Saturday, October 23

การตรวจจับ Trojan Optix Pro

SRAN Web Application Network Security Monitoring การตรวจจับ Trojan Optix Pro 1.33

อุปกรณในการทดลอง

1. คอมพิวเตอร PC Windows 2000 Pro 1 เครื่อง

2. Lab Top Windows XP Pro 1 เครื่อง

3. SRAN Web Application Network Security Monitoring 1 Box


ภาพประกอบการทดลอง


1. PC Windows 2000 Pro IP 192.168.1.229 เปนเครื่องที่ติด Trojan Optix
2. Laptop Windows XP Pro IP 192.168.1.45 เปนเครื่องที่ควบคุมเครื่องที่ติด Trojan
3. SRAN Web Application Network Security Monitoring IP 192.168.1.209 เปนเครื่องตรวจขอมูลที่ผานเขาออกในระบบเครือขาย

ผลการทดลอง

สราง file optix builder

เพื่อกำหนด server port และคา config เพื่อใหเหยื่อดาวโหลด และเปด file ขึ้น



fileที่สรางชื่อ snare เปน file media player ซึ่งเปนการหลอกใหเหยื่อติดกับไดงาย

กำหนดคาใหผูที่ติด Trojan optix ไป connect ที่ server irc โดยในที่นี้ กำหนดการติดตอไปที่ irc.sran.net port 7000



กำหนดใหผูติด optix เขาหอง #sran


เมื่อเปดโปรแกรม TCPview ในเครื่องที่ติด optix จะพบวามีการสราง file ชื่อ msiexec16.exe และ file นี้เปด port 9669 และทำการ connect ไปที่ server irc.sran.net




พบวาเครื่องที่ติด Trojan Optix จะทำการ join เขา irc.sran.net หอง sran และใช nick ที่ทำการสุมขึ้นโดยในที่ใช nick ชื่อ nvhhujytjbc สวนผูที่สราง Trojan เขามาหอง sran พรอมพิมพกลางหองวา sran ซึ่งเปนคาใหบอทบอกสถานภาพเครื่องของตนเพื่อทำการ remote เขาไป โดยสวนแรกจะบอก IP address ในที่เปน IP 192.168.1.229 ชื่อ Computer เปน GLOBALTE-92BTBE userเครื่อง Administrator user ที่ใชในการ remote ชื่อ snare port 9669 password ในการ remote คือ yahoo หากเครื่องใดมี webcam ที่เปดก็สามารถมองเห็นผูใชงานไดทันที


เมื่อเปด โปรแกรม Ethereal ซึ่งเปน sniffer ในเครื่องผูติด Trojan optix จะพบวามีการสงขอมูลสำหรับเครื่อง client ที่มี โปรแกรม optix client ไวสำหรับ remote และในคา payload มี identify header optix pro v1.33 อยู



ในเครื่อง client สามารถพิมพ command ไดเหมือนนั่งอยูในเครื่องนั้นเอง โดยในที่เครื่อง remote พิมพ command netstat –a จากเครื่องที่ติด Trojan optix

สามารถรูถึงเครื่องที่ติด Trojan optix วาตอนนี้เปดโปรแกรมอะไรอยูบางในเครื่องจาก Optix pro client




สามารถดูคา Computer Information ของเครื่องที่ติด Trojan optix ได ผานหนาจอ optix pro client





สามารถ capture หนาจอเครื่องที่ติด Trojan Optix ได




ผลการดักจับ packet ที่เกิดขึ้นจากตัว SRAN Web Application Security Monitoring พบวามีการสงคาระหวางเครื่อง IP 192.168.1.229 ซึ่งติด Trojan Optix สงคาไปที่ server irc.sran.net โดยมีคา Payload เปน PING : 4B37FB57 ตลอดเวลา


นนทวรรธนะ สาระมาน
23/10/47