Icons วายร้าย

Submitted by classicx. on May 1, 2005 11:33 pm.
ถ้าท่านเป็นคนหนึ่งที่เคยสัมผัสกับ Icons น่ารักๆ ที่ชวนให้คลิก ชวนให้ดาวโหลด และเผลอพลาดด้วยความไม่รู้เท่า เมื่อนั้นอาจจะพบว่า เครื่องคอมพิวเตอร์ของท่านเริ่มไม่ปกติ

และก็มีตัวการ์ตูนที่น่าตา น่ารักชวนเป็นมิตรอยู่หลายๆตัว แต่แปลก การ์ตูนที่ดูแล้วน่ารักพวกนี้ กับถือไม้พร้อมที่ฟาดหัวกันด้วย : )

Icons วายร้าย ที่แฝงมากับความน่ารักและชวนให้ สัมผัส ตัวนี้มีชื่อว่า FunbuddyIcons ผมจึงค้นหาข้อมูลและพบว่ามีการกล่าวถึงโปรแกรมชนิดนี้เป็นพวก Spyware โดยรวบรวมมาให้อ่านกันเล่นๆ เผื่อว่าที่บ้่านของท่าน มีน้องๆเด็กๆ ที่เล่นต่ออินเตอร์เน็ท ทำให้ติด spyware ในเครื่องกัน
อ่านข้อมูลเพิ่มเติมได้ที่ Google : FunbuddyIcons

FunBuddyIcons เป็นการสร้าง plugin บน Internet Explorer และสามารถใช้เป็น icon บน AOL Instant Messager, Yahoo Messenger, และ MSN Messenger ซึ่งเป็นโปรแกรมสนทนาที่ได้รับการนิยม
เครือข่ายของ Fun Buddy Icons มีด้วยกันหลายตัวในนามชื่อว่า Fun Web Products โดยมีชื่อ
1. Smiley Central
2. Cursor Mania
3. My Mail Stationary
4. My Mail Signature
5. PopSwatter
6. Popular Screensavers
7. My Way website portal.

ก็ถือได้ว่าเป็นโปรแกรมพวก spyware, โดยที่ผู้ใช้ที่ติดตั้งโปรแกรมดังกล่าวแล้วจะทำให้ Spyware ที่แนบมากับโปรแกรมดักข้อมูลในส่วนที่เป็น cookies ในเครื่อง PC ของเรารวมถึงการแสดงตัวตนเมื่อเราเชื่อมต่อทางอินเตอร์เน็ท ซึ่งถือได้ว่าเป็นการละเมิดความส่วนตัวในการใช้ระบบอินเตอร์เน็ท โดยข้อมูลเหล่านั้นจะส่งไปยัง site ของ Hackers ซึ่งจะทำการสร้าง spam ต่อไปอีกทั้งยังทำให้ระบบเครือข่ายโดยรวมช้าเนื่องจากขยะข้อมูลที่ส่งกันเป็นลูกโซ่อย่างต่อเนื่อง

และเมื่อทำการติดตั้งโปรแกรม Fun Buddy Icons แล้วจะพบว่า

ใน Internet Explorer จะมี button bar ที่ชื่อ Fun Buddy Icons

ด้วยความน่ารักของ icons จึงมีผู้ติด spyware ชนิดนี้อยู่มาก และความน่ารักนั้นจะส่งผลร้ายกับคอมพิวเตอร์ที่บ้านและที่ทำงานของเรา

เรามาดูกันว่าเมื่อเจ้า FunBuddyIcons เข้าไปฝังในเครื่องเราแล้วจะเกิดอาการอย่างไร
จะพบว่า โปรแกรม ที่ฝังมากับ Icons ชนิดนี้จะทำการ Hijack appliaction เข้ามาใช้งานร่วมกับโปรแกรมดังเดิมแต่เพี้ยนไปเปรียบเสมือนปรสิตที่เข้ามาแฝงกายไว้ดูดอาหาร แต่อาหารของปรสิตชนิดนี้คือข้อมูล ทั้งๆที่ข้อมูลนั้นอาจเป็นของมูลที่ไม่ลับ และอาจจะลับก็ตาม แต่ปรสิตชนิดนี้ ก็ชอบเนื่องจากเป็นแหล่งของการทำ Spam และทำการวิเคราะห์หาตลาดทางการค้าได้อย่างลึกซึ้ง

เมื่อทำการ Install FunBuddyIcons โปรแกรมจะไปฝังตามส่วนต่างของระบบปฏิบัติการโดยเฉพาะอย่างยิ่งระบบปฏิบัติการ Windows ซึ่งมีผู้ใช้มากที่สุดในโลก โดยทำการฝัง file ดังนี้

R3 – URLSearchHook: (no name) – {00A6FAF6-072E-44cf-8957-5838F569A31D} – C:Program FilesMyWebSearchSrchAstt1.binMWSSRCAS.DLL

O2 – BHO: MyWebSearch Search Assistant BHO – {00A6FAF1-072E-44cf-8957-5838F569A31D} – C:Program FilesMyWebSearchSrchAstt1.binMWSSRCAS.DLL

O2 – BHO: mwsBar BHO – {07B18EA1-A523-4961-B6BB-170DE4475CCA} – C:Program FilesMyWebSearchbar1.binMWSBAR.DLL

O4 – HKLM..Run: [MyWebSearch Email Plugin] C:PROGRA~1MYWEBS~1bar1.binmwsoemon.exe

O4 – HKCU..Run: [MyWebSearch Email Plugin] C:PROGRA~1MYWEBS~1bar1.binmwsoemon.exe

O4 – Startup: MyWebSearch Email Plugin.lnk = C:Program FilesMyWebSearchbar1.binMWSOEMON.EXE

O4 – Global Startup: MyWebSearch Email Plugin.lnk = C:Program FilesMyWebSearchbar1.binMWSOEMON.EXE

O8 – Extra context menu item: &Search – http://bar.mywebsearch.com/menusearch.html?p=ZBYYYYYYYYUS

O16 – DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} – http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.8.cab


วิธีการในการลบโปรแกรม Fun Buddy Icons

ต้องทำการ uninstall Fun Buddy Icons

1) Click บน Start, Settings, Control Panel

2) Double click บน Add/Remove Programs

3) หาคำว่า “My Web Search (FunBuddyIcons)” และทำการ Remove

ยังไม่พอ ต้องหาโปรแกรมที่เชื่อมโยงกับ icons นี้ด้วยเช่น

  • My Web Search (Smiley Central or FWP product as applicable)
  • My Way Speedbar (Smiley Central or other FWP as applicable)
  • My Way Speedbar (AOL and Yahoo Messengers) (beta users only)
  • My Way Speedbar (Outlook, Outlook Express, and IncrediMail)
  • Search Assistant – My Way

4) ทำการ Reboot Computer and run HijackThis

5) ทำการลบ folders ที่ชื่อว่า

  • FunWebProducts

  • MyWebSearch

ุ6) เหมือนว่า icons วายร้ายจะหายไปแล้ว แต่จากบทความที่คัดลอกมานั้นแนะนำให้ใช้ โปรแกรมที่ชื่อว่า Hijackthis เพื่อทำการตรวจสอบว่ายังติดในเครื่องอีกหรือไม่

เอาล่ะครับมาถึงตรงนี้ผมได้หมดหน้าที่การเป็นผู้แก้ไขปัญหาแล้ว ต่อไปผมจะนำท่านดำดิ่งไปสู่รากเหง้าของ Icons วายร้าย ว่ามีแหล่งที่มาที่ไปอย่างไร เอาไว้ blog หน้าแล้วกันครับ ……..

นนทวรรธนะ สาระมาน
Nontawattana Saraman
1/05/48

Dark Side of The Internet

Dark Side of The Internet

เมื่อกว่า 30 ปีที่ผ่านมา อัลบัมเพลงของวง Pink Floyd ชุด “Dark Side of The Moon” เป็น กล่าวถึงความซับซ้อนของจิตใจคนในยุคทุนนิยม

แ ละเวลาผ่านไปผมได้นำบทเพลงชุดนี้มาเปิดอีกครั้ง และเขียนเรื่องราวที่ซับซ้อนในโลกอินเตอร์เน็ท ในชื่อบทความว่า Dark Side of The Internet พร้อมกับการบรรเลงบทเพลงที่ยิ่งใหญ่ของ Pink Floyd เพื่อระลึกถึงแนวความคิดที่ก้าวทันสมัย ลองมาอ่านกันว่า Dark Side of The Internet กับบทเพลงอย่างไรจะซับซ้อนกว่ากัน


ทุกวันนี้การใช้งานคอมพิวเตอร์ที่ต่อเชื่อมบนโลกอินเตอร์เน็ทมีจำนวน มาก ลองคิดกันเล่นๆ หากมีใครสักคนติดต่อโลกอินเตอร์เน็ทจากเครื่องพีซีเครื่องใหม่ที่พึ่งซื้อมา ลงระบบปฏิบัติการ windows XP Home โดยไร้ services pack , anti-virus , anti-spyware และระบบป้องกัน Persanol Firewall แล้วทำการท่องอินเตอร์เน็ทไม่นานนัก จะมีผู้มาเยือน โดยไม่ใช่มนุษย์ ไม่ว่าเป็น spyware , worm , adware และ spam จะทำการเข้าสู่เครื่องพีซีของท่านในเวลารวดเร็ว หากคุณเป็นนักออนไลท์ คุณคงไม่กังวล แต่หากเป็นผู้เล่นอินเตอร์เน็ทรายใหม่ ที่เกิดขึ้นใหม่ทุกๆวัน ก็จะตกเป็นเหยื่อเหล่านี้ แล้วทำการแตกลูกโซ่ทำการแพร่เชื้อกระจายไปทั่วโลก และ ณ เวลาที่ผมเขียนบทความนี้ขึ้น ก็จะมีจำนวนคนตกเป็นเหยื่อที่มองไม่เห็นนี้ตลอดเวลา คิดต่อไปอีกว่าไม่นานเวลาผ่านไป อีกสักสามถึงสี่ปีต่อมา โลกในอินเตอร์เน็ทจะเต็มไปด้วยภัยคุกคามอย่างที่เราคาดไม่ถึง
วันก่อนเมื่ออยู่หน้าคอมพิวเตอร์ พบสิ่งผิดปกติที่เกิดซ้ำๆกันไปมา โดยที่ไม่ทราบว่ามาจากไหน และเมื่อนั่งพิจารณาสักพักก็พบว่า นั้นมันคือการโจมตี ของใครบางคนที่อยู่ห่างจากเรา ..
พบความเสี่ยงสูงที่หน้าจอ SRAN Security Center

ผมได้สังเกตการแพร่ตัวของจำนวน robot ที่วิ่งเข้ามาเก็บข้อมูลใน website โดยเป็นเครื่องมือของผู้ผลิตเว็ป search engine , ผู้ทำการขายสินค้า , ผู้เก็บข้อมูล สถิติต่างๆ รวมถึงนักวิเคราะห์การตลาด เครื่องมือของโลกทุนนิยม robot จำนวนมากเกิดขึ้นจากการเขียน code ที่แตกต่าง เพื่อช่วยในการเก็บข้อมูล ผมเคยชี้ภัยที่เกิดจากการ ใช้ทรัพยากรในระบบเครือข่ายไปแล้วในบทความ spider bot

แต่ในบทความที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งในความลึกลับและซับซ้อนบนโลกอิ นเตอร์เน็ท กับจำนวน spider bot หรือ web robot ที่เพิ่มจำนวนอย่างมากในยุคปัจจุบัน จากอดีตจนถึงปัจจุบัน robot พวกนี้ได้พัฒนาตัวขึ้นให้ปรับตัวเข้ากับความซับซ้อนและยากที่จะหาต้นตอของผู ้แพร่กระจายความหายนะได้
The Dark site Internet จึงขอเป็นบทความที่เปิดเผย กลุ่ม robot ที่สร้างขึ้นจากมนุษย์เพื่อทำการทำลายล้างและขโมยข้อมูลมากล่าวให้ฟัง

ในการโจมตีที่เกิดขึ้นโดยใช้ bot IRC

bot ที่ classic ที่สุด และเป็นเป้าหมายแห่งการโจมตีที่ยิ่งใหญ่ ในยุคปัจจุบัน
bot ที่ว่านั้นคือ bot ที่เกิดขึ้นบน IRC เมื่อก่อนสัก 6 – 7 ปีก่อน bot irc มีหน้าที่ไว้เป็นยามเฝ้าห้อง chat room เพื่อป้องกันการยึดห้อง และป้องกันมิให้ใครเข้ามากวนหรือป่วนห้องใน irc นั้นๆ ไม่ว่าเป็น TNT bot , IRC II และ eggdrop ส่วน eggdrop มีใช้การเขียน tcl/tk
สคิปของ bot ได้พัฒนาและแพร่หลายออกไป มีคนที่คิดสร้างสรรค์และคิดในเชิงลบ ทำให้ bot irc วันนี้เต็มไปด้วยอาวุธ และทำความเสียหายให้ระบบเครือข่าย และเป็นที่มาของการโจมตี :แนะนำข้อมูลสำหรับศึกษา bot IRC ที่เป็นภาษาไทยอ่านได้ที่ http://www.sornz.com/
การใช้ Bot IRC ในการบุกรุกข้อมูลมีดังนี้
ี้

1. Network warez

ขณะนี้มีจำนวนการใช้ IRC


พบว่าเป็นจำนวนที่มาก และกว่่า 30% เป็น robot
server IRC ที่มีผู้ใช้บริการมากที่สุด

ที่กล่าวว่าเป็น Network Warez เนื่องจากมีการแชร์ files download กันผ่าน IRC และนี้คือที่มาของโปรแกรมพวก P2P ในยุคปัจจุบัน




จากภาพจะพบว่ามีการแจกเพลงที่มีลิขสิทธิ์และหนัง ใน IRC โดยการทำงานของ bot ที่ตั้งสคิปไว้เพื่อทำการแชร์ file และ download ในที่สุด


2. DDoS (Distributed Denial-of-Service)
บทความสุด classic สำหรับการโจมตีแบบ Denial of Service เขียนไว้โดย Steve Gibson ในช่วงปี 2001 ขณะที่เว็ปยักษ์ใหญ่ได้มีการใช้งานไม่ได้เนื่องจากโดนโจมตี http://grc.com/dos/grcdos.htm
จากอ่านประวัติศาสตร์ย้อนหลังการโจมตีลักษณะนี้ในยุคที่ยังมีผลิตภัณฑ์ด้านค วามปลอดภัยข้อมูลยังมีน้อยอยู่ได้ ในบทความของ Steve Gibson ก็ได้กล่าวถึงการใช้ bot ใน irc เป็นผู้โจมตี โดย bot เหล่านี้ได้เกิดขึ้นจากการติด backdoor ของผู้ใช้อินเตอร์เน็ทตามบ้านนั้นเอง โดยมีศัพท์ที่เรียกเครื่องที่ติด backdoor เพื่อใช้ในการโจมตีเครื่องเป้าหมาย ว่า zombie หรือ botnet
คำสั่งที่ใช้ zombie เพื่อการโจมตีระบบเครือข่ายดูได้ใน watching attackers DDoSing others โดย honeynet project




3. Spamming
การ spam เป็นการโจมตีที่ถือได้ว่ามีพร้อมๆกับการใช้ e-mail ในยุคต้นของการเชื่อมโยงระบบเครือข่าย แล้วต่อมาได้มีการสร้าง spam บนระบบ IRC โดย spam นี้เป็นการเชิญชวนให้ผู้้เล่น IRC ได้เข้าห้องของตน หรือการโฆษณา web site รวมไปถึงการหลอก (Social Engineering) หลอกให้คน download backdoor ที่ตนเองได้สร้างขึ้น เมื่อปีที่แล้วก็มีการหลอกเช่นนี้โดยใช้โปรแกรม trojan ที่ชื่อว่า Optix ซึ่งสามารถอ่านได้เพิ่มเติมได้ที่ http://www.sran.org/document/files/optix-SRAN.pdf/file_view
จะเห็นว่าการหลอกลวงในระบบอินเตอร์เน็ทมีหลากหลายวิธีมาก และโยงใยถึงกัน
ภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

4. Sniffing Traffic
robot ที่ใช้บน irc ไม่ว่าเป็น eggdrop หรือชนิดอื่นๆมักจะเก็บ log ดักข้อมูลในส่วนนี้คือ

– จับที่ plain text ข้อความที่เป้นทั้ง public และ private ขึ้นกับวัตถุประสงค์ที่ใช้ มักจะดักจับ password ที่เกิดขึ้นในการ login
– ดักจับ robot ตัวอื่นเพื่อทำการขโมย robot


ทั้งนี้และทั้งนั้นการดักจับที่เกิดขึ้นได้ ก็ต่อเมื่อผู้ใช้ robot ได้เข้าถึงระบบปฏิบัติการที่ไม่ได้เป็นของตนเองแล้ว

– ดักข้อมูลเพื่อเก็บสถิติ จะมี robot จำนวนมากที่ฝังตัวใน irc server และ robot พวกนั้นจะทำการเก็บบันทึก channel, users, และการเกิดใหม่ของ server รวมถึงข้อมูลบ้างอย่างที่ทำการสานถึงหน่วยงานที่เกี่ยวข้องด้านอาชญากรรมคอม พิวเตอร์เก็บไว้เพื่อหาผู้กระทำผิด

จากภาพจะเห็นว่าข้อมูลที่ส่งเป็น real-time โดยค้นหาที่ http://searchirc.com/whois/ ข้อมูลพวกนี้จะไม่สามารถรู้ได้เลย หากไม่มี robot ที่กล่าวมา


5. Spreading new malware
ส่ง malware ในรูปแบบใหม่ๆ Bot IRC ที่ใช้สคิปโฆษณาต่างๆ มักมีการเข้ามาสนทนากับผู้ใช้งานจริง โดยการสนทนาเกิดจากสคิปทั้งสิ้นไม่ใช่มนุษย์ที่พิมพ์ และการสนทนา มักอยู่ในบรรทัดเดียว โดยใช้วิธีการหลอกลวงให้ download



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ




การโจมตีที่นอกเหนือการใช้ทรัพยากรบนเครือข่าย IRC
1. Installing Advertisement Addons and Browser Helper Objects (BHOs)
เป็นอีกช่องทางหนึ่งที่ทำให้ พวก roboat adware/spyware ที่เกาะตาม website ที่เราเข้าไปซึ่งโปรแกรมพวกนี้สามารถแนบติดกับ BHO และทำการรันตัวเพื่อเป็นเข้าถึงเครื่อง PC ได้ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/spyware/ParasitewareAndHowtoProtect.pdf



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ


2. phishing mails
เป็นการหลอก ที่สมเหตุสมผล และแนบเนียนมากเนื่องจาก E-Mail ที่เราได้รับโดยเฉพาะมาจากหน่วยงานที่มีความน่าเชื่อถือด้วยแล้ว ยิ่งทำให้การตัดสินที่คลิก URL ที่ link มาพร้อมได้อย่างรวดเร็ว เมื่อคลิก link ที่มากับ E-Mail ก็พบว่า website ที่เราเปิดกลับเป็น website ของ hacker โดย เทคนิค phishing จะเน้นการหลอกเพื่อได้มาถึง รหัสผ่านของการใช้บริการนั้นๆ หรือเป็นการหลอกเพื่อให้ download โปรแกรมที่ hacker สามารถ remote เข้ามาควบคุมเครื่องของผู้ใช้งานได้และเพื่อขยายผลต่อไป ดูภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

3. Anonymous Proxy
Free proxy ที่แจกกันมีภัยแฝงสำหรับผู้ไม่หวังดี ตรงที่การติดต่อ proxy จะทำให้ไม่ทราบ IP ต้นทาง โดยเฉพาะผู้บุกรุกใช้เทคนิคที่ชื่อว่า proxy chain จะทำให้ตรวจจับได้ยากขึ้น

แบบที่ 1 HTTP proxy >> HTTP proxy
แบบที่ 2 SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
แบบที่ 3 SOCKS proxy >>>> HTTP proxy
แบบที่ 4 HTTP proxy >>>> CGI proxy

ทำให้มี address ที่ติดต่อกับ robot ได้มากขึ้น
ลูกเล่นการหลบหลีก การตรวจค้นหามีหลายวิธี robot ที่ิวิ่งในระบบเครือข่ายจึงมากด้วยวิธีการ บาง robot เก็บข้อมูลบางชนิดเพื่อใช้ในการวิเคราะห์ตลาด บาง robot เขียนขึ้นเพื่อใช้ในการค้นหา

หากเรามีเครื่องมือที่ใช้ในการตรวจพวก robot ไม่ว่าเป็น robot ที่ใช้ค้นหาเพื่อเก็บสถิติในเว็บค้นหา และ robot ที่ใช้ในการตรวจสถิติการใช้งานของ web server จะพบว่ามีการใช้แบนด์วิทธ์พอสมควร ซึ่งในอนาคตหากไม่มีหน่วยงานมาควบคุมจำนวนเพิ่มขึ้น robot พวกนี้ก็ลองคิดดูว่าแบนด์วิทธ์ที่ใช้ในอนาคตอาจโดนบางส่วนที่มี robot ใช้ทรัพยากรระบบเครือข่ายเราได้เช่นกัน

robot ที่กล่าวมาทั้งหมดอาจจะเชื่อมโยงกันเป็นเครือข่ายที่อยู่ที่ใดสักแห่งบนโลกน ี้ และเฝ้าดักเก็บข้อมูล (Information) ได้อย่างสมใจ เราผู้รับข้อมูล ได้แต่พึ่งสติด้วยความระวัง และสมถะ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/03/48

Hackers Lose

เมื่อ Hackers หลงทาง

Submitted by classicx. on Mar 7, 2005 10:38 pm.

สุภาษิตที่ว่าหลงทางเสียเวลา หลงติดยาเสียอนาคต คงเป็นคำกล่าวที่ถูกต้องที่สุดโดยเฉพาะเรื่องการหลงทาง เมื่อครั้งที่แล้วผมเคยยกตัวอย่างการใช้ google ในการค้นหา ข้อมูลที่ลับๆ โดยเฉพาะพวก password , กล้องวงจรติดที่เผยแพร่ทาง Network และอีกหลายๆ สามารถอ่านย้อนหลังได้ที่ บทความเรื่อง ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท Google search engine ที่ทุกคนที่เล่น Internet รู้จักกันดี สามารถทำให้เราค้นหาข้อมูลได้ว่องไว อีกทั้งยังนำข้อมูลลับๆมาเผยแพร่ได้ด้วย เราจะป้องกันอย่างไงดี บทความนี้คงไม่ได้บอกวิธีป้องกัน แต่จะบอกวิธีทำให้ Hackers เสียเวลา และ งง พูดง่ายๆ คือการแก้เผ็ด Hackers ที่ใช้ google hack นั้นเอง

เริ่มแรก เตรียมเครื่อง PC 1 เครื่อง ลงระบบปฏิบัติการ Linux

อันดับสอง ลง Web server ที่ชื่อ Apache

อันดับสาม ลงโปรแกรมที่ชื่อ GHH (Google Hack Honeypot) จาก web http://ghh.sourceforge.net/

หลักการ GHH น่าสนใจมาก คือการประยุกต์ใช้ระหว่าง เทคโนโลยี Honeypot สามารถอ่านได้ที่ http://www.honeynet.org นำมาใช้กับ web server เพื่อสร้าง web honeypot โดยเจาะจงหลอก Hackers ให้ติดกับในส่วนของ การค้นหาข้อมูล

Honeypot คือหลุดพรางที่วางไว้ เพื่อให้ผู้บุกรุกเสียเวลา และไม่สามารถเข้ามาถึงระบบจริงได้ อีกทั้งยังสามารถเรียนรู้พฤติกรรมการบุกรุกของผู้ไม่หวังดีได้อีกด้วย

Honeypot และ Honeynet ต่างกันตรงที่ Honeypot มองเพียงตัวเดียววางล่อเพียงเครื่องเดียว อาจเป็น web server , data base server หรือ PC ตัวใดตัวหนึ่ง ส่วน Honeynet มองเป็นระบบเครือข่าย โดยประกอบด้วย Honeywall ตัวเลือกเส้นทางเข้าสู่วง Honeypot หลายตัวๆ เป็นต้น ใน Honeypot หลายตัวอาจเป็น web server ซึ่งเราเรียกว่า Honeyweb และ GHH ก็เป็นเพียงส่วนหนึ่งของ Honeypot ในส่วนของ web server นั้นเอง

Honeypot เป็นส่วนหนึ่งของ Honeynet

Honeyweb เป็นส่วนหนึ่งของ Honeypot

GHH เป็นส่วนหนึ่งของ Honeyweb

นี้คือแผนการ การหลอก hackers ที่ใช้ google เป็นเครื่องในการ Hack

เมื่อเราทำการ GHH config เรียบร้อยแล้ว มาดูกันว่าหน้าตาเป็นอย่างไร โดยทีมงาน SRAN ได้ตั้ง GHH ไว้ที่ http://test.sran.org ไว้หลอก Hackers กัน : )

ไม่มีอะไรในก่อไผ่ แต่เราได้มีการดักการค้นหาเช่น

(filetype:php HAXPLORER “Server Files Browser”)
(“Enter ip” inurl:”php-ping.php”)
(intitle:”PHP Shell *” “Enable stderr” filetype:php)
(inurl:”install/install.php”)
(“Powered by PHPFM” filetype:php -username)
(inurl:phpSysInfo/ “created by phpsysinfo”)
(“SquirrelMail version 1.4.4” inurl:src ext:php)

สมมุติว่าค้นหาใน google คำว่า inurl:phpSysInfo/ “created by phpsysinfo” Hackers ก็จะพบว่ามี web ที่ชื่อว่า http://test.sran.org/phpSysinfo/index.php อยู่จริง

ปกติการค้นหาวิธีนี้จะเป็นประโยชน์สำหรับ hackers เพื่อไว้ดูทรัพยากรเครื่อง Web server นั้นๆ

แล้วเราก็สามารถดูได้ว่าใครคือผู้ไม่หวังดีที่ใช้กลไกของ google เข้ามาใน web ของเราได้

โดยเข้าไปดูใน logs

นี้ล่ะครับจับได้ คาหนังคาเขาเลย

ยังดูยากมากนะครับสำหรับ GHH ในอนาคต ทีมงาน SRAN จะพยายามนำ content ที่ใช้ในการ ค้นหา google ที่มีผลกระทบกับความลับข้อมูลมาใส่ใน signature base ของ SRAN Security Center ด้วย เพราะเรารู้ว่าการป้องกันระบบเครือข่ายที่ดี คือการตรวจจับ และต้องรู้ทันเหตุการณ์

สุดท้าย ตั้งคำถามหน่อย เชื่อตามผมหรือไม่ว่า ในอนาคตอันใกล้ ในการ ค้นหาข้อมูลจะมีทั้ง web จริงและ web ปลอม เต็มไปหมดทั่วระบบเครือข่ายในโลก เช่นเดียวกัน ชีวิตก็มีทั้งของจริงและของปลอม ผ่านมาและผ่านไป ..

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thanks Kiattisak Somwong (pom infosec.sran.org) สำหรับการ config GHH

7 มี.ค 48

Ghost Malware

malware หน้าผี

เมื่อวานนี้ผมได้ร้องเรียนจาก เพื่อนสมาชิกให้ผม สืบหาไวรัสหน้าผี ให้ที ผมคิดต่อไปว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล และค้นคว้าว่าผีใน Internet หน้าตาเป็นเช่นไร

เอาละครับเรามาดูกันว่าว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล

ค้นไปพบว่ามีการ post กระทู้ไวรัสหน้าผี ใน pantip.com

ผมถามคนที่ติดไวรัสหน้าผี ว่าติดจากที่ไหน เขาก็บอกว่าให้ไปดูที่ web

web มานีมีตา ชื่อ web ก็ไม่น่าเข้าแล้วนะครับ แถมมีรูปให้ download กันอีกมากมาย ผู้ติดไวรัสกล่าวว่า ได้เลือก download file รวมภาพของ windows2000/XP

เอาล่ะเรามา Forensics กัน

1. ผมเริ่มเตรียมเครื่องใหม่ เพื่อจำลองสถานะการณ์ ลง windowsXP ที่ยังไม่มี program อะไร

2. ลง Tools ในการ Forensics เบื้องต้น ประกอบด้วย

FileMon , Regmon , Procexp , TCPview ใช้ 4 โปรแกรม ของ sysinternals

3. ตรวจสภาพว่าเครื่องคอมพิวเตอร์ของเราขณะที่ยังไม่ download จาก web ที่กล่าวว่ามีไวรัสหน้าผี

โดยใช้โปรแกรม Procexp

process ปกติเมื่อลงเครื่อง WindowsXP

ตรวจดูที่สภาวะการเปิด port connect และโปรแกรมต่างๆ

พบว่ามีการเปิด port ปกติดังนี้พบว่ามีโปรแกรมที่รอ connect เมื่อติดต่อ internet อยู่ คือ alg.exe , IEXPLORE.exe ,lsass.exe และ svchost.exe

เราจดและจำค่าพื้นฐานไว้นะครับ

4. เริ่มดาวโหลดโปรแกรมต้องสงสัย

เราดาวโหลดโปรแกรมรวมภาพ2/winxp/2000 file ชื่อว่า Internet11.com (นามสกุล file ก็ไม่น่าดาวโหลดแล้วครับเป็น .com มาเลย) พอโหลดโปรแกรมเสร็จแล้วดับเบิลคลิกจะพบข้อความดังภาพ เมื่อกด ok รอสักระยะ จะพบว่ามีรูปผีสาวญีปุ่นขึ้นมาแล้วมีเสียงกรีดร้อง เต็มจอ โผล่มาเป็นระยะๆ

5. เราวิเคราะห์ เครื่องกันว่าหลังจากดาวโหลด โปรแกรมดังกล่าวเสร็จแล้ว

มีโปรแกรมที่ชื่อว่า Scanreg.com โผล่มา

เริ่มมากันเยอะเลยครับ ลองเข้าไปดูที่ registry windows ดู

ดูสิครับนี้ยังไม่หมด ฝังใน registry หลายจุดเลย ที่พบหลายจุดเนื่องจากโปรแกรมผีญี่ปุ่นตัวนี้ ทำงานแล้วจะไปสั่งหลายส่วนใน registry windows ทำงานด้วยจาก file Scanreg.com นี้แหละ

7. แล้วเราจะเอามันออกล่ะ

พิมพ์ start –>run แล้วพิมพ์ regedit เข้าไปหน้า Registry Editor พิมพ์ค้นหา Scanreg และเจอตรงไหนให้ลบที่นั้น รู้สึกว่ายิ่งทิ้งนานก็ยิ่งเกาะหลายจุด

เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache พบว่ามีการสั่ง Start ทุกครั้งเมื่อเปิดเครื่อง เห็นเช่นนี้ก็ทำการลบ ส่วนนี้เสีย

ภาพนี้โชว์ให้เห็นว่าโปรแกรมตัวนี้จะแสดงทุก user ที่ logon เข้าเครื่องและเก็บค่าไว้ที่ startup ทุกครั้งที่เปิดเครื่องใหม่

จากนั้นเครื่องท่านจะกลับมาสงบอีกครั้ง

เท่าที่ผมดูแล้วไม่ใช่ไวรัสคอมพิวเตอร์ แต่เป็นโปรแกรมไม่พึ่งประสงค์หรือที่เรียกว่า malware ที่บอกว่าไม่ใช่ไวรัสคอมพิวเตอร์เนื่องจากยังดูแล้วไม่มีส่วนไหนที่ทำให้เครื่องคอมพิวเตอร์เสียหาย แต่อาจเกิดความลำคาญที่มี ผีโผล่มาทักทุกๆ 20-30 นาที แค่นั้นเอง และไม่ใช่ worm เพราะไม่มีการแพร่เชื้อไปเครื่องอื่น ผมขอเรียกว่า malware หน้าผีแล้วกันนะครับ

วิธีป้องกัน

1. ไม่ควรดาวโหลดโปรแกรมอันใดใน web ที่ไม่น่าเชื่อถือ ดูยากหน่อยนะ เมื่อไม่ทราบ ขอให้เครื่องของท่านมีระบบป้องกันภัยระดับหนึ่งเช่นมี anti-virus , personal Firewall หรือระบบตรวจจับอื่นๆ เสียก่อน และควร Update pacth บน windows บ่อยๆ โดยเฉพาะ patch ของ IE บราวเซอร์ที่เปิด Web นี้แหละครับ

2. เมื่อพบปัญหาเกิดขึ้นที่เครื่องแล้วควรต้องหาสาเหตุอย่างรวดเร็ว ไม่ควรติดแล้วติดเลยไม่แก้ไขเพราะถ้าเป็น worm หรือไวรัสชนิดอื่นที่ทำร้ายเครื่องจนเสียหายไปได้ เช่นเวลาเล่น Internet จะทำให้เครื่องช้ากว่าปกติมาก CPU เต็มบ่อยๆ เป็นต้น

3. ควรมีการ Backup ข้อมูลเป็นระยะๆ

เอาละครับ มาถึงช่วงสุดท้ายแล้ว ก็ขอให้โชคดีสำหรับการเล่น Internet ในยุคปัจจุบัน ซึ่งอุดมไปด้วยภัยคุกคาม แต่หากเรามีความตะหนักในการใช้งาน เราก็ป้องกันตัวเองได้ และอย่างไร ความรู้ของท่านสามารถถ่ายทอดให้กับคนไม่รู้ต่อไป เพื่อสร้างให้สังคม online เราแข็งแรง

ขอทิ้งท้ายอีกนิดครับ สำหรับผู้ดูแล web site ที่ปล่อยไวรัสคอมพิวเตอร์ หรือปล่อยให้ผู้อื่น โพส ข้อความที่ไม่เหมาะสม ควรต้องหันมาดูหน่อยนะครับเพราะว่าในอนาคตอาจมีกฏหมายที่เข้ามาดูแลตรงนี้ และผู้ดูแลระบบควรรับผิดชอบหาก web site ของท่านทำให้ผู้อื่นติดไวรัส หรือทำให้เกิดความเข้าใจผิดในสังคม อาจมีผู้เสียหายเอาฆ้อนมาทุบเครื่อง web server ท่านได้ ในบทความหน้าอาจนำตัวอย่างกฏหมาย Sarbanes-Oxley Act ที่เริ่มพูดถึงเรื่องพวกนี้บ้างแล้วใน อเมริกา

ตรุษจีนนี้ ขอให้มีความสุขทุกคน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

6 กุมภาพันธ์ 2548

Personal Information is Not Secured enough In Cyberspace

ความเป็นส่วนตัวที่ไม่เพียงพอ

ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท

ลองคิดเล่นๆนะครับ ว่าหากมี คนหนึ่งที่อยู่ห่างไกล เฝ้ามองพฤติกรรมหลายๆอย่างของผู้คนผ่าน อินเตอร์เน็ท เขารู้ว่าคุณนิสัยอย่างไร ชอบอะไร มี password อะไร โดยที่เขาไม่รู้จักคุณเลย คุณคิดว่าอย่างไร คุณอาจคิดว่าเป็นไปไม่ได้ใช่ไหมครับ ผมจะแสดงถึงความเป็นไปไม่ได้ ให้คุณอ่านเผื่อว่า จะทำให้ทราบถึงว่าไม่มีความเป็นส่วนตัวในโลกอินเตอร์เน็ท

เครื่องมือมีอยู่ 2 ชิ้นครับ นั้นคือ

  1. การใช้ Program พวก Trojan Horse สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html
  2. การใช้ search engin google

บทความนี้ผมของเน้นที่การใช้ search engine เพื่อค้นหา ความลับหรือเรื่องส่วนตัวผู้อื่น

ทางค้นหาแบบพื้นฐาน เช่นผมต้องการ หานางสาว A นามสกุล B ผมก็ค้นหาตรงๆ จาก google เลยว่า นางสาว A B นี้เป็นใครเคยทำอะไรไว้ หรือ ค้นหาจาก e-mail address เขาเพื่อว่าเขาเคยไป post กระทู้ไหนบ้างในโลกอินเตอร์เน็ท หากมีข้อมูลผมก็ทราบข้อมูลพื้นฐานของนางสาวผู้นี้ได้ เช่น อุปนิสัยในการใช้อินเตอร์เน็ท , รูปภาพ รวมถึงการแสดงความคิดเห็นในเว็ปสาธารณะ

แต่นับจากนี้ผมจะเสนอการค้นหาที่ลึกซึ้งขึ้นไปอีก โดยที่เสนอทั้งหมดนี้ขอให้ระมัดระวังในการใช้งานด้วยนะครับ เพราะว่าทำให้ทราบถึงข้อมูลเจ้าของข้อมูลคงไม่อยากเปิดเผย แต่ข้อมูลเหล่านั้นเปิดเผยได้จากการใช้ google

10 การค้นหาที่อันตรายต่อข้อมูลลับ

1. ดู Network Camera ผู้อื่น โดยค้นหาจาก google

ค้นหาคำว่า “powered by webcamXP” “Pro|Broadcast” พบว่าจะเห็นภาพผู้ใช้ webcamXP หากติดตั้งโปรแกรมนี้แล้วทิ้งไว้ ระวังมีคนแอบดูนะครับ

คนที่ติด webcam ไว้ที่บ้านหรือที่ทำงาน สามารถเข้าไปดูได้โดยใช้ google ค้นหา

2. ค้นหา password จาก google

ค้นหาคำว่า filetype:log inurl:”password.log” จะพบ password.log ที่เกิดขึ้นใน web server

3. ใช้การค้นหา ช่องโหว่ที่เกิดจาก FrontPage /_vti_pvt/services.pwd จะพบว่ามีหลาย web ในโลกที่ยังคงแสดงผลให้เห็นถึง password นั้น ดูภาพข้างล่างนี้

4. ค้นหาค่า error ที่เกิดจากการติดต่อส่งค่าของ database ข้อมูลพวก Shopping Cart ที่เป็นข้อมูลลับก็เปิดเผยออกมา

5. ใช้ google hack google เอง คงได้ยินว่า gmail เป็น mail ที่ google ให้บริการ mail box ให้เนื้อที่ 1G

แต่ผู้สมัครต้องได้รับเชิญจากผู้ที่มีสิทธิเสียก่อน

เราก็ใช้ google นี้แหละค้นหา เพื่อให้เราได้ใช้ gmail ฟรีๆ โดยที่ไม่ต้องรู้จักใครที่สมัคร gmail มาก่อน

ค้นหาคำว่า intext:gmail invite intext:http://gmail.google.com/gmail/a

6. ดู log IDS/Firewall จาก google

ค้นหา คำว่า “SnortSnarf alert page” จะพบ URL ที่ใช้โปรแกรม snortSnarf และเห็น log IDS ที่แจ้งเตือนมาในระบบเครือข่ายของ URL ที่เราค้นหาอยู่

ค้นหาคำว่า “Output produced by SysWatch *” เพื่อดู system watch ของเครื่อง web server

ค้นหาคำว่า “ ACID “by Roman Danyliw” filetype:php ” ดูหน้าจอ IDS Console จากโปรแกรม ACID

7. ค้นหารายงานเครื่องการตรวจสอบระบบเครือข่าย

ค้นหาคำว่า ” Network Host Assessment Report” “Internet Scanner” จะทำให้เราเห็นผลการตรวจสอบของ Product Internet Scanner

ค้นหาคำว่า “This file was generated by Nessus” จะทำให้เราทราบผลการตรวจสอบของโปรแกรมที่ชื่อ Nussus ทำให้เราทราบช่องโหว่ของระบบเครือข่ายที่ Scan ด้วย ง่ายในการเจาะระบบขึ้น

8. ค้นหา speed ของ router เครื่องชาวบ้าน

ค้นคำว่า intitle:”SpeedStream Router Management Interface”

9. เข้าสู่ folder ที่ไม่เปิดเผย ของ Web server IIS โดยค้นหาคำว่า ” Microsoft-IIS/* server at” intitle:index.of จะพบว่า

10. การ Dump Database .sql อันนี้อันตรายมากครับ เพราะข้อมูลที่เก็บใน Database ถือว่าเก็บข้อมูลทั้งลับและไม่ลับ อันที่ลับก็ทำให้เกิดปัญหาได้มากเหมือนกัน การ Dump Database ตัวนี้สามารถทำได้ดีกับคนที่ใช้โปรแกรม phpmyadmin ดูที่ภาพละกันครับ

เอาแค่นี้ก่อนนะครับ เดี๋ยวความลับจากสวรรค์จะหลุดไปสู่ ผู้ไม่หวังดีเสียก่อน

ก่อนจบทุกครั้งผมจะเสนอแนวทางป้องกันเสมอ

ครั้งนี้ ป้องกันลำบากหน่อยครับเพราะ google เป็น search engine ที่ได้รับความนิยมสูง

วิธีหนึ่งที่ทำได้คืออย่าพยายามลงแบบ default เพราะจะติดค่าเริ่มต้น ทำให้สะดวกในการค้นหาได้

และอีกทาง วันหนึ่งในอนาคต google อาจให้สมัครเป็นสมาชิกก่อน ถึงจะค้นหาข้อมูลได้ ก็เป็นได้

มาถึงตรงนี้ผมอาจจะชี้โพรงให้กระรอกแต่ก็ขอให้ผู้ที่อ่านบทความนี้ พึ่งรู้ไว้

ไม่ใช่ ใช้ความรู้ในทางที่ผิดนะครับ

*** บทความนี้มีจุดประสงค์ เขียนไว้เพื่อเป็นกรณีศึกษา การคัดลอกหรือทำไปเผยแพร่ ต้องได้รับการขออนุญาตจากบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

9/01/47

การตรวจจับ Trojan Optix Pro

SRAN Web Application Network Security Monitoring การตรวจจับ Trojan Optix Pro 1.33

อุปกรณในการทดลอง

1. คอมพิวเตอร PC Windows 2000 Pro 1 เครื่อง

2. Lab Top Windows XP Pro 1 เครื่อง

3. SRAN Web Application Network Security Monitoring 1 Box


ภาพประกอบการทดลอง


1. PC Windows 2000 Pro IP 192.168.1.229 เปนเครื่องที่ติด Trojan Optix
2. Laptop Windows XP Pro IP 192.168.1.45 เปนเครื่องที่ควบคุมเครื่องที่ติด Trojan
3. SRAN Web Application Network Security Monitoring IP 192.168.1.209 เปนเครื่องตรวจขอมูลที่ผานเขาออกในระบบเครือขาย

ผลการทดลอง

สราง file optix builder

เพื่อกำหนด server port และคา config เพื่อใหเหยื่อดาวโหลด และเปด file ขึ้น



fileที่สรางชื่อ snare เปน file media player ซึ่งเปนการหลอกใหเหยื่อติดกับไดงาย

กำหนดคาใหผูที่ติด Trojan optix ไป connect ที่ server irc โดยในที่นี้ กำหนดการติดตอไปที่ irc.sran.net port 7000


กำหนดใหผูติด optix เขาหอง #sran

เมื่อเปดโปรแกรม TCPview ในเครื่องที่ติด optix จะพบวามีการสราง file ชื่อ msiexec16.exe และ file นี้เปด port 9669 และทำการ connect ไปที่ server irc.sran.net


พบวาเครื่องที่ติด Trojan Optix จะทำการ join เขา irc.sran.net หอง sran และใช nick ที่ทำการสุมขึ้นโดยในที่ใช nick ชื่อ nvhhujytjbc สวนผูที่สราง Trojan เขามาหอง sran พรอมพิมพกลางหองวา sran ซึ่งเปนคาใหบอทบอกสถานภาพเครื่องของตนเพื่อทำการ remote เขาไป โดยสวนแรกจะบอก IP address ในที่เปน IP 192.168.1.229 ชื่อ Computer เปน GLOBALTE-92BTBE userเครื่อง Administrator user ที่ใชในการ remote ชื่อ snare port 9669 password ในการ remote คือ yahoo หากเครื่องใดมี webcam ที่เปดก็สามารถมองเห็นผูใชงานไดทันที

เมื่อเปด โปรแกรม Ethereal ซึ่งเปน sniffer ในเครื่องผูติด Trojan optix จะพบวามีการสงขอมูลสำหรับเครื่อง client ที่มี โปรแกรม optix client ไวสำหรับ remote และในคา payload มี identify header optix pro v1.33 อยู

ในเครื่อง client สามารถพิมพ command ไดเหมือนนั่งอยูในเครื่องนั้นเอง โดยในที่เครื่อง remote พิมพ command netstat –a จากเครื่องที่ติด Trojan optix


สามารถรูถึงเครื่องที่ติด Trojan optix วาตอนนี้เปดโปรแกรมอะไรอยูบางในเครื่องจาก Optix pro client


สามารถดูคา Computer Information ของเครื่องที่ติด Trojan optix ได ผานหนาจอ optix pro client

สามารถ capture หนาจอเครื่องที่ติด Trojan Optix ได

ผลการดักจับ packet ที่เกิดขึ้นจากตัว SRAN Web Application Security Monitoring พบวามีการสงคาระหวางเครื่อง IP 192.168.1.229 ซึ่งติด Trojan Optix สงคาไปที่ server irc.sran.net โดยมีคา Payload เปน PING : 4B37FB57 ตลอดเวลา

นนทวรรธนะ สาระมาน
23/10/47

บรรยาย Thailand IT Security ครั้งที่ 1

 

บรรยาย Thailand IT Security ครั้งที่ 1  

ได้ทำการสาธิตการป้องกันการโจมตีทางระบบเครือข่ายด้วย NIPS (Network Prevention Intrusion System) ในงานคนสนใจมากเพราะถือว่าเป็นเทคนิคใหม่ (ในสมัยนั้น) เนื่องจากไม่ต้องมีค่า IP Address เอาอุปกรณ์ว่าขวางเพื่อป้องกันระบบเครือข่าย
.
คนดูอย่างล้นหล่าม นับว่าเป็นก้าวแรกในการทำ Product SRAN ในเวลาต่อมา ส่วนงานนี้ได้กลายร่างเป็น CDIC จนเป็นงานใหญ่ประจำปี ในปีถัดๆมาเช่นกัน


“ชีวิตเราทุกคนล้วนเป็นผู้สร้างประวัติศาสตร์ แม้มันจะเป็นเพียงการเคลื่อนไหวเล็กๆ ไม่ได้โด่งดังมันก็เป็นประวัติศาสตร์ ที่ผ่านเข้ามาและก็ไป จงพอใจในปัจจุบันที่เป็นอยู่”