะกลุ่มที่มีการนำระบบร้านค้าออนไลน์เข้ามาเสริมกับร้านค้าจริง ซึ่งร้านเหล่านี้จะมีเครื่องมือรับชำระเงินด้วยบัตรเครดิตแล้ว ดังนั้นเมื่อมีการสั่งซื้อสินค้าผ่านทางเว็บไซต์ ผู้ประกอบการจะทำการดำเนินการใส่ข้อมูลบัตรเครดิตของลูกค้าลงในเครื่องเพื่อชำระเงินทีละรายการด้วยตนเอง
    ผลลัพท์จากวิธีการดังกล่าว ส่งผลให้ข้อมูลบัตรเครดิตของลูกค้าถูกจัดเก็บไว้ที่ไหนสักแห่ง โดยมากมักเป็นบนเว็บเซิฟเวอร์
    ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ
    กลุ่มผู้ประกอบการรายที่ใหญ่ขึ้นมามีความเป็นไปได้สูงที่จะใช้วิธีการนี้ เพราะด้วยเหตุผลที่ว่ามันช่วยให้การรับชำระเงินเป็นไปได้ไม่ติดขัด และยังช่วยตรวจสอบสถานะบัตรเครดิต ณ เวลานั้นๆด้วย ซึ่งเมื่อลูกค้าให้ข้อมูลบัตรเครดิตแก่เว็บไซต์ของผู้ประกอบการแล้วในระหว่างขั้นตอนการคิดราคารวมสินค้าทั้งหมด ระบบจะทำการส่งข้อมูลเหล่านั้นไปยังเกตเวย์ของผู้ให้บริการบัตรเครดิตโดยตรงเพื่อตรวจสอบสถานะ ทำให้ข้อมูลบัตรเครดิตของลูกค้าไม่ถูกเก็บลงในระบบคอมพิวเตอร์ของผู้ประกอบการ และช่วยให้ลูกค้าไม่จำเป็นต้องถูกระบบเปลี่ยนหน้าเพจไปยังเว็บไซต์อื่นๆเพื่อชำระเงิน
    ชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรง
    จุดมุ่งหมายของวิธีการนี้คือ เพื่อยืนยันให้ชัดเจนว่าข้อมูลบัตรเครดิตของลูกค้าจะไม่มีปรากฎในเว็บไซต์ของร้านค้าเลย โดยเมื่อลูกค้าได้เข้าสู่ขั้นตอนการคิดยอดค่าชำระแล้ว ลูกค้าจะถูกนำไปยังระบบของผู้ให้บริการ เพื่อให้ข้อมูลบัตรเครดิตและหักเงินจากยอดชำระของรายการสั่งซื้อ
    วิธีการชำระผ่านเกตเวย์โดยตรง และผ่านอินเทอร์เฟซเกตเวย์นั้นมีความคล้ายคลึงกันมาก เว้นแต่ช่องแบบฟอร์มที่ลูกค้าจะต้องทำการกรอกข้อมูลบัตรเครดิตเพื่อชำระเงินนั้นมาจากคนละเว็บไซต์ ข้อมูลเหล่านั้นจะถูกส่งไปยังผู้ให้บริการโดยตรงหากเป็นวิธีการชำระผ่านเกตเวย์โดยตรงในขณะที่การชำระผ่านอินเทอร์เฟซเกตเวย์ ข้อมูลจะถูกส่งไปที่เว็บไซต์ของร้านค้าก่อนที่จะถูกนำไปส่งที่ผู้ให้บริการโดยอัตโนมัติอีกทอดหนึ่ง
    ในบางสภาวะนั้นทั้งสามวิธีการดังกล่าว สามารถตกเป็นเป้าจากการโจมตีในรูปแบบเหล่านี้ได้:
    1. ข้อมูลที่ถูกจัดเก็บไว้ –แฮคเกอร์ใช้การค้นหาตำแหน่งของไฟล์ที่มีการบันทึกข้อมูลบัตรเครดิตไว้ และคัดลอกเอาออกมา มักเกิดขึ้นกับผู้ประกอบการที่เลือกใช้วิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” และในบางครั้งเองก็อาจเกิดกับวิธีการ “ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ” ได้ด้วยหากผู้ประกอบการเกิดความเผลอเรอ
    2. ช่วงระหว่างการรอส่งข้อมูลให้ผู้บริการ–เนื่องจากวิธีการชำระผ่านอินเทอร์เฟซเกตเวย์นั้นจะไม่มีข้อมูลบัตรเครดิตถูกเก็บไว้ในระบบของร้านค้าเลย ดังนั้นแฮคเกอร์จึงต้องทำการดักจับข้อมูลในช่วงระหว่างที่เว็บไซต์ร้านค้ากำลังเตรียมนำข้อมูลบัตรเครดิตที่ลูกค้ากรอกลงในแบบฟอร์มชำระเงิน ส่งให้กับผู้ให้บริการ การดักจับข้อมูลจะกระทำโดยการบันทึกข้อมูลทุกรายการที่มีการระบุให้ส่งไปที่ผู้ให้บริการลงในไฟล์เพื่อที่จะได้ดาวน์โหลดหรืออีเมล์ออกมาดูได้
    3. เหยื่อล่อ และการสับเปลี่ยน–ในขณะที่การใช้วิธีการชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรงจะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลลงไปได้มาก แต่ก็ไม่ได้ทำให้ผู้ประกอบการสามารถทำให้เสี่ยงดังกล่าวหมดไปได้อย่างสิ้นเชิง ด้วยการเปลี่ยนแปลงการส่งข้อมูลบัตรเครดิตที่ลูกค้าได้ทำการกรอกลงไป
    ตัวอย่างเช่น แฮคเกอร์อาจทำการแฮคเว็บไซต์ร้านค้าให้ทำการแสดงแบบฟอร์มกรอกข้อมูลปลอมแทนที่จะเป็นแบบฟอร์มจากผู้ให้บริการจริงๆ ซึ่งเมื่อมีการกรอกข้อมูลลงไปแล้ว ข้อมูลจะถูกสำเนาออกเป็นสองชุด โดยชุดแรกจะถูกส่งไปที่ผู้ให้บริการจริง ในขณะที่อีกชุดจะส่งไปให้แฮคเกอร์เอง ทำให้ลูกค้าและตัวผู้ประกอบการเองไม่สามารถรู้ตัวได้ว่าถูกขโมยข้อมูลแล้ว
    หน้าที่ส่วนหนึ่งของผู้จัดทำบทความนี้คือการให้บริการตอบสนองกับภัยคุกคามที่เกิดขึ้น  ซึ่งต้องมีการสอบถามผู้ประกอบการที่ถูกขโมยข้อมูลบัตรเครดิตไป และมีจำนวนไม่น้อยที่ได้โต้แย้งว่าข้อมูลของพวกเขามีความปลอดภัย ไม่เกิดการรั่วไหลออกไปได้ ด้วยเหตุผลเหล่านี้:
    • ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
    • ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
    • มีการนำเอาระบบ SSLมาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
    • ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
    • ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
    ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
    เมื่อผู้ประกอบการยกเหตุผลนี้ขึ้นมา นั่นหมายถึง “เราไม่ได้มีความตั้งใจที่จะจัดเก็บข้อมูลบัตรเครดิตในระยะยาวเลย”เพราะผู้ประกอบการทุกคนต่างก็ทราบอยู่เสมอว่าพวกเขาไม่มีความจำเป็นที่จะต้องเก็บข้อมูลเหล่านั้นไว้เมื่อถึงจุดๆหนึ่งที่ทำรายการเก็บค่าชำระแล้วแต่การทำเช่นนั้นซึ่งเป็นส่วนหนึ่งของวิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” จะต้องมีการเก็บข้อมูลบัตรเครดิตไว้ระยะเวลาหนึ่งก่อนที่ข้อมูลบัตรจะถูกนำไปใช้ชำระเงินทีละรายการ โดยภายหลังจากขั้นตอนนี้แล้วผู้ประกอบการจะทำการลบข้อมูลบัตรเครดิตออกจากระบบของพวกเขา
    จากประสพการณ์ที่ทางผู้จัดทำบทความนี้ได้พบมานั้น น้อยครั้งนักที่ข้อมูลดังกล่าวจะถูกลบออกไปได้จนหมดสิ้น เพราะว่าผู้พัฒนาโปรแกรมรังเกียจการสูญหายของข้อมูล ดังนั้นโปรแกรมสำหรับการจัดการร้านค้าส่วนใหญ่จึงถูกปรับแต่งให้ทำการเปลี่ยนสถานะการรายการสั่งซื้อจากแจ้งความประสงค์ในการสั่งซื้อให้กลายเป็นสถานะถูกส่งสินค้าไปแล้ว และซ่อนข้อมูลอื่นๆของรายการสั่งซื้อ รวมไปถึงข้อมูลการชำระเงินของลูกค้าไว้มากกว่าการลบออกไป นอกจากนี้ในบางโปรแกรมยังได้มีค่าการปรับแต่งเริ่มต้นให้ทำการสำรองข้อมูลทั้งหมดไว้ที่ฐานข้อมูลเป็นประจำอีกด้วย
    อย่างไรก็ตาม หากพิจารณาถึงประเด็นข้างต้นที่กล่าวมา ช่วงเวลาดังกล่าวหากข้อมูลมีการจัดเก็บไว้ในระบบแม้แต่เพียงวินาทีเดียว ก็เป็นสิ่งเคลือบแคลงใจที่จะเกิดความเป็นไปได้ว่าข้อมูลจะถูกขโมยออกไปได้โดยแฮคเกอร์ ผู้ประกอบการส่วนใหญ่มักมีความเชื่อที่ผิดๆว่า แฮคเกอร์จะต้องทำการเฝ้าติดตามความเคลื่อนไหวของเว็บไซต์ร้านค้าตลอดเวลา และขโมยข้อมูลบัตรเครดิตจากรายการสั่งซื้อที่เพิ่มเข้ามาเก็บไว้ทีละรายการ แต่จากประสพการณ์ของผู้จัดทำบทความได้พบว่าแฮคเกอร์เหล่านี้ใช้ระบบอัตโนมัติเพื่อเพิ่มความสะดวกสบายและลดเวลาในการปฏิบัติการ เช่นการใช้สคริปต์ควบคุมให้คอมพิวเตอร์ของพวกเขาตรวจสอบรายการสั่งซื้อเข้าใหม่จากเว็บไซต์ร้านค้าเป้าหมายได้ทุกๆ 5นาที
    นอกจากนี้ยังเคยปรากฏการขโมยข้อมูลผ่านอินเทอร์เฟซของเกตเวย์ผู้ให้บริการอีกด้วย ในกรณีนี้มักเกิดจากข้อมูลในบัตรเครดิตถูกบันทึกไว้ในไฟล์ log โดยอุบัติเหตุ แม้ตัวผู้ประกอบการไม่ได้จงใจให้เกิดเหตุเช่นนั้น เช่น หน้าที่การบันทึกไฟล์ log ที่มาพร้อมกับโปรแกรมจัดการ, จากตัวระบบเอง, หรือการตั้งค่าติดตั้งที่มิได้รับการเปลี่ยนกลับครั้งเมื่อผู้ประกอบการทดสอบการติดตั้งโปรแกรมจัดการ
    ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
    หากผู้ประกอบการยกเหตุผลว่าข้อมูลบัตรเครดิตถูกเข้ารหัสไว้ คำถามที่เกิดขึ้นจะตามมานั้นคือ “เยี่ยมไปเลย –แต่พวกคุณทำอย่างไรถึงจะเห็นข้อมูลเหล่านั้นเวลาทำรายการคิดค่าชำระ?” คำตอบที่ได้รับนั้นมักระบุว่า ข้อมูลได้ถูกถอดรหัสเรียบร้อยปรากฏอยู่ที่หน้าจอให้แล้ว เมื่อเข้าไปทำรายการด้วยบัญชีที่ลงทะเบียนไว้ ซึ่งแน่นอนว่ามันควรจะต้องเป็นเช่นนั้น, เพราะผู้ประกอบการยังจำเป็นต้องนำข้อมูลบัตรเครดิตมาทำรายการด้วยตนเอง ดังนั้นโปรแกรมจัดการจึงต้องมีวิธีการบางอย่างเพื่อถอดรหัสไว้ด้วย
    ถึงแม้ความเป็นไปได้ที่ข้อมูลบัตรเครดิตถูกเข้ารหัสไว้อย่างรัดกุม และช่วยให้ผู้ประกอบการสามารถเข้าไปดูข้อมูลได้ในขณะที่ป้องกันมิให้แฮคเกอร์เห็นข้อมูลใดๆ (เช่น โปรแกรมจัดการซื้อขายของ LiteCommerceที่มีการเข้ารหัสแบบอสมมาตร ตามมาตรฐาน GPG)มากกว่า การเข้ารหัสด้วยกุญแจเพียงดอกเดียว แต่นั่นหมายถึงกระบวนการเข้ารหัสที่ด้วยกุญแจที่ถูกจัดเก็บไว้ในสถานที่เดียวกันและสามารถถูกเรียกใช้ได้ตลอดเวลาโดยเว็บแอพพลิเคชั่น
    การเข้ารหัสประเภทดังกล่าวมักไม่มีผลต่อแฮคเกอร์ที่สามารถแฮคเข้าเว็บไซต์ของร้านค้าได้เรียบร้อยแล้ว
    เมื่อแฮคเกอร์พบว่าข้อมูลที่ตนเองต้องการได้ถูกเข้ารหัสไว้ พวกเขาจะมองหาวิธีการถอดรหัสข้อมูลโดยวิเคราะห์จากโค้ดโปรแกรม เมื่อนำโค้ดในการถอดรหัสมาเรียบเรียงเขียนขึ้นใหม่ก็จะสามารถถอดรหัสเพื่อดูข้อมูลที่อยู่ข้างในได้
    มีการนำเอาระบบ SSL มาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
    ใบรับรองSSLเป็นส่วนหนึ่งที่สำคัญของความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซ โดยมีจุดประสงค์เพื่อปกป้องข้อมูลที่ถูกส่งผ่านจากเครื่องคอมพิวเตอร์ของผู้เข้าเยี่ยมชมเว็บไซต์หรือลูกค้าไปถึงเครื่องเซิฟเวอร์ของร้านค้า  โชคไม่ดีนักที่มันไม่ทำให้ข้อมูลมีความปลอดภัยเพิ่มขึ้นเลย เพราะเมื่อข้อมูลได้เดินทางถึงเครื่องเซิฟเวอร์ของร้านค้าแล้ว ใบรับรองSSL จะไม่สามารถป้องกันข้อมูลจากการถูกแฮคเว็บไซต์ร้านค้าโดยตรงได้
    ผู้ประกอบการส่วนใหญ่มักมีความเข้าใจผิดว่าใบรับรอง SSLจะสามารถช่วยป้องกันการโจมตีจากแฮคเกอร์ได้ทุกชนิด โดยเฉพาะกลุ่มรายย่อย
    ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
    ผู้ประกอบการจำนวนไม่น้อยที่มีการจ้างวานให้หน่วยงานที่สามเข้ามาดูแลจัดการตามมาตรฐาน PCI-DSS ซึ่งหลายต่อหลายครั้งผู้ประกอบการมีความเชื่อว่าหากผ่านมาตรฐานแล้ว พวกเขาจะไม่ต้องกังวลเรื่องความปลอดภัยอีก
    ซึ่งน่าเสียดายว่าความเชื่อเหล่านี้ไม่เป็นความจริง –ความปลอดภัยบนเว็บไซต์ของร้านค้ายังเป็นสิ่งที่จำเป็นต่อข้อมูลส่วนตัวและบัตรเครดิตของลูกค้า เพราะหากแฮคเกอร์สามารถที่จะเข้าไปขโมยข้อมูลเหล่านั้นออกมาได้ด้วยการแก้ไขการทำงานของเว็บไซต์หากสามารถแฮคเข้าไปควบคุมเครื่องเซิฟเวอร์ของร้านค้าได้สำเร็จ
    หากผู้ประกอบการเลือกใช้วิธีการคิดค่าชำระผ่านอินเทอร์เฟซเกตเวย์ แฮคเกอร์จะใช้การอีเมล์ข้อมูลบัตรเครดิตส่งมาให้ ในช่วงขั้นตอนการคิดราคาสินค้าเพื่อชำระเงินและเตรียมส่งให้ผู้บริการบัตรเครดิตตรวจสอบสถานะของบัตร
    ส่วนวิธีการชำระผ่านเกตเวย์โดยตรงนั้น แฮคเกอร์สามารถลวงให้ผู้ซื้อสินค้ากรอกข้อมูลบัตรเครดิตที่เว็บไซต์เกตเวย์ปลอมที่ได้สร้างขึ้นมาเตรียมไว้ จากนั้นทำการสำเนาข้อมูลการซื้อขาย แล้วส่งไปให้ที่เกตเวย์ของจริงอีกครั้งหนึ่ง ทำให้ผู้ประกอบการได้รับใบเสร็จจากการชำระเงิน และไม่เป็นที่สงสัยด้วย
    ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
    นี่อาจเป็นสาเหตุหลักที่ส่งผลให้เกิดแนวโน้มภัยคุกคามต่อเว็บไซต์อีคอมเมิร์ซมากที่สุด ผู้ประกอบการรายย่อยเกือบทุกรายที่ผู้จัดทำบทความได้เคยสอบถามได้เปิดเผยว่าพวกเขามีความเชื่อที่ว่าแฮคเกอร์มักมุ่งเป้าโจมตีไปที่บริษัทที่มีธุรกิจขนาดใหญ่ และถึงกับจินตนาการไปว่าในเวลาดังกล่าวจะต้องมีแฮคเกอร์จำนวนมากกำลังขบคิดหาวิธีโจมตีบริษัทใหญ่ๆเหล่านั้นอยู่
    ในความเป็นจริงนั้น แฮคเกอร์เกือบทั้งหมดมักไม่มีความสนใจว่าเป้าหมายของพวกเขาจะมีความใหญ่โตทางด้านธุรกิจเพียงใด ในทางกลับกันพวกเขามุ่งเป้าไปที่การพยายามเจาะระบบรักษาความปลอดภัยที่ใช้โดยผู้ประกอบการธุรกิจ เพราะสามารถพัฒนาเครื่องมือเพื่อใช้ในการแฮคได้ง่าย
    นอกจากนี้แล้วพวกเขายังมีทัศนคติในเชิงบวกอีกด้วย หากระบบที่ถูกแฮคจะมีข้อมูลบัตรเครดิตเพียงไม่กี่ใบก็ตาม พวกเขาก็เลือกที่จะลงมือแล้วหาเหยื่อรายถัดไป และเมื่อรวมกับการนำระบบขโมยข้อมูลที่ทำงานโดยอัตโนมัติแล้ว ทำให้มีค่าใช้จ่ายน้อย และสามารถกระทำการได้อย่างต่อเนื่อง
    เพราะเหตุฉะนี้เอง เป้าหมายการโจมตีจึงตกไปอยู่กับกลุ่มผู้ประกอบการรายย่อยซึ่งมักใช้โปรแกรมหรือซอฟต์แวร์ที่ฟรีหรือถูก แต่ไม่มีประสิทธิภาพในการป้องกันภัยได้ดีพอ
    แล้วเช่นนี้บทเรียนอะไรบ้างที่ผู้ประกอบการธุรกิจควรจะต้องทราบไว้ ?แนวทางง่ายๆด้านล่างนี้จะช่วยลดความเสี่ยงจากการถูกโจมตีโดยภัยคุกคามได้ ดังนี้:
    1.ไม่เก็บบันทึกข้อมูลบัตรเครดิต, มีเพียงบางสถานการณ์เท่านั้นที่ผู้ประกอบการจำเป็นต้องเก็บข้อมูลบัตรเครดิตไว้กับเครื่องเซิฟเวอร์ตัวเอง ผู้ประกอบการรายย่อยควรเลือกใช้วิธีชำระผ่านเกตเวย์โดยตรงโดยที่ไม่มีข้อมูลถูกจัดเก็บไว้
    2.หมั่นอัพเดตโปรแกรมจัดการร้านค้าให้ทันสมัยอยู่เสมอ, หลายครั้งที่แฮคเกอร์ใช้ประโยชน์จากช่องโหว่ของโปรแกรมที่ยังไม่ได้รับการแก้ไขในเวอร์ชั่นเก่าๆเพื่อโจมตีเว็บไซต์ร้านค้า
    3.ตรวจสอบเว็บไซต์ของตนเองเป็นประจำ, ตามที่ได้กล่าวมาทั้งหมดในบทความนี้ ผู้ประกอบการจะไม่สามารถรับรองความปลอดภัยของเว็บไซต์ได้ร้อยเปอร์เซ็นต์ ไม่เว้นแม้แต่การใช้วิธีชำระเงินผ่านเกตเวย์โดยตรงก็ตาม ผู้ประกอบการควรพิจารณานำเอาซอฟต์แวร์ที่ตรวจสอบการเปลี่ยนแปลงของข้อมูลของไฟล์หรือค่าติดตั้งในเซิฟเวอร์เข้ามาช่วยป้องกันการแก้ไขข้อมูลโดยมิได้รับอนุญาตจากผู้ไม่ประสงค์ดี และหากเป็นไปได้ ผู้ประกอบการควรทำการทดสอบการชำระเงินทุกวันเพื่อยืนยันว่าข้อมูลมิได้ถูกส่งไปที่อื่นด้วย

    วิเคราะห์ Malware จาก file bin.exe

    เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

    Hostname 122.155.18.90
    IP 122.155.18.90
    AS AS9931
    CAT-AP The Communication Authoity of Thailand, CAT
    Web server Apache/2
    OS Unknown
    ISP CAT Telecom public company Ltd
    City Bangkok
    Country Thailand
    Local time Thu Nov 15 15:53:26 ICT 2012

    http://checkip.me/whomap.php?domain=122.155.18.90

    มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
    วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
    วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
    วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
    (file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

    ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

    URL MD5 IP Threat
    2012-10-17 16:36:56 http://122.155.18.90/Done.exe… 312B9857A2476F7516BCB287CB404940 122.155.18.90 TH Trojan-Dropper.Win32.Dapato.btlt
    2012-10-04 23:21:16 http://122.155.18.90/1.exe… D648F3D2E177DFAC4EC34B154A2575D2 122.155.18.90 TH Win32/Injector.XFC trojan
    2012-07-26 09:46:27 http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe… 537E450713251692F260E7722D5BBF3D 122.155.18.90 TH Win32/Packed.Themida application
    2012-07-26 06:59:06 http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe… E9A63A6AA767986F9A502A0ECF178A61 122.155.18.90 TH Win32/Packed.Themida application
    2012-07-22 16:03:33 http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe… 482B9368AFBF39AC162BD0338AC30840 122.155.18.90 TH Win32/Packed.Themida application

    ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
    เอาตัวล่าสุดคือ bin.exe

    Scan date 2012-11-14 19:33:31 +00:00
    File name 4200663
    MD5 hash 5402d50803d892edfb8878a2ccbab0de
    File type Win32 EXE
    File Size (Byte) 2118144
    Detection ratio 27 / 44
    Scan result
    แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
    Scan result of virustotals
    Vendor Version Result Virus Name Database Date
    1. TotalDefense 37.0.10162 Virus not found 20121114
    2. MicroWorld-eScan 12.0.250.0 Virus not found 20121114
    3. nProtect 2012-11-14.02 Virus found Trojan.Generic.7962842 20121114
    4. CAT-QuickHeal 12.00 Virus not found 20121114
    5. McAfee 5.400.0.1158 Virus found Artemis!5402D50803D8 20121114
    6. K7AntiVirus 9.154.7858 Virus found Riskware 20121114
    7. TheHacker None Virus not found 20121113
    8. F-Prot 4.6.5.141 Virus found W32/Themida_Packed!Eldorado 20121114
    9. Symantec 20121.2.1.2 Virus found WS.Reputation.1 20121114
    10. Norman 6.08.06 Virus found W32/Troj_Generic.EWJYW 20121114
    11. ByteHero 1.0.0.1 Virus not found 20121110
    12. TrendMicro-HouseCall 9.700.0.1001 Virus found TROJ_GEN.R47CGJP 20121114
    13. Avast 6.0.1289.0 Virus found Win32:Malware-gen 20121114
    14. eSafe 7.0.17.0 Virus not found 20121112
    15.ClamAV 0.97.3.0 Virus not found 20121114
    16. Kaspersky 9.0.0.837 Virus found Trojan-Downloader.Win32.Dapato.mpc 20121114
    17. BitDefender 7.2 Virus found Trojan.Generic.7962842 20121114
    18. Agnitum 5.5.1.3 Virus found Suspicious!SA 20121114
    19. ViRobot 2011.4.7.4223 Virus not found 20121114
    20. Sophos 4.83.0 Virus found Mal/Behav-374 20121114
    21. Comodo 14201 Virus found UnclassifiedMalware 20121114
    22. F-Secure 9.0.17090.0 Virus found Trojan.Generic.7962842 20121114
    23. DrWeb 7.0.4.09250 Virus found Trojan.DownLoader7.21460 20121114
    24. VIPRE 13976 Virus found Trojan.Win32.Generic!BT 20121114
    25. AntiVir 7.11.50.24 Virus found TR/Crypt.XPACK.Gen 20121114
    26. TrendMicro 9.561.0.1028 Virus found TROJ_GEN.R47CGJP 20121114
    27. McAfee-GW-Edition 2012.1 Virus found Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20121114
    28. Emsisoft 3.0.0.569 Virus not found 20121114
    29. Jiangmin 13.0.900 Virus found Trojan/Miner.bd 20121114
    30. Antiy-AVL 2.0.3.7 Virus not found 20121113
    31. Kingsoft 2012.9.22.155 Virus not found 20121112
    32. Microsoft 1.8904 Virus not found 20121114
    33. SUPERAntiSpyware 5.6.0.1008 Virus not found 20121114
    34. GData 22 Virus found Trojan.Generic.7962842 20121114
    35. Commtouch 5.3.2.6 Virus not found 20121114
    36. AhnLab-V3 2012.11.15.00 Virus found Downloader/Win32.Dapato 20121114
    37. VBA32 3.12.18.3 Virus not found 20121114
    38. PCTools 8.0.0.5 Virus not found 20121114
    39. ESET-NOD32 7693 Virus found probably a variant of Win32/BitCoinMiner.H 20121114
    40. Rising 24.36.01.05 Virus not found 20121114
    41. Ikarus T3.1.1.122.0 Virus found Trojan.Win32.Miner 20121114
    42. Fortinet 5.0.26.0 Virus found W32/BitCoinMiner.H 20121114
    43. AVG 10.0.0.1190 Virus found Generic6_c.BDXE 20121114
    44. Panda 10.0.3.5 Virus found Trj/Thed.A 20121114
    File fuzzy hashing
    Context Triggered Piecewise Hashing ของไฟล์
    File ssdeep of 4200663
    49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx
    File metadata
    แสดงรายละเอียดและคุณลักษณะของไฟล์
    File exif of 4200663
    Property Value
    mimetype application/octet-stream
    subsystem Windows command line
    machinetype Intel 386 or later, and compatibles
    timestamp 2012:07:05 13:47:47+01:00
    filetype Win32 EXE
    petype PE32
    codesize 0
    linkerversion 10.0
    entrypoint 0x6e014
    initializeddatasize 2114048
    subsystemversion 5.1
    imageversion 0.0
    osversion 5.1
    uninitializeddatasize 0
    Portable Executable structural information
    Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1
    

    ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้
    

    1. 4200663
    

    2. output.4200663.txt
    

    3. bin.exe
    

    ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย
    

    122.155.18.90
    

    ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph
    

    วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555
    

    ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้
    

    

    

    

    
		
    

		
	
    


    

    

	
	
    

		
    วิเคราะห์ malware จาก file Extratos-Debitos.exe
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    

    Siamhelpจากข้อมูลใน siamhelp.org พบว่ามีเว็บหลายเว็บในประเทศไทยมีการติดเชื้อโดยไม่รู้ตัว ซึ่งอาจส่งผลให้คนที่เข้าเยี่ยมชมเว็บเหล่านั้นจะมีการติดเชื้อและแพร่ต่อๆกันไป กลายเป็นส่วนหนึ่งของปริมาณ botnet ที่เกิดขึ้นในปัจจุบัน
    

    จากข้อมูล http://www.siamhelp.org/reports/infect
    
เว็บที่ติดเชื้อ คือ http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe  (หากไม่มีระบบป้องกันห้ามเข้า path ดังกล่าว)
    

    เมื่อทำการวิเคราะห์
    
Step 1  ทำการ whois ที่ http://checkip.me/whomap.php?domain=daycare.kku.ac.th
    

    

    


    


    

    

  • delegation information (beta) for daycare.kku.ac.th
    

    


    

+-ams.sns-pb.isc.org ams.sns-pb.isc.org (199.6.1.30)

    

    

|
+-dns1.thnic.co.th dns1.thnic.co.th (202.28.1.22)

    

    

|
|
+-ns-a.thnic.co.th ns-a.thnic.co.th (61.19.242.38)

    

    

|
|
|
+-ns-e.thnic.co.th ns-e.thnic.co.th (194.0.1.28)

    

    

|
|
|
|
+-sfba.sns-pb.isc.org sfba.sns-pb.isc.org (149.20.64.3)

    

    

|
|
|
|
|
+-th.cctld.authdns.ripe.net th.cctld.authdns.ripe.net (193.0.9.116)

    

    

|
|
|
|
|
|
+-kknt.kku.ac.th (202.12.97.21)

    

    

|
|
|
|
|
|
|
+-kku1.kku.ac.th (202.12.97.1)

    

    

|
|
|
|
|
|
|
|
+-ns.thnic.net ns.thnic.net ns.thnic.net (202.28.0.1)

    

    

|
|
|
|
|
|
|
|
|
+-ns2.kku.ac.th (202.12.97.44)

    

    

|
|
|
|
|
|
|
|
|
|


    

    
    

    

    Step 2  ค้นหาความเกี่ยวข้อง DNS และการ routing 
    • 

    

    ค้นหาจาก http://sran.org/dns/   หรือ http://dns.robtex.com/daycare.kku.ac.th.html#records
    

    ผลลัพธ์คือ
    

    

    

    

    

    Step 3 ตรวจสอบในระดับ Web Application
    

    


    
Overview

    

    
    

    

    


    




    
    


    
URL
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe


    

    
IP
202.12.97.32

    

    
ASN
Unknown

    

    
Location
 Thailand

    

    



    
    

    

    โดยปรับ User agent ผ่าน http://urlquery.net
    

    


    
Settings

    

    
    

    

    


    



    
    


    
UserAgent
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

    

    
Referer


    

    
Adobe Reader
8.0

    

    
Java
1.6.0_26

    
    

    

    


    
Intrusion Detection Systems

    

    
    

    

    


    



    
    


    
Suricata /w Emerging Threats Pro


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILEMAGIC windows executable

    
    

    
    		

    

    
Snort /w Sourcefire VRT


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILE-IDENTIFY Portable Executable binary file magic detected

    
    

    
    		

    
    

    

    

    
    		

    
    

    

    

    

    ตรวจสอบโดยใช้ http://wepawet.iseclab.org
    

    

    Malware
    

    

    Additional (potential) malware:
    

    

    


    
URL
Type
Hash
Analysis

    
    


    
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe
PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly
320ba22fa9b47a135c235786e850f157

    
    

    

    

    รายละเอียด อ่าน http://wepawet.iseclab.org/view.php?type=js&hash=12a654aded391a575b177607f80ef00d&t=1351079337#sec_network
    

    

    

    สิ่งที่เห็นคือมีการ Redirect  ไปที่โดแมน arjunkarki.org  
    

    

    

    Network Activity
    

    

    


    
URL
Status
Content Type

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
302
text/html

    

    
 http://www.arjunkarki.org/media/Debitos-Extrato.jar
200
application/zip

    
    

    

    Redirects
    

    


    
From
To

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
http://www.arjunkarki.org/media/Debitos-Extrato.jar

    
    

    

    

    

    เมื่อทำการ whois  โดเมนที่ต้องสงสัย ผลที่ได้คือ
    

    

    

    Domain ID:D153928453-LROR
Domain Name:ARJUNKARKI.ORG
Created On:25-Aug-2008 16:18:46 UTC
Last Updated On:27-Oct-2012 02:21:26 UTC
Expiration Date:25-Aug-2013 16:18:46 UTC
Sponsoring Registrar:Click Registrar, Inc. d/b/a publicdomainregistry.com (R1935-LROR)
Status:OK
Registrant ID:DI_9323685
Registrant Name:Som Rai
Registrant Organization:Rural Reconstruction Nepal (RRN)
Registrant Street1:P.O.Box: 8130
Registrant Street2:Gairidhara
Registrant Street3:
Registrant City:Kathmandu
Registrant State/Province:Bagmati
Registrant Postal Code:n/a
Registrant Country:NP
Registrant Phone:+977.14427823
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:som@rrn.org.np
Admin ID:DI_9323686
Admin Name:Anup Manandhar
Admin Organization:Vianet Communications
Admin Street1:Pulchowk
Admin Street2:
Admin Street3:
Admin City:Kathmandu
Admin State/Province:Bagmati
Admin Postal Code:n/a
Admin Country:NP
Admin Phone:+977.15546410
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:anup@vianet.com.np
Tech ID:DI_9323686
Tech Name:Anup Manandhar
Tech Organization:Vianet Communications
Tech Street1:Pulchowk
Tech Street2:
Tech Street3:
Tech City:Kathmandu
Tech State/Province:Bagmati
Tech Postal Code:n/a
Tech Country:NP
Tech Phone:+977.15546410
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:anup@vianet.com.np
Name Server:DNS1.ARJUNKARKI.ORG
Name Server:DNS2.ARJUNKARKI.ORG
    

    

    

    รายละเอียดที่ http://checkip.me/whomap.php?domain=arjunkarki.org
    

    

    

    Link ไปที่เนปาลได้อย่างไร  ... 
    

    

    

    

    

    มีความเป็นไปได้ว่าเว็บไซต์ที่นำเสนอมีการโดนเจาะระบบแล้วมีการฝั่ง file ที่มี malware อยู่โดย malware ชนิดนี้ถูกควบคุมจากอีกที่หนึ่ง
    

    

    Step 4 วิเคราะห์ file malware
    

    

    ทำการ download file ผ่าน sandbox Anubis iseclab 
    

    

    


    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    


    

    


    

    

    

    


    


    


    
– Files Created:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Read:


    
    

    
    		

    

    


    


    
C:WINDOWSsystem32shell32.dll

    

    
C:lsarpc, Flags: Named pipe

    

    
c:autoexec.bat

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Modified:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    

    
C:lsarpc, Flags: Named pipeinfo

    

    
DeviceAfdAsyncConnectHlpinfo

    

    
DeviceAfdEndpointinfo

    

    
DeviceRasAcdinfo

    
    

    
    		

    
    

    


    

    


    


    


    

– File System Control Communication:


    
    

    
    		

    

    


    


    
File
Control Code
Times

    

    
C:lsarpc, Flags: Named pipe 
0x0011C017 
16 

    
    

    
    		

    
    

    


    

    


    


    


    

– Device Control Communication:


    
    

    
    		

    

    


    

    


    
File
Control Code
Times

    

    
DeviceAfdEndpoint 
AFD_GET_INFO (0x0001207B) 


    

    
DeviceAfdEndpoint 
AFD_SET_CONTEXT (0x00012047) 
10 

    

    
DeviceAfdEndpoint 
AFD_BIND (0x00012003) 


    

    
DeviceAfdEndpoint 
AFD_GET_TDI_HANDLES (0x00012037) 


    

    
DeviceAfdEndpoint 
AFD_GET_SOCK_NAME (0x0001202F) 


    

    
DeviceAfdEndpoint 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_SELECT (0x00012024) 


    

    
DeviceAfdEndpoint 
AFD_SET_INFO (0x0001203B) 


    

    
DeviceAfdAsyncConnectHlp 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_RECV (0x00012017) 


    

    
DeviceAfdEndpoint 
AFD_SEND (0x0001201F) 


    

    
unnamed file 
0x00120028 


    
    

    

    
    		

    
    

    


    

    


    


    


    

– Memory Mapped Files:


    
    

    
    		

    

    


    

    


    
File Name

    

    
C:WINDOWSSystem32wshtcpip.dll

    

    
C:WINDOWSsystem32DNSAPI.dll

    

    
C:WINDOWSsystem32RASAPI32.DLL

    

    
C:WINDOWSsystem32TAPI32.dll

    

    
C:WINDOWSsystem32WINMM.dll

    

    
C:WINDOWSsystem32WS2HELP.dll

    

    
C:WINDOWSsystem32WS2_32.dll

    

    
C:WINDOWSsystem32hnetcfg.dll

    

    
C:WINDOWSsystem32mswsock.dll

    

    
C:WINDOWSsystem32rasadhlp.dll

    

    
C:WINDOWSsystem32rasman.dll

    

    
C:WINDOWSsystem32rtutils.dll

    

    
C:WINDOWSsystem32sensapi.dll

    

    
C:WINDOWSsystem32shell32.dll

    

    
C:WINDOWSsystem32wsock32.dll

    
    

    

    
    		

    
    

    

    

    

    


    


    


    

– DNS Queries:


    
    

    
    		

    

    


    


    
Name
Query Type
Query Result
Successful
Protocol

    

    
daycare.kku.ac.th 
DNS_TYPE_A 
202.12.97.32 
YES 
udp 

    
    

    
    		

    
    

    


    

    


    


    


    

–  HTTP Conversations:


    
    

    
    		

    

    


    


    
From ANUBIS:1029 to 202.12.97.32:80 – [daycare.kku.ac.th]

    

    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    
    		

    
    

    

    

    

    


    


    


    

– Mutexes Created:


    
    

    
    		

    

    


    


    
CritOpMutex

    

    
MSCTF.Shared.MUTEX.IFG

    

    
_SHuassist.mtx

    
    

    
    		

    
    

    

    จากการใช้ virustotal ผลคือ
    

    

    

    File detail
    

    แสดงรายละเอียดพื้นฐานของไฟล์
    

    

    

    
File detail of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Scan date
2012-11-15 01:41:05 +00:00

    

    
File name
smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    

    
MD5 hash
b07609c11d52d6eaa75c368e414bb025

    

    
File type
Win32 EXE

    

    
File Size (Byte)
12800

    

    
Detection ratio
23 / 44

    
    

    

    

    

    

    

    Scan result
    

    แสดงผลลัพธ์การสแกน
    

    

    

    
Scan result of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Vendor
Version
Result
Virus Name
Database Date

    
    


    
TotalDefense
37.0.10163
Virus not found

20121115

    

    
MicroWorld-eScan
12.0.250.0
Virus found
Trojan.MSIL.Crypt.wvu (ES)
20121114

    

    
nProtect
2012-11-14.02
Virus not found

20121114

    

    
CAT-QuickHeal
12.00
Virus not found

20121114

    

    
McAfee
5.400.0.1158
Virus found
Artemis!B07609C11D52
20121115

    

    
K7AntiVirus
9.154.7858
Virus found
Riskware
20121114

    

    
TheHacker
None
Virus not found

20121113

    

    
F-Prot
4.6.5.141
Virus not found

20121114

    

    
Symantec
20121.2.1.2
Virus found
Downloader
20121115

    

    
Norman
6.08.06
Virus found
W32/Troj_Generic.FJBCF
20121114

    

    
ByteHero
1.0.0.1
Virus not found

20121110

    

    
TrendMicro-HouseCall
9.700.0.1001
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
Avast
6.0.1289.0
Virus found
Win32:Malware-gen
20121115

    

    
eSafe
7.0.17.0
Virus not found

20121112

    

    
ClamAV
0.97.3.0
Virus not found

20121115

    

    
Kaspersky
9.0.0.837
Virus found
Trojan.MSIL.Crypt.wvu
20121114

    

    
BitDefender
7.2
Virus not found

20121114

    

    
Agnitum
5.5.1.3
Virus not found

20121114

    

    
ViRobot
2011.4.7.4223
Virus not found

20121114

    

    
Sophos
4.83.0
Virus not found

20121115

    

    
Comodo
14205
Virus not found

20121115

    

    
F-Secure
9.0.17090.0
Virus not found

20121115

    

    
DrWeb
7.0.4.09250
Virus not found

20121115

    

    
VIPRE
13982
Virus found
Trojan.Win32.Generic!BT
20121115

    

    
AntiVir
7.11.50.38
Virus found
TR/MSIL.Crypt.wvu
20121115

    

    
TrendMicro
9.561.0.1028
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
McAfee-GW-Edition
2012.1
Virus found
Artemis!B07609C11D52
20121115

    

    
Emsisoft
3.0.0.569
Virus found
Trojan.MSIL.Crypt.AMN (A)
20121115

    

    
Jiangmin
13.0.900
Virus not found

20121114

    

    
Antiy-AVL
2.0.3.7
Virus not found

20121115

    

    
Kingsoft
2012.9.22.155
Virus found
Win32.Troj.Crypt.(kcloud)
20121112

    

    
Microsoft
1.8904
Virus not found

20121114

    

    
SUPERAntiSpyware
5.6.0.1008
Virus found
Trojan.Agent/Gen-Frauder
20121115

    

    
GData
22
Virus found
Win32:Malware-gen
20121115

    

    
Commtouch
5.3.2.6
Virus not found

20121114

    

    
AhnLab-V3
2012.11.15.00
Virus found
Spyware/Win32.ArchSMS
20121114

    

    
VBA32
3.12.18.3
Virus not found

20121114

    

    
PCTools
8.0.0.5
Virus found
Downloader.Generic
20121115

    

    
ESET-NOD32
7693
Virus found
MSIL/TrojanDownloader.Banload.K
20121114

    

    
Rising
24.36.01.05
Virus not found

20121114

    

    
Ikarus
T3.1.1.122.0
Virus found
Trojan.Msil
20121115

    

    
Fortinet
5.0.26.0
Virus found
MSIL/Banload.K!tr
20121115

    

    
AVG
10.0.0.1190
Virus found
Agent3.CKIJ
20121115

    

    
Panda
10.0.3.5
Virus found
Trj/CI.A
20121114

    
    

    

    

    

    

    


    

    


    

    


    

    


    

    

    File fuzzy hashing
    

    Context Triggered Piecewise Hashing ของไฟล์
    

    

    

    
File ssdeep of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    192:sxwuKTS5DJ+z2LdY1GQk7b1AURjsNyHRW+iBMWO7h7urmpvL2IYRR2:huKTS5MsYoKLYHR2MDyrmpD2s
    

    

    

    

    

    File metadata
    

    แสดงรายละเอียดและคุณลักษณะของไฟล์
    

    

    

    
File exif of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Property
Value

    
    


    
subsystemversion
4.0

    

    
linkerversion
8.0

    

    
imageversion
0.0

    

    
fileversionnumber
0.0.0.0

    

    
uninitializeddatasize
0

    

    
languagecode
Neutral

    

    
fileflagsmask
0x003f

    

    
characterset
Unicode

    

    
initializeddatasize
1536

    

    
originalfilename
loader.exe

    

    
mimetype
application/octet-stream

    

    
legalcopyright


    

    
fileversion
0.0.0.0

    

    
timestamp
2012:11:08 19:35:04+00:00

    

    
filetype
Win32 EXE

    

    
petype
PE32

    

    
internalname
loader.exe

    

    
productversion
0.0.0.0

    

    
filedescription


    

    
osversion
4.0

    

    
fileos
Win32

    

    
subsystem
Windows GUI

    

    
machinetype
Intel 386 or later, and compatibles

    

    
codesize
10752

    

    
filesubtype
0

    

    
productversionnumber
0.0.0.0

    

    
entrypoint
0x48ee

    

    
objectfiletype
Executable application

    

    
assemblyversion
0.0.0.0

    
    

    

    

    

    

    

    

    

    

    

    รายละเอียดดูจาก http://www.siamhelp.org/scan/result/file/b07609c11d52d6eaa75c368e414bb025
    

    

    เมื่อเอาค่า MD5 จาก file ไวรัสมาตรวจสอบพบว่า มี File name ที่เป็นไวรัสเดียวกันดังนี้
    

    

    

    File names 
    

      

    1. Extratos-Debitos.exe
      2. 

    2. file-4758613_exe
      3. 

    3. loader.exe
      4. 

    4. output.3545948.txt
      5. 

    5. b2c920576cebc4cde06f22763d9bf116f0a3e9cb.exe
      6. 

    6. 3545948
      7. 

    7. smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
      8. 

    

    แล้วพบกันตอนหน้า …
    

    

    
		
    

		
	
    


    

    

	
	
    

		
    ประเภทของ botnet
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    การจำแนกตามประเภทบอทเน็ต
    

    การทดสอบประสิทธิภาพในการจำแนกประเภทเหตุการณ์ต่างๆที่มีการนำบอทเน็ตมาใช้ ผู้จัดทำได้คัดเลือกเหตุการณ์ที่ปรากฏในช่วงปีที่ผ่านมาและมีการแสดงให้เห็นถึงความหลากหลายของจุดประสงค์ที่ใช้งาน ในบางกรณีอาจมีความเกี่ยวข้องกันจึงถูกจัดให้อยู่ในกลุ่มลำดับเหตุการณ์เดียวกันทั้งหมด ทั้งนี้เป็นเพราะเหตุการณ์เหล่านั้นมีการนำบอทเน็ตชนิดเดิมมาใช้เพื่อจุดมุ่งหมายเดียวกัน (รายละเอียดสามารถดูได้ที่ตารางด้านล่าง)
    

    1. Stuxnet
    

    ถึงแม้ว่าจำนวนเครื่องคอมพิวเตอร์ที่ได้รับการติดเชื้อจาก Stuxnet จะมีจำนวนที่ไม่มากและมีการเจาะจงเป้าหมายการโจมตี แต่รูปแบบการทำงานโดยพื้นฐานของ Stuxnet ก็ได้ถูกจัดให้เป็นบอทเน็ตชนิดหนึ่ง อันเพราะมีความสามารถทางด้านการสั่งการและควบคุมเฉกเช่นคุณลักษณะที่บอทเน็ตทั่วไปพึงจะมี
    

    ปัญหาหนึ่งในการจำแนกเหตุการณ์ตามหมวดหมู่ คือการขาดความน่าเชื่อถือของข้อมูลอันเนื่องมาจากร่องรอยจำนวนมากที่ได้ถูกทิ้งไว้ ส่งผลให้การคัดแยกคุณลักษณะของผู้ใช้งานบอทเน็ตเป็นเรื่องที่ยากและในขณะเดียวกันนั้น ทางทีมผู้จัดทำได้เชื่อว่าเหตุการณ์ดังกล่าวอาจมีตัวแทนภาครัฐมีส่วนเกี่ยวข้องด้วย อันเนื่องมาจากขีดความสามารถในการโจมตีและเจตนาในการก่อวินาศกรรมเป็นแรงจูงใจที่ปรากฏให้เห็น Stuxnet นั้นมีการแพร่กระจายโดยปราศจากความยินยอม และความเสียหายที่เกิดขึ้นต่อระบบอุตสาหกรรมแสดงให้เห็นถึงความสามารถในการปฏิเสธการให้บริการได้อย่างดี
    

    2. GhostNet
    

    GhostNet เป็นบอทเน็ตชนิดหนึ่งที่ไม่ปรากฏถึงที่มาของผู้ควบคุม มีอัตราการติดเชื้ออยู่ในระดับที่ต่ำ (ประมาณ 1,300) และในกลุ่มที่มีการติดเชื้อเป็นเป้าหมายที่มีความสำคัญ คิดเป็น 30% ของทั้งหมด ซึ่งแสดงให้เห็นถึงจุดมุ่งหมายเพื่อการจารกรรมข้อมูลจากกลุ่ม pro-Tibet โดย GhostNet ใช้วิธีการขโมยข้อมูลผ่านเครื่องคอมพิวเตอร์ที่ติดเชื้อโดยไม่ได้รับการยินยอมจากเจ้าของเครื่อง
    

    3.ปฏิบัติการตอบโต้
    

    ปฏิบัติการดังกล่าวได้เริ่มดำเนินการขึ้นโดยกลุ่มผู้สนับสนุนเว็บไซต์ WikiLeaks ภายหลังที่กลุ่มผู้ให้บริการการเงินหลายกลุ่มได้หยุดให้บริการแก่ WikiLeaks หลังจากเหตุการณ์นำข้อมูลความลับของประเทศสหรัฐอเมริกามาเปิดเผย
    

    การโจมตีได้ถูกกระทำผ่านโปรแกรมโจมตีเครือข่ายให้บริการแบบเปิดที่มีชื่อว่า Low OrbitIon Cannon ด้วยความร่วมมือและการเตรียมการในเวบบอร์ด, ทวิตเตอร์ และเซิฟเวอร์ควบคุมและสั่งการ หากอ้างอิงตามการจัดประเภทของบทความนี้แล้ว ปฏิบัติการดังกล่าวจะถือว่าเป็นการแสดงขีดความสามารถในการโจมตี ผ่านการปฏิเสธการให้บริการแบบกระจาย และกระทำด้วยความยินยอมหรือสมัครใจของผู้ติดเชื้อบอทเน็ต
    

    4. Help-Israel-Win
    

    เป็นการกระทำของกลุ่ม pro-Israel ที่มีการผลักดันให้เกิดการต่อต้านองค์กรฮามาสของปาเลสไตน์ ผ่านการแสดงขีดความสามารถในการโจมตี ด้วยการจัดตั้งเว็บไซต์ที่เปิดให้มีการดาวน์โหลดโปรแกรม เพื่อให้เครื่องของผู้ใช้งานติดเชื้อบอทเน็ตด้วยความสมัครใจ หากอ้างอิงจากข้อมูลที่เผยแพร่โดยกลุ่มนี้จะพบว่า การโจมตีเว็บไซต์ของ pro-Palestinian ด้วยวิธีการปฏิเสธการให้บริการแบบกระจาย อย่างไรก็ตามไม่มีรายงานระบุว่ากลุ่มดังกล่าวได้กระทำการโจมตี หรือประสพผลสำเร็จจากการโจมตีแล้วหรือไม่
    

    5. Conficker
    

    จวบจนถึงทุกวันนี้ ยังเป็นที่ไม่ทราบว่าใครคือผู้พัฒนาหรือเจ้าของของบอทเน็ตตัวนี้ แต่จากการวิเคราะห์ความสามารถในการปรับตัวเข้ากับมาตรการตอบโต้ต่างๆอย่างรวดเร็ว ทำให้เชื่อได้ว่ามีหลายบุคคลอยู่เบื้องหลังการพัฒนา เนื่องมาจากไม่ปรากฏถึงความสามารถในการทำงานใดๆ นอกไปจากคำสั่งในการถ่ายโอนข้อมูล ทำให้เกิดการคาดเดาว่า Conficker เป็นเพียงแค่บอทเน็ตที่ใช้ในการพิสูจน์ถึงแนวคิดการทำงาน ดังนั้นแรงจูงใจการใช้บอทเน็ตจึงตกไปอยู่ที่เพื่อการศึกษาและวิจัย ผ่านการติดเชื้อที่ไม่ได้รับความยินยอมจากเจ้าของเครื่อง
    

    6. Mariposa
    

    เป็นบอทเน็ตที่ได้มีการกล่าวอ้างว่ามีเครือข่ายของผู้ติดเชื้อที่ใหญ่ที่สุดเท่าที่เคยมีมา ได้ถูกพัฒนาขึ้นและใช้งานโดยกลุ่มอาชญากรข้ามชาติเพื่อผลประโยชน์ด้านการเงิน ผ่านการขโมยข้อมูลในการทำธุรกรรมอีเล็คทรอนิกส์,บัตรเครดิต และใช้เพื่อในการโจมตีปฏิเสธการให้บริการแบบกระจาย ด้วยเครือข่ายของกลุ่มเครื่องที่ติดเชื้อโดยไม่ได้รับความยินยอม
    

    7. Belarus censorship
    

    รัฐเบลารุสมีประวัติอันยาวนานในเรื่องการบังคับใช้การเซ็นเซอร์บนอินเทอร์เน็ตแก่ประชาชนอันเนื่องมาจากกฎเกณฑ์ทางด้านข้อมูลข่าวสารที่สำคัญ Chapter ’97 ซึ่งเป็นเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อการพูดคุยเรื่องทั่วไปในเบลารุสได้ถูกโจมตีทางไซเบอร์บ่อยครั้งโดยฝีมือผู้สนับสนุนภาครัฐ ในช่วงเมษายนปี 2008 เว็บไซต์ได้ถูกโจมตีด้วยการปฏิเสธการให้บริการแบบกระจาย เพราะเหตุที่มีการเผยแพร่ข่าวการชุมนุมประท้วงเพื่อแยกรัฐอิสระ (การแก้ไขข่าวสารผ่านการคัดกรองข้อมูล)
    

    ในขณะที่หน่วยงานภาครัฐของเบลารุสได้ปฏิเสธถึงการมีส่วนร่วมของการกระทำดังกล่าว เป็นที่เชื่อกันว่าพวกเขาไม่ได้มีการตอบโต้การโจมตีอย่างจริงจัง ซึ่งอาจจัดได้ว่าเป็นเหตุการณ์ที่กระทำโดยตัวแทนรัฐ แต่รูปแบบการใช้งาน และวิธีการติดเชื้อเป็นสิ่งที่ไม่สามารถระบุได้
    

    ตาราง แสดงข้อมูลของการจำแนกเหตุการณ์
    

    


    


    ตัวอย่าง
    
    		


    ผู้ใช้งาน
    
    		


    แรงจูงใจ / จุดมุ่งหมาย
    
    		


    รูปแบบการโจมตี
    
    		


    รูปแบบการติดเชื้อ
    
    		

    

    


    Stuxnet
    
    		


    ตัวแทนรัฐ
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการ
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    GhostNet
    
    		


    ไม่สามารถระบุได้
    
    		


    การจารกรรมข้อมูล
    
    		


    จารกรรมข้อมูล
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    Operation Payback
    

    ปฏิบัติการตอบโต้
    
    		


    กลุ่มบุคคล
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ยินยอม
    
    		

    

    


    Israeli
    
    		


    กลุ่มบุคคล
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ยินยอม
    
    		

    

    


    Conficker
    
    		


    กลุ่มบุคคล
    
    		


    การศึกษาและวิจัย
    
    		


    ไม่มีรูปแบบการโจมตี
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    Mariposa
    
    		


    กลุ่มบุคคล
    
    		


    ผลประโยชน์ทางการเงิน
    
    		


    จารกรรมข้อมูล / ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ไม่ได้รับการยินยอม
    
    		

    
    

    
		
    

		
	
    


    

    

	
	
    

		
    ถามตอบเพื่อสร้างความเข้าใจระบบ Lawful Interception (LI)
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    

    ด้วยว่าคำว่า LI หรือ Lawful Interception ยังมีหลายท่านยังสงสัยกับคำศัพท์ดังกล่าวนี้พอสมควร ในฐานะที่ผมเป็นคนแรกๆ ที่เผยแพร่บทความที่เกี่ยวกับ LI มาจึงอยากจะสร้างความเข้าใจให้เกิดขึ้นสำหรับผู้เริ่มศึกษาและผู้ที่จะนำไปสื่อสารหรือเผยแพร่ข้อมูลได้อย่างถูกต้องและเหมาะสมให้ก่อประโยชน์แก่สังคมต่อไปในอนาคต
    

    

    จึงขอเริ่มด้วยการ ถาม-ตอบ เกี่ยวกับคำศัพท์ Lawful Interception กันก่อน โดยมีคำถามตั้งต้นดังนี้
    

    1. Lawful Interception คืออะไร ?
    

    2. การจัดทำ Lawful Interception ทำเพื่ออะไร ?
    

    3. มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
    

    4. ปัญหาและอุปสรรคในการดำเนินการอะไรบ้าง ?
    

    5. LI ได้ประโยชน์อย่างไร ?
    

    6. ใครเป็นผู้ได้- ใครเสียประโยชน์จากการทำ LI ?
    

    7. การทำ LI มีผลกระทบต่อสังคมอย่างไร  ?
    

    โดยข้อ 4 ถึง 7 ยังไม่ขอกล่าวถึงในที่นี้
    

    

    

    

    

    

    

    คำถามที่ 1  : Lawful Interception คืออะไร ?
    

    ตอบ :
    

    คือระบบการตรวจสอบข้อมูลสารสนเทศที่ถูกต้องตามกฏหมาย หรือ กฏระเบียบภายในองค์กร
    

    ซึ่งเราสามารถแบ่งรูปแบบในการตรวจสอบข้อมูลแบบ LI ดังนี้
    

    – ระดับโลก / ระดับภูมิภาค
    

    – ระดับประเทศ
    

    – ระดับบริษัท และหน่วยงาน
    

    

    1. ระดับโลก / ระดับภูมิภาค นั้นจะพบว่าการสร้างเป็นกฏระเบียบการปฏิบัติการ Lawful Interception มีความพยายามให้เป็นสากลโดยการออกมาตรฐานต่างๆเพื่อมารองรับได้แก่ สถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunications Standards Institute : ETSI) โครงการ 3rd Generation Partnership Project (3GPP) หรือองค์กรต่าง ๆ ของเคเบิลแล็บส์ (CableLabs) ที่รับผิดชอบด้านเครือข่ายไร้สาย/อินเทอร์เน็ต เครือข่ายไร้สาย และระบบเคเบิล ตามลำดับ ในสหรัฐฯ ข้อบังคับที่เทียบเคียงได้ให้อำนาจตามกฎหมาย Communications Assistance for Law Enforcement Act (CALEA) ซึ่งได้ระบุความสามารถเจาะจงโดยการประกาศใช้ ด้วยความร่วมมือของคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) และกระทรวงยุติธรรม
    

    

    2. ระดับประเทศ  ในแต่ละประเทศอาจมีกฏระเบียบแตกต่างกันไป ขึ้นกับการบริหารและการปกครองของแต่ละประเทศ  อย่างเช่นประเทศที่เป็นสังคมนิยม หรือ สาธารณรัฐก็จะมีความเด็ดขาดในการออกกฏเกณฑ์ต่างๆที่เกี่ยวข้องกับการใช้งานข้อมูลสารสนเทศและอินเทอร์เน็ต เช่นประเทศ จีน พม่า และประเทศแถบอาหรับ , ส่วนประเทศที่เป็นเสรี ที่มีระบอบประชาธิปไตย ก็มีหลายประเทศที่ทำ LI อย่างเป็นกิจลักษณะ โดยเฉพาะประเทศที่พัฒนาแล้ว เช่น อเมริกา แคนาดา ญี่ปุ่น เป็นต้น ด้วยเหตุว่าการเปิดเสรีในแสดงความคิดเห็นในการกระทำใดๆก็ตามนั้น ผู้แสดงความคิดต้องรับผิดชอบการกระทำของตนด้วย เพราะถึงจะเสรีแต่ก็ตรวจสอบได้ หากพบการก่อเหตุอันจะทำให้เป็นภัยแก่ประเทศของตนเอง  แล้วนั้นต้องป้องกันภัยไม่ให้ภัยนั้นตกสู่ประชาชน นี้เป็นแนวคิดของประเทศที่เสรีที่พัฒนาแล้ว
    

    สำหรับประเทศไทยนั้นได้มีการนำ LI พิจารณาหลายครั้งแต่ปัจจุบันยังคงไม่ได้ทำกันอย่างเป็นกิจลักษณะและยังไม่มีหน่วยงานที่รับผิดชอบอย่างเป็นทางการ
    

    

    3. ระดับบริษัท / หน่วยงาน  ได้แก่ ธนาคาร บริษัทมหาชน หรือ บริษัทที่เกี่ยวข้องกับการผลิต บริษัทที่เกี่ยวข้องกับข้อมูลการให้บริการประชาชน  เหล่านี้ล้วนแล้วแต่จัดทำ Lawful Interception ซึ่งความแตกต่างในระดับประเทศและภูมิภาคนั้น คือ การดำเนินการและการออกกฏเกณฑ์ต่างๆ ที่อาจจะเกิดผลลัพธ์ในเชิงรูปธรรมได้สะดวกว่าในระดับอื่นที่กล่าวมา
    

    

    คำถามที่ 2 :  การจัดทำ Lawful Interception ทำเพื่ออะไร ?
    

    ตอบ :
    

    เป้าหมายของการทำ Lawful Interception นั้นคือ การตรวจสอบข้อมูลอันอาจก่อให้เกิดความเสียหาย การกระทบต่อความมั่นคงของ ภูมิภาค ประเทศ และ องค์กร
    

    โดยข้อมูลในนี้คือการติดต่อสื่อสารระหว่างผู้ส่งสารและผู้รับสาร โดยผ่านผู้ให้บริการข้อมูล ซึ่งจะเฉพาะจงเจาะสำหรับข้อมูลที่สื่อสารผ่านระบบเครือข่ายคอมพิวเตอร์ และอินเทอร์เน็ต เป็นสำคัญ เนื่องจากข้อมูลบนอินเทอร์เน็ตมีความเสรีในตัว ซึ่งหากจะจำแนกเจาะจงว่าผู้ใดเป็นผู้ส่งสารนั้นจะไม่สามารถทำได้หากขาดระบบการทำ Lawful Interception
    

    

    ข้อมูลที่ก่อให้เกิดความเสียหาย นั้น อาจแบ่งได้ดังนี้
    

    – ข้อมูลที่เกิดจากการแสดงความคิดเห็นที่เป็นภัยต่อประเทศ และ องค์กร ซึ่งในที่นี้จะหมายถึงความคิดเห็นจากบุคคลทั่วไป หรือ พนักงานในองค์กร ที่มีลักษณะความคิดที่แตกต่างกัน ซึ่งนำไปสู่ความขัดแย้ง อันก่อให้เกิดผลเสียหายตามมา หากมีความผิดตามกฏระเบียบแบบแผน , กฏหมาย , วัฒนธรรมและศิลธรรมอันดีงามแล้วก็จะก่อให้เกิดความเสียหายต่อภาพลักษณ์องค์กร หรือประเทศ ได้ ยกตัวอย่างเช่น ในระดับประเทศ เป็นประเทศไทย การแสดงความคิดเห็นซึ่งมีผลกระทบต่อสถาบันหลักของประเทศ เช่น สถาบันพระมหากษัตริย์ ซึ่งถือได้ว่าเป็นศูนย์รวมจิตใจของประชาชนชาวไทย มีความอ่อนไหวในการแสดงความคิดเห็น  หรือแม้กระทั่ง ความขัดแย้งทางความคิดเสื้อแดง เสื้อเหลือง เป็นต้น  ในระดับองค์กร ก็จะมองในเรื่องทรัพยากรบุคคล อันทำให้เกิดความเสื่อมเสียขององค์กร และการเสียผลประโยชน์ขององค์กรเป็นหลัก
    

    

    – ข้อมูลที่เป็นบ่อเกิดของอาชญากรรม ได้แก่ การหลอกลวงในชนิดต่างๆ ผ่านช่องทางการสื่อสาร ซึ่งในปัจจุบันก็จะพบข้อมูลประเภทนี้มากขึ้น เช่น อาชญากรรมข้ามประเทศ , การหลอกลวงผ่านแก๊ง Call Center ผ่านระบบ VoIP อินเทอร์เน็ต , การค้ามนุษย์, การค้ายาเสพติด ผ่านช่องทางสื่อสารอินเทอร์เน็ต เป็นต้น
    

    

    – ข้อมูลที่เป็นภัยคุกคาม ได้แก่ การก่อการร้าย, การวางระเบิด, การขโมยข้อมูลภายในองค์กร/หน่วยงาน การละเมิดลิขสิทธิ ทรัพย์สินทางปัญญา และการกระทำอื่นที่ทำให้ประชาชนในประเทศและองค์กร เกิดความไม่ปลอดภัยในชีวิตและทรัพย์สิน เป็นต้น
    

    

    – ข้อมูลที่เป็นภัยคุกคามทางเทคนิค ได้แก่ การแพร่ระบาดของไวรัสคอมพิวเตอร์  การบุกรุกเครือข่ายคอมพิวเตอร์จาก Hacker , การโจมตีเพื่อให้ระบบข้อมูลไม่สามารถทำงานได้ DDoS / DoS , การส่งข้อมูลขยะ (Spam) การหลอกลวง (Phishing) ทำให้เกิดผู้เสียหาย เป็นต้น
    

    

    หากประเทศใด หรือ องค์กรใด ยังไม่มีระบบที่สามารถตรวจสอบข้อมูลอันเป็นภัยดังกล่าวมานั้น จะทำให้การก่อเหตุอันไม่เหมาะสมนั้นเกิดขึ้นอย่างต่อเนื่องและกระทบต่อชีวิตความเป็นอยู่ของประชาชนในประเทศนั้นได้ เนื่องจากการกระทำความผิดในรูปแบบการสื่อสารผ่านช่องทางเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ตนั้นไม่สามารถตรวจสอบที่มาที่ไปของข้อมูลได้หากไม่มี กระบวนการ ,เทคโนโลยี และ บุคคลการ พอเพียง
    

    

    ในบางประเทศที่มีการใช้งานข้อมูลอินเทอร์เน็ตจำนวนมาก เช่น จีน และ อเมริกา จึงสนใจการทำ Lawful Interception มากและมีกฏระเบียบที่ชัดเจนสำหรับความมั่นคงของชาติและการป้องกันประเทศของตนให้พ้นจากภัยอันตรายที่เกิดจากการสื่อสารข้อมูล เป็นต้น
    

    

    คำถามที่ 3 : มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
    

    ตอบ
    

    ขั้นตอนการทำ Lawful Interception (LI)  เนื่องจากในขั้นต้นได้บอกว่า LI นั้นเป็นระบบ ซึ่งในระบบนั้นจะมีส่วนประกอบย่อย โดยสามารถแยกเป็นองค์ประกอบได้ดังนี้
    

    1. องค์ประกอบการดำเนินการ LI (Process)   : การออกกฏเกณฑ์เพื่อปฏิบัติ อันเป็นที่ยอมรับในสังคม จะจัดทำเป็น
    

    1.1 นโยบาย (Policy) เพื่อออกกฏระเบียบมาตราฐานกลาง (Compliance) ที่ใช้ในประเทศ หรือ องค์กร
    

    1.2 กระบวนการปฏิบัติ (Procedure)
    

    1.3 บทบาทหน้าที่รับผิดชอบ : หน่วยงานที่เกี่ยวข้อง หน่วยงานที่รับผิดชอบในการปฏิบัติงาน หน่วยงานที่กำกับดูแลการออกนโยบาย เป็นต้น
    

    

    2. องค์ประกอบด้านเทคโนโลยี และการออกแบบระบบ Lawful Interception
    

    2.1 ระดับประเทศ
    

    – จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
    

    – ทำความเข้าใจสำหรับผู้ให้บริการข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต
    

    – ศึกษาวงจรการเชื่อมต่อข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอรเน็ตในฝั่งผู้ให้บริการ เพื่อออกแบบระบบให้รองรับกับปริมาณข้อมูลจราจรเครือข่ายคอมพิวเตอร์ (Traffic data)
    

    – การจัดทำประเภทข้อมูลเพื่อใช้ในการทำการตรวจสอบ ได้แก่ ชนิดของ Protocol ที่ใช้สำหรับการสื่อสาร, ชนิดการสื่อสาร  เป็นต้น
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารกันภายในประเทศ
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในประเทศออกสู่ต่างประเทศ
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากต่างประเทศเข้าสู่ภายในประเทศ
    

    – ฐานข้อมูลการเก็บประวัติเพื่อสืบค้นเฉพาะกรณี
    

    หากมีหน่วยงานที่ดูแลรับผิดชอบที่รัฐบาลมอบหมายให้ดูแล LI ต้องทำมากขึ้นโดยการนำข้อมูลจากผู้ให้บริการอินเทอร์เน็ตมาใช้ร่วม (ยังไม่ขออธิบายในขั้นนี้)
    

    

    *** ในทางเทคนิคแล้วการตรวจสอบข้อมูลในระดับประเทศไม่สามารถที่เก็บบันทึกข้อมูลทุกการกระทำทั้งหมดในการสื่อสารได้ จะทำเป็นกรณีๆ ตามเป้าหมายที่ได้ต้องสงสัยไว้หรือบางแอฟลิเคชั่นที่สำคัญเพื่อเฝ้าติดตามเป็นกรณีพิเศษ ดังนั้นหากคิดว่าจะเป็นการละเมิดสิทธิส่วนบุคคลก็ต้องขอให้คิดใหม่ว่าในทางเทคนิคไม่มีทางที่เก็บข้อมูลได้หมดและข้อมูลที่ได้ก็ยังไม่ได้หมายความว่าคือบุคคลคนนั้นจริง เพราะในโลกการสื่อสารโดยเฉพาะการสื่อสารผ่านช่องทางอินเทอร์เน็ตสิ่งที่ตรวจสอบได้คือ IP Address เท่านั้น ดังนั้นค่า IP Address ไม่ได้บอกถึงว่าคนคนนั้นคือใครได้ ต้องมีขั้นตอนในการตรวจสอบเพิ่มเติมมากกว่านี้   ส่วนเรื่องเนื้อหาของข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต หากไม่ใช่เนื้อหาจากทางการข่าวให้เฝ้าสังเกต หรือ เนื้อหาที่ก่อให้เกิดอาชญากรรม เป็นเนื้อหาจากการใช้งานอินเทอร์เน็ตโดยทั่วไปก็ไม่ต้องกังวลเพราะการทำระดับประเทศต้องมีเป้าหมายชัดเจนถึงจะสามารถตรวจสอบข้อมูลได้ ***
    

    

    2.2 ระดับบริษัท
    

    – จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
    

    – จัดทำระบบฐานข้อมูลพนักงาน (Inventory) ค่าเครื่องคอมพิวเตอร์ ตามที่อยู่แผนกชั้น
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารภายในองค์กร
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในองค์กรออกสู่นอกองค์กร
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายนอกองค์กรเข้าสู่ภายในองค์กร
    

    – การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ (Log) ตามกฏหมาย
    

    

    3. องค์ประกอบในการปฏิบัติการ (Operation) : หากได้มีการจัดตั้งหน่วยงานที่ดูแล เพื่อปฏิบัติการ ต้องจัดหาบุคคลากรที่มีความรู้ความสามารถ และมีบทบาทหน้าที่ในส่วนที่ได้จัดทำขึ้นตามแผนงานและนโยบายที่กำหนดไว้ เพื่อการปฏิบัติงานได้อย่างต่อเนื่องและก่อให้เกิดประโยชน์แก่สังคมส่วนรวม
    

    

    โปรดอ่านตอนต่อไป …
    

    

    Nontawattana  Saraman
    

    นนทวรรธนะ  สาระมาน
    

    เขียน 28/01/55
    

    

    หมายเหตุ :
    

    – หากคัดลอกข้อมูลจากบทความนี้ไปเผยแพร่ ไม่ว่าจะเป็นสาธารณะหรือในที่ประชุม โปรดอ้างอิงชื่อผู้เขียน
    

    – ผู้เขียนได้เขียนบทความนี้จากประสบการณ์ อาจมีบางแง่บางมุมที่แตกต่างกันจากที่ได้รับรู้ และบางแง่บางมุมที่ยังไม่สามารถเผยแพร่ได้อย่างครบถ้วน การนำไปเผยแพร่โปรดใช้วิจารญาณในการติดสินใจ
    

    

    ภาพประกอบจากบทความ Shadow Factory Revelations : The illegal NSA Domestic Spy Dragnet
    

    
		
    

		
	
    


    

    

	
	
    

		
    แนวโน้มภัยคุกคาม ปี 2012
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    แนวโน้มภัยคุกคามทางคอมพิวเตอร์และอินเทอร์เน็ต ปีค.ศ. 2012 (พ.ศ 2555)
    

    ถือ เป็นธรรมเนียมปฏิบัติไปแล้วสำหรับบริษัทและบล็อกด้านความปลอดภัยต่าง ๆ  ที่เมื่อสิ้นปีจะทำนายแนวโน้มของภัยคุมคามคอมพิวเตอร์และอินเทอร์เน็ตสำหรับ ปีถัดไป ทีมงาน SRAN  ได้ค้นหาและอ่านบทความทำนายแนวโน้มจากหลายสำนักจนได้รวบรวมเกิดเป็นบทความ นี้ขึ้นหวังว่าหลังจากที่ได้อ่านแล้วจะทำให้ผู้อ่านได้ความคิดใหม่ ๆ  ในการป้องกันตัวเองและครอบครัวจากจากภัยที่คุณอาจจะต้องพบเจอเข้าในสักวัน หนึ่ง  เพราะคอมพิวเตอร์และอินเทอร์เน็ตเป็นเรื่องใกล้ตัวที่คุณไม่อาจมองข้ามได้ อีกต่อไป
    

    1. การโจมตีเป้าหมายเจาะจง (targeted attack) จะทำให้เกิดความเสียหายและมีความซับซ้อนมากขึ้น
    

    สอง ปีที่ผ่านมามีข่าวเกี่ยวกับการโจมตีต่อเป้าหมายเจาะจง  เนื่องจากกลุ่มที่ใช้คอมพิวเตอร์และเครือข่าย เพื่อเคลื่อนไหวทางการเมือง  (เรียกว่า hacktivist มาจากคำว่า hack รวมกับ activist) อย่าง Anonymous  และ LulzSec รวมถึงการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต  ที่มุ่งเป้าไปที่รัฐบาล ธุรกิจและนักเคลื่อนไหวทางการเมือง  ที่ต้องอาศัยเทคโนโลยีขั้นสูงและระยะเวลาที่ยาวนาน เรียกว่า Advanced  Persistent Threats (APTs)
    

    ตัวอย่างได้แก่  การโจมตีอย่างต่อเนื่องที่ทำให้โซนี่ต้องหยุดให้บริการเพลย์สเตชั่นเป็นเวลา นาน ทำให้เกิดความเสียหายทางการเงิน และการรั่วไหลของข้อมูลผู้ใช้  และการโจมตีเครือข่ายของล็อกฮีด มาร์ติน (Lockheed Martin)  บริษัทผู้ผลิตเครื่องบินระหว่างประเทศและเทคโนโลยีที่ก้าวหน้า  ที่อาจมีจุดมุ่งหมายเพื่อจารกรรมข้อมูลการออกแบบเครื่องบินรบ
    

    เรา สังเกตได้ถึงระดับความซับซ้อนของการโจมตีเหล่านี้ เช่น  ในขณะที่การโจมตีโซนี่เกิดจากการบุกรุกเครื่องแม่ข่ายเว็บ (web server)  ที่ไม่ได้แก้ไขช่องโหว่ของโซนี่เอง แต่การโจมตีล็อกฮีด  มาร์ตินเป็นผลมาจากการโจมตีบริษัท RSA ทางอีเมล เริ่มแรก พนักงานของ RSA  ได้รับอีเมลแนบไฟล์สเปรดชีท ที่โจมตีช่องโหว่ Adobe Flash  Playerและติดตั้งประตูหลัง (backdoor) และส่วนประกอบอื่น ๆ ของมัลแวร์  จากนั้นมัลแวร์ดังกล่าวจึงถูกใช้เพื่อเข้าถึงระบบของRSA  และขโมยข้อมูลทางเทคนิคของ SecurID ซึ่งเป็นการยืนยันตัวตนสองปัจจัย  (two-factor authentication) RSA  ยืนยันว่าข้อมูลดังกล่าวถูกใช้เพื่อโจมตีล็อกฮีด มาร์ติน
    

    เห็นได้ชัดว่าเหยื่อของการโจมตีเหล่านี้ได้รับความเสียหายมาก รวมถึงการเสียชื่อเสียง เสียความเชื่อมั่นของลูกค้า
    
ราคาหุ้นตกและเสียค่าใช้จ่ายในการแก้ไขปัญหาในทางเทคนิค
    

    เมื่อเร็ว ๆ นี้ APTs ได้แสดงให้เห็นถึงความสามารถของมัน หนอน Stuxnet เป็นหนึ่งในตัวอย่างที่ดี อีกทั้ง
    
Stuxnet ยังใช้ใบรับรองอิเล็กทรอนิกส์ (digital certificate)  ที่ถูกต้องอีกด้วย  เมื่อพิจารณาถึงกรณีที่ใบรับรองถูกขโมยจากผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ DigiNotar เชื่อว่าการโจมตีต่อเป้าหมายเจาะจงจะมีเพิ่มขึ้น
    
โดยมีความซับซ้อนมากขึ้น ใช้การโจมตีช่องโหว่แบบ zero-day (ช่องโหว่ที่ยังไม่มีวิธีแก้ไขจากผู้ขายผลิตภัณฑ์)
    
และใช้หลายขั้นตอนในการโจมตี
    

    2. จะมีการหลอกลวงในเครือข่ายสังคมออนไลน์เพิ่มมากขึ้น
    

    เครือ ข่ายสังคมเป็นหนึ่งในวิธีสำคัญในการสื่อสาร ปฏิสัมพันธ์และร่วมแบ่งปัน  ระหว่างผู้บริโภคและธุรกิจผ่านทางเว็บ  โชคไม่ดีที่บริการเหล่านี้ตกเป็นเป้าหมายในการก่ออาชญากรรมทางอินเทอร์เน็ต เช่นกัน
    

    แคมเปญที่มีจุดประสงค์ร้ายแพร่หลายไปทั่วสังคมออนไลน์ หนึ่งในวิธีการหลักที่แคมเปญทางเฟซบุ๊คแพร่หลายไป
    
คือวิธีที่เรียกว่า “likejacking” รูปแบบหนึ่งของเทคนิค clickjacking  เมื่อผู้ใช้ถูกหลอกให้กด “Like”  ในหน้าเว็บหนึ่งซึ่งจะมีผลให้แสดงข้อความหน้า Wall ในเฟซบุ๊ค  บ่อยครั้งที่ข้อความเหล่านี้จะเป็นข้อความที่น่าตื่นเต้น เช่น  การตายของอุซามะฮ์ บิน ลาดิน หรือ เอมี ไวน์เฮาส์  ซึ่งจะนำไปสู่หน้าเว็บมุ่งร้ายหรือน่าสงสัย  รูปแบบหนึ่งที่พบทั่วไปคือแบบสำรวจออนไลน์ที่บังคับให้ผู้ใช้กรอกข้อมูลก่อน ดูวิดีโอที่ต้องการ  ผู้ที่หลอกล่อให้ผู้ใช้กรอกแบบสำรวจได้สำเร็จจะได้เงินตอบแทน  ส่วนแคมเปญมุ่งร้ายอื่น ๆ เช่น ใช้บริการย่อ URL  เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บมุ่งร้าย หรือหลอกล่อให้ผู้ใช้ copy  / paste URL ที่อ้างว่าเป็นวิดีโอลงไปใน address bar โดยตรง
    

    ผู้ให้ บริการเครือข่ายสังคมอย่างเฟซบุ๊คและทวิตเตอร์มีผู้ใช้หลายร้อยล้านคน  และตามมาด้วยรายใหม่อย่าง Google+  ถึงแม้จะมีพัฒนาการด้านมาตรการด้านความปลอดภัยใหม่ ๆ  ออกมาจากบริษัทผู้ให้บริการเหล่านี้  แต่เนื่องจากผู้ใช้และข้อมูลที่มีจำนวนมากจากผู้ให้บริการไม่กี่แห่ง  จึงเป็นที่ดึงดูดอาชญากรทางอินเทอร์เน็ต  และก่อให้เกิดการล่อลวงในสังคมออนไลน์เพิ่มมากขึ้นในปีค.ศ. 2012
    

    3. มัลแวร์สำหรับอุปกรณ์พกพาคุกคามผู้ใช้และองค์การ
    

    ในปีค.ศ. 2011 เพียงปีเดียวมีการเติบโตของมัลแวร์สำหรับอุปกรณ์พกพาอย่างมีนัยสำคัญ สิ้นปีค.ศ. 2010
    
มีมัลแวร์กว่า 2,500 ตัวอย่าง แต่ในปีค.ศ. 2011 เพิ่มขึ้นมากกว่า 7,500 ตัวอย่าง
    

    ในปีค.ศ. 2011 ได้มีมัลแวร์สำหรับแพลตฟอร์มแอนดรอยด์เพื่อดักข้อมูล SMS ที่ธนาคารต่าง ๆ ใช้เพื่อป้องกัน
    
ลูกค้าจากโทรจัน เป็นตัวอย่างที่ดีของ “เกมแมวไล่จับหนู” ระหว่างผู้โจมตีและผู้ป้องกัน แอนดรอยด์ได้
    
กลายเป็นแพลตฟอร์มที่ตกเป็นเป้าหมายของมัลแวร์มากที่สุด  มากกว่ามัลแวร์ซิมเบียนในครึ่งแรกของปี 2011  อีกด้านหนึ่งของมัลแวร์สำหรับอุปกรณ์พกพาที่เพิ่งเริ่มต้นขึ้น  ได้แก่การใช้อุปกรณ์พกพาเป็นบ็อท (bots) ในเครือข่ายbots  ที่แพร่หลายในคอมพิวเตอร์ตั้งโต๊ะ  เนื่องจากมีอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อเครือข่ายมากขึ้น  ผู้โจมตีจึงพยายามนำทรัพยากรเหล่านี้มาใช้เพื่อประโยชน์ของตัวเอง
    

    แอน ดรอยด์ตกเป็นเหยื่อของความสำเร็จของตัวมันเองในหลายแง่มุม  เนื่องจากคนแห่กันไปใช้อุปกรณ์ที่ใช้ระบบปฏิบัติการนี้  ผู้โจมตีก็ทำเช่นเดียวกัน  นอกจากนี้แอนดรอยด์ยังมีข้อเสียที่นักพัฒนาสามารถเผยแพร่แอพพลิเคชั่นใด ๆ  เข้าไปในMarketplace ได้อย่างง่ายดาย การพัฒนาหนึ่งที่น่าสนใจคือการเปิดตัว  Amazon Kindle Fire ซึ่งปกติแล้วจะเชื่อมต่อกับ Amazon application store  เท่านั้น หวังว่าทาง Amazon  จะให้ความใส่ใจกับแอพพลิเคชั่นที่ยอมให้เผยแพร่ใน application store  มากกว่า Marketplaceของกูเกิล
    

    ทุกองค์การควรให้ความสนใจกับจำนวนที่ เพิ่มขึ้นของพนักงานที่ใช้อุปกรณ์ของพวกเขาเองในที่ทำงานและดาวน์โหลดข้อมูล ขององค์การ เช่น อีเมลและไฟล์ต่าง ๆ เข้ามาในอุปกรณ์โดยไม่มีการควบคุม  เป็นแนวโน้มที่เรียกว่า consumerization of ITหรือ Bring-Your-Own-Device  (BYOD)  องค์การจำเป็นต้องเตรียมพร้อมสำหรับปัญหาด้านความปลอดภัยและความร่วมมือที่ เกิดจากการนำอุปกรณ์ที่บริษัทจัดหามาให้ใช้งาน และที่พนักงานนำมาใช้เองด้วย
    

    ใน ปีค.ศ. 2012  เราจะได้เห็นมัลแวร์สำหรับอุปกรณ์พกพาที่มีความซับซ้อนและผลกระทบมากขึ้น  มัลแวร์ที่มุ่งเป้าที่สื่อสังคมออนไลน์จะแพร่กระจายมากขึ้น  เนื่องจากมีการใช้อุปกรณ์พกพาเพื่อเข้าถึง และอัพเดทสังคมออนไลน์เพิ่มขึ้น  โดยมัลแวร์ไม่เพียงแต่มุ่งเป้าที่ข้อมูลของผู้ใช้  แต่สามารถติดตามตำแหน่งของผู้ใช้ด้วย  อาจเป็นเรื่องใหญ่ของความปลอดภัยสำหรับเด็ก  ผู้ถ่ายภาพลามกเด็กและโจรลักพาตัวอาจสนใจภาพส่วนตัวที่เก็บอยู่ในอุปกรณ์พก พา ซึ่งจะมีข้อมูลพิกัดจีพีเอส (GPS) ของสถานที่ถ่ายภาพ  ถึงแม้จะเก็บอยู่ในอุปกรณ์พกพาของผู้ปกครองก็ตาม
    

    ข้อควรกังวลมาก ที่สุดเกี่ยวกับมัลแวร์ในอุปกรณ์พกพาคือ  ข้อจำกัดของความสามารถของผลิตภัณฑ์ด้านความปลอดภัยในปัจจุบัน  และจุดอ่อนในส่วนของผู้ใช้  เครื่องพีซีที่อยู่ในองค์การจะได้รับการดูแลจากฝ่ายไอที  แต่อุปกรณ์พกพาของพนักงาน ที่ใช้เพื่อเข้าถึงและเก็บข้อมูลของบริษัท  ดูเหมือนจะถูกละเลย องค์การจำเป็นต้องเพิ่มนโยบายด้านความปลอดภัย  ช่วยให้อุปกรณ์พกพาสามารถเปิดเว็บได้อย่างปลอดภัย  โดยที่อุปกรณ์พกพาส่วนตัวที่เข้าถึงเครือข่ายของบริษัทนั้นต้องใช้นโยบาย เดียวกันด้วย
    

    4. ช่องโหว่ในซอฟท์แวร์เสริมการทำงานเว็บบราวเซอร์
    

    ซอฟท์แวร์ เสริมสำหรับบราวเซอร์อย่าง Java, Flash Player และ Adobe Reader  มีผู้ใช้ทั่วโลกเป็นจำนวนมาก  มีช่องโหว่ในผลิตภัณฑ์เหล่านี้ที่พบและถูกโจมตีจำนวนมาก  และเป็นเรื่องลำบากสำหรับผู้ดูแลฝ่ายไอทีในการอัพเดทผลิตภัณฑ์เหล่านี้ใน องค์การ ผลิตภัณฑ์เหล่านี้จึงกลายเป็นช่องทางที่ใช้ในการโจมตีที่ได้ผล  ผู้ใช้งานเจอความท้าทายเดียวกัน  ในบางครั้งฟีเจอร์การทำงานบางอย่างก็ไม่จำเป็นสำหรับผู้ใช้งาน  การปิดการทำงานของฟีเจอร์เหล่านั้นช่วยลดความเสี่ยงในการถูกโจมตีได้อย่างมี ประสิทธิภาพ
    

    นอกจากการเติบโตในแง่ของจำนวนแล้ว  การโจมตีเหล่านี้ยังมีความซับซ้อนเพิ่มมากขึ้นอีกด้วย เช่น  การซ่อนไฟล์มุ่งร้ายในไฟล์อื่นเพื่อหลีกเลี่ยงการตรวจจับ  การโจมตีที่ใช้ไฟล์ flash มุ่งร้ายที่ฝังในไฟล์เอกสาร และรูปแบบที่คล้าย ๆ  กันพบเห็นได้บ่อยขึ้น
    

    สามารถอ่านต่อจนจบบทความได้ที่ http://sran.org/tl
    
		
    

		
	
    


    

    

	
	
    

		
    เตือนภัยเว็บไทยถูกโจมตีจากเทคนิค SQL Injection จำนวนมาก
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    การโจมตีที่ SQL Injection ที่กำลังระบาดในขณะนี้เรียกว่า lilupophilupop.com SQL injection
    

    ระบบ ที่ถูกโจมตีเป็นระบบที่ใช้ ASP หรือ ColdFusion ที่ใช้ MSSQL เป็น backend โดยจะถูกฝังข้อความ “> อยู่ในเว็บไซต์ เมื่อเปิดหน้าที่ถูกฝังสคริปท์
    

    นี้แล้วจะ redirect ไปที่เว็บไซต์ดาวน์โหลด Flash และแอนตี้ไวรัสปลอม
    

    โดเมนในประเทศไทยพบ 12,800 หน้า ส่วนทั่วโลกพบประมาณ 1 ล้านหน้า
    

    เว็บ .th ที่ถูกโจมตี
    

    https://www.google.com/search?q=title+script+src+http+%22sl+php%22+script+%22lilupophilupop+com%22+site%3A.th&hl=en&biw=1280&bih=938&num=10&lr=&ft=i&cr=&safe=images
    

    หรือค้นหาโดยใช้
    

    title script src http “sl php” script “lilupophilupop com” site:.th 
    

    จาก google ดูสิ
    

     
    

    

    


    


    
    

    

    

    

     
    

    ข้อมูลเพิ่มเติมอ่านที่ http://blog.sran.net/archives/658
    

    

    

    

    
		
    

		
	
    


    

    

	
	
    

		
    สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร  เรามีแต่การคาดการณ์  แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ  พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี  สำหรับการดำเนินชีวิตอย่างไม่ประมาท
    

    ดั่งคำกล่าวที่ว่า “จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต”
    

    จึงเป็นที่มาให้ทีมพัฒนา SRAN  ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้
    

    เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website /  domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต  และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข  ได้ทันสถานการณ์มากขึ้น  โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640
    

    ดัง  นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต  เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง  ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น
    

    โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
    
SRAN : Thailand Internet Threat Statistic 2011
    

    

    


    


    
    

    

       
    

    

    ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011
    

    

    ภัยคุกคามที่ทางทีมพัฒนา SRAN ได้จัดทำขึ้นประกอบด้วย
    
1. Malware : คือ  Website / Domain / IP Address ภายในประเทศไทย  ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม  ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet)  และสมาร์ทโฟม (smart phone/mobile )  ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010
    

    2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    3. Phishing :  คือ Website / Domain / IP Address ภายในประเทศไทย  ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ  ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook  ,tablet) และสมาร์ทโฟม (smart phone/mobile )  ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware  หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง  เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    4. Vulnerability : คือ  ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System)  ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ  เป็นผลให้เกิดการโจมตีขึ้นได้
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010
    

    5. Proxy : คือ  Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร  ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี  และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์  เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง  เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด
    

    ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม
    

    แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้
    

    ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย
    

    ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
    

    ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
    

    ชนิด  ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์  ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น  จึงนำ file  ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
    

    

    


    


    
    

    

       
    

    

    

    ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร
    

    

    ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้
    

    

    


    


    
    

    

       
    

    

    ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011
    

    ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
    

    1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
    
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
    

    3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
    
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
    

    5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
    

    6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
    

    7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง
    

    บทวิเคราะห์
    
โดย  รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา  สูงขึ้นอย่างต่อเนื่อง  ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น  ทุกปีเช่นกัน  ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง  ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น  เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web  Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS  ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP  Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน  Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing  เป็นต้น
    
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ  สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ ,  OS ที่ตนเองมีอยู่ ใช้อยู่  หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร  หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว  อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
    
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server ,  Anonymous Proxy  ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว  ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy  เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด  ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง  ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก  ขึ้นนั้นเอง  โดย IP Address  ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ  เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy  ได้นั้นควรจะเป็นเครื่องแม่ข่าย  แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่  ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL  ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา  ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address  จะไม่คงที่เท่ากับเครื่อง Server  ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น  กัน
    

    ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
    
SRAN Dev Team
    

    

    สวัสดีปีใหม่ครับ
    

    ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท)  ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น  หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN  (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain  ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล  คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ  ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด  แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต
    

    รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic