Monday, April 14

เตือนภัยเรื่อง DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน

 DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน  เรื่องใกล้ตัวที่คนไทยถูกเปลี่ยนเส้นทางในการเข้าถึงข้อมูลทางอินเทอร์เน็ตจนถึงขั้นตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์กว่าแสนเครื่อง เรื่องเก่าที่จำเป็นต้องขยายความเพื่อความตะหนักถึงภัยคุกคามที่อาจเกิดขึ้นกับตัวคุณเองได้
  
บทความนี้ขอแบ่งเป็น 3 หัวข้อ คือ
หัวข้อที่ 1 การสำรวจและสถิติข้อมูล (Internet Discovery and Census)
หัวข้อที่ 2 พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
หัวข้อที่ 3 การป้องกัน (Protection)

1. การสำรวจและสถิติข้อมูล (Internet Discovery and Census)

เมื่อเดือนมกราคม 2557 ที่ผ่านมาได้มีการเผยแพร่ช่องโหว่ของอุปกรณ์เราเตอร์โดยสามารถเข้าถึงอุปกรณ์ได้และทำให้นักเจาะระบบสามารถเข้าไปควบคุมอุปกรณ์เราเตอร์ตามบ้านและทำการเปลี่ยนเส้นทางการเรียกข้อมูลโดยเปลี่ยนค่า DNS ในอุปกรณ์เราเตอร์ที่บ้านเรา ซึ่งส่งผลกระทบต่อผู้ใช้งานตามบ้าน (User) โดยตรง ปัญหานี้ถึงแม้ในปัจจุบันผู้ให้บริการได้มีการเขียนสคิปเพื่อเปลี่ยน DNS แก้กลับคืนได้ผ่านหลากหลายวิธีที่สามารถทำได้ผ่านผู้ให้บริการอินเทอร์เน็ต (ISP) แต่ถึงอย่างไรก็ไม่สามารถแก้ไขเครื่องเราเตอร์ที่มีช่องโหว่ได้ทั้งหมด โดยทั้งนี้ผู้เขียนจะขอรวบรวมสถิติที่ทางทีมงาน SRAN ได้สำรวจผ่านสคิปบอทที่จัดทำขึ้นเฉพาะเพื่อประเมินค่าทางสถิติบทวิเคราะห์รวมถึงวิธีการป้องกันต่อไปนี้  
1.1 เครื่องมือในการสำรวจ
เป็นการพัฒนาโปรแกรมขึ้นมาเพื่อสำรวจข้อมูลโดยเฉพาะ และใช้การทำ Log Analysis เพื่อทำการวิเคราะห์ข้อมูลที่ได้จากสคิปบอท



 ภาพ หน้าจอระบบสำรวจ (Internet Census) เมื่อนำเข้าสู่ระบบ Log Analysis ทำการสำรวจข้อมูล ASN จำนวนกว่า 4 ล้านค่าไอพีตลอดระยะเวลา 2 เดือน


ภาพ หน้าจอบริหารจัดการสคิปบอทที่ทำการสำรวจข้อมูลความเสี่ยงของเราเตอร์เพื่อ บอกสถานะการทำงาน ตัวเลข Current Discovery คือค่าจำนวนไอพีที่เหลือจากการตั้งค่าให้บอทตรวจสอบซึ่งสามารถเพิ่มเครื่อ ข่ายให้ตรวจสอบเพิ่มเติมได้โดยใส่ค่า Prefix IP ที่มีอยู่ใน ASN

สคิปบอทที่จัดทำขึ้นเฉพาะนั้นทำการสำรวจผ่านเทคนิคตรวจสอบการ HTTP port 80 ลักษณะตรวจ Basic Authentication และ HTTP Header โดยมีลักษณะเหมือน Crawler เช่นเดียวกับ google และ shodanhq โดยเราตั้งชื่อระบบสำรวจนี้ว่า "SRAN Internet Exposed" โดยสำรวจ 2 ครั้งต่อ 1 ค่า ASN โดยมีการระบุค่า MAC Address ที่อุปกรณ์เราเตอร์เพื่อไม่เกิดการซ้ำของค่าข้อมูล
โดยทำการตรวจสอบข้อมูลลักษณะช่องโหว่ของอุปกรณ์เราเตอร์ (Router Fingerprint) ที่พบว่ามีช่องโหว่ได้แก่ ช่องโหว่ Exploit ตาม CVE ได้แก่ d-link,tp-link,zyxel และ Huawai , rom-0 และ default password  โดยผลลัพธ์คือ

1.2 ระยะเวลา 2 เดือน คือเดือน กุมภาพันธ์ - เมษายน 2557 ทำการสำรวจค่า IPv4 ทั้งหมดจาก ASN ทั้งหมด 7 ตัวที่คิดว่าอาจมีผลกระทบต่อผู้ใช้งานอินเทอร์เน็ตบ้าน

1.3 ผลลัพธ์จากการสำรวจจัดทำเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน
ซึ่งมีทั้งค่า IPv4 ที่ใช้สำรวจทั้งหมดจำนวน 4,704,557

ค่าการสำรวจถึงวันที่ 13 เมษายน 2557 พบช่องโหว่ที่พบจำนวน  616,294
ซึ่งคิดเครื่องที่มีความเสี่ยง 13.09% 

โดยสำรวจจากค่า ASN ดังนี้

(1) AS9737 จากจำนวน IPv4 ทั้งหมดจำนวน 1,238,528  พบช่องโหว่ 427,405 เครื่อง ซึ่งพบว่าเป็น Default password จากผู้ให้บริการอินเทอร์เน็ต ถึง 241,372 เครื่อง 

(2) AS45758 จากจำนวน IPv4 ทั้งหมดจำนวน 1,059,328 พบช่องโหว่ 149,381 เครื่อง

(3) AS23969 จากจำนวน IPv4 ทั้งหมดจำนวน 71,680 พบช่องโหว่ 23,547 เครื่อง


(4) AS17552 จากจำนวน IPv4 ทั้งหมด 1,594,112 พบช่องโหว่ 14,545 เครื่อง

(5) AS131090 จากจำนวน IPv4 ทั้งหมดจำนวน 90,112 พบช่องโหว่ 1,391 เครื่อง

(6) AS45455 จากจำนวน IPv4 ทั้งหมดจำนวน 7,936 พบช่องโหว่ 14 เครื่อง

(7) AS7470 : จากจำนวน IPv4 ทั้งหมด 642,861 พบช่องโหว่ 11 เครื่อง

หมายเหตุ : จำนวน IPv4 ทั้งหมดไม่ได้หมายถึงว่าจะมีเครื่องตามนั้น แต่ที่พบช่องโหว่เป็นไปตามจำนวนเครื่องจริงเนื่องจากสคิปบอทที่ทำขึ้นตรวจค่า MAC Address เป็นหลัก



2. พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
 
2.1 ค่า DNS : ผลการสำรวจพบว่าเราเตอร์ที่ถูกเข้าถึงข้อูลได้นั้นมีการถูกเปลี่ยนค่า DNS ดังนี้




ภาพค่า DNS ที่ถูกวิเคราะห์จากโปรแกรม Log Analysis ที่เขียนขึ้นเฉพาะโดยทีมงาน SRAN 10 อันดับที่มีการเปลี่ยนค่า

จากข้อมูลจะพบว่าเราเตอร์ที่ถูกเข้าถึงข้อมูลได้มีการตั้งค่า DNS ไอพี 203.113.7.130 , 110.164.252.222 , 203.113.5.130 , 110.164.252.223 เป็นค่า DNS ที่มาจากผู้ให้บริการซึ่งเป็นค่ามาตรฐาน ส่วนค่า 8.8.8.8 เป็นค่า DNS จาก google ที่เปิดบริการฟรี ซึ่งค่าไอพีเหล่านี้มีความเสี่ยงต่ำที่ถูกการเข้าควบคุมเส้นทางการจราจรทางข้อมูล แต่ที่มีความเสี่ยงคือ

อันดับ 1 DNS จากไอพี : 68.168.98.196   มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 92,553 เครื่อง
อันดับ 2 DNS จากไอพี : 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
อันดับ 3 DNS จากไอพี : 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง
อันดับ 4 DNS จากไอพี :216.146.35.35 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 28,648 เครื่อง
อันดับ 5 DNS จากไอพี : 50.63.128.147 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าถึง 11,852 เครื่อง
และอื่นๆ ได้แก่ ไอพี 69.85.88.11 จำนวน 1,741 เครื่อง และ 5.175.147.98  จำนวน 1,379 เครื่อง ที่ถูกเปลี่ยนค่า DNS ที่ตัวอุปกรณ์เราเตอร์

2.2 วิเคราะห์
DNS ที่มีโอกาสตกเป็นเหยื่อและความเสี่ยงในการใช้งานอินเทอร์เน็ต 3 อันดับแรก

2.2.1 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 68.168.98.196 ถูกเปลี่ยนจำนวนทั้งหมด 92,553 เครื่อง
เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 87,613 เครื่อง รองลงมาคือ AS23969 จำนวน 4,133 และ AS17552 จำนวน 420 เครื่อง และ AS45758 พบ 191 เครื่อง และ AS131090 จำนวน 152 เครื่อง

ประวัติของไอพี 68.168.98.196 : พบว่าหากใช้การทำ passive DNS จะได้ค่าโดเมนคือ
ถูกพบเมื่อ วันที่ 18 ตุลาคม 2556 คือโดเมน jiopjieraee.info และ kolteranka.info
ซึ่งเคยมีประวัติเป็นโดเมนในการปล่อยไวรัสคอมพิวเตอร์

ทำการวิเคราะห์ค่า Hostname ภายใต้ไอพีแอดเดรสนี้ ผลลัพธ์ คือ

(1) jiopjieraee.info






(2) kolteranka.info


โดยทั้ง 2 Hostname นี้มีการเชื่อมโยงของเส้นทางข้อมูลเหมือนกัน


สรุปความเชื่อมโยงค่า Hostname ที่ต้องสงสัยกับการ
jiopjieraee.info และ kolteranka.info มีค่าไอพี  68.168.98.196 ตั้งอยู่ที่ Lenexa, United States
ใช้ Name Server ตัวที่ 1 ชื่อ ns1.regway.com มีค่าไอพี   176.74.216.129 ตั้งอยู่ที่ Czech Republi
ใช้ Name Server ตัวที่ 2 ชื่อ ns2.regway.com มีค่าไอพี   5.153.15.74 และ 159.253.133.210 ตั้งอยู่ที่ Netherlands


 ภาพแผนที่ประเทศที่เกี่ยวข้องทั้ง Hostname , IP Address และ Name server ที่เป็นเครื่องแม่ข่ายในการที่เปลี่ยนเส้นทางข้อมูล (ซึ่งประเทศเหล่านี้อาจไม่เกี่ยวกับการกระทำในครั้งนี้)

  (3) ประวัติไอพีและโดเมนข้อมูลจาก Virustotal ได้ข้อมูลดังนี้

 เคยพบว่ามีไฟล์ไวรัสจากโดเมนแนมภายใต้ไอพีนี้

File identification
MD5 1ff2fd35bd045844dd843648b6ca45c3
SHA1 30ea5fdce20438b83d9bb07bfff3a5372d306d68
SHA256 354c72689d66eef54d793961fade71eb5f39fa2a51206ce728ad1368e753dbe3
ssdeep
6144:C17zBIWl/4Fj5OpVP9L0/1zOMR0blqGp5F9:YmW2j8pVV0V2BqGzF9
File size 296.0 KB ( 303120 bytes )
File type Win32 EXE
Magic literal
PE32 executable for MS Windows (GUI) Intel 80386 32-bit










TrIDWin32 Executable MS Visual C++ (generic) (67.3%)
Win32 Dynamic Link Library (generic) (14.2%)
Win32 Executable (generic) (9.7%)
Generic Win/DOS Executable (4.3%)
DOS Executable Generic (4.3%)
Tags
peexe
 VirusTotal metadata
First submission 2013-10-26 20:33:55 UTC ( 5 months, 2 weeks ago )
Last submission 2013-11-03 12:54:34 UTC ( 5 months, 1 week ago )

File namesvt-upload-Jdaak
gausvdnlbhmasjdih4i5msdfvnasidbfsdf.exe
QEdit.dll

(4) ข้อมูลทางเทคนิค เมื่อทำการตรวจสอบจากเครื่องมือแสกนพอร์ตและตรวจลักษณะเครื่องแม่ข่าย (OS and Services Fingerprint) ได้ผลลัพธ์ดังนี้

Scanning 68-168-98-196.dedicated.codero.net (68.168.98.196)
ไอพีดังกล่าวตั้งอยู่ประเทศสหรัฐอเมริกา ภายใต้ AS10316 CODERO-AS - Codero,US เป็น Dedicate Server ซึ่งใครก็สามารถเช่าเครื่องแม่ข่ายนี้ได้

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 32:35:a6:b2:2d:61:47:71:f2:b5:3b:5a:6e:58:e0:05 (DSA)
|_2048 d6:8e:d0:93:1b:f8:12:54:cb:4b:58:2d:ed:8f:cf:86 (RSA)
53/tcp open  domain
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.9
Uptime guess: 8.881 days (since Sat Apr  5 19:12:49 2014)


2.2.2 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
เมื่อตรวจสอบพบว่าเป็นบริการฟรี DNS ของ ULTRADNS - NeuStar, Inc.,US ซึ่ง Symantec Corporation มาใช้

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 53,918 เครื่อง รองลงมา AS45758 พบ 3,553 เครื่องคือ AS23969 จำนวน 3,239 และ AS17552 จำนวน 107 เครื่อง และ AS131090 จำนวน 54 เครื่อง
 
เมื่อตรวจประวัติการแพร่เชื้อไฟล์ไวรัสที่เคยเกิดจากไอพีนี้ จาก Virustotal
จากไอพี  198.153.194.1 พบว่ามีรายการติดเชื้ออยู่จำนวนมาก ดังนี้

Latest files submitted to VirusTotal that are detected by one or more antivirus solutions and communicate with the IP address provided when executed in a sandboxed environment.

ซึ่งส่วนนี้คงต้องวิเคราะห์กันอีกทีว่าทำไมทาง Symantec จึงมีการเปลี่ยนค่า DNS เราเตอร์ในประเทศไทยด้วย อาจเป็นเพื่อการทดลอง วิจัย (Honeypot) หรือเป็นการป้องกันภัยให้กับผู้ใช้งานอินเทอร์เน็ตก็เป็นไปได้ 

2.2.3 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้


ซึ่งจากข้อมูลพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 42,268 เครื่อง รองลงมาคือ AS23969  จำนวน 2,441 และ AS45758 พบ 2,434 เครื่อง และ AS17552 จำนวน 700 เครื่อง และ AS131090 จำนวน 66 เครื่อง

ตรวจดูค่า whois ได้ผลลัพธ์คือ

Host script results:
| asn-query: 
| BGP: 74.82.192.0/19 | Country: CA
|   Origin AS: 53612 - CARAT-NETWORKS - Carat Networks Inc,CA
|_    Peer AS: 174 13768
| whois: Record found at whois.arin.net
| netrange: 74.82.192.0 - 74.82.223.255
| netname: CLEARANCE-RACK
| orgname: Carat Networks Inc
| orgid: CLEAR-73
| country: CA stateprov: ON
| 
| orgtechname: Fromm, James
|_orgtechemail: fromm@caratnetworks.com
|_whois-domain: You should provide a domain name.
 
เคยมีประวัติติดแพร่เชื้อไวรัส พบเมื่อวันที่ 30 มีนาคม 2557  
รายละเอียดที่  https://www.virustotal.com/en/ip-address/74.82.207.26/information/

 2.3 แล้วผู้ใช้งานจะกระทบอะไรหากมีการเปลี่ยนค่า DNS ไปเป็นไอพีนี้
ผลกระทบคือบางเว็บไซต์อาจถูกเปลี่ยนเส้นทางเป็น Phishing site โดยเฉพาะเว็บที่มีข้อมูลส่วนบุคคล , เกี่ยวกับการทำธุรกรรมทางอินเทอร์เน็ต

โดยเฉพาะจะทำการให้มีการหลอกให้ดาวโหลดโปรแกรม Adobe Flash Player Update ซึ่งในโปรแกรมที่ทำการถูกบังคับให้ดาวโหลดนี้จะมีการฝั่ง Spyware ทั้งทีทำการเก็บข้อมูล Password รวมไปถึง Key logger ซึ่งอาจเกิดขึ้นได้


ตัวอย่างโปรแกรม Adobe Flash Player ปลอมที่ติดมัลแวร์ฝั่งในเครื่องคอมพิวเตอร์
ซึ่งไอพีที่สรุปมาให้นั้นล้วนแต่อันตรายและส่งผลให้เครื่องคอมพิวเตอร์ที่อยู่ภายใต้เราเตอร์ที่มีช่องโหว่นี้จำนวนกว่าแสนเครื่องเราเตอร์



3. วิธีการป้องกัน (Protection)

3.1 การป้องกันที่บ้านของเราเอง
3.1.1 ทำการทดสอบช่องโหว่เราเตอร์ด้วยตนเอง
เพื่ออำนวยความสะดวกสำหรับผู้ใช้งานตามบ้านทางทีมงาน SRAN ได้จัดทำระบบตรวจสอบช่องโหว่เบื้องต้นที่  http://sran.net/check  

 ภาพตัวอย่างการเข้าถึงหน้าเพจ http://sran.net/check เพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้นที่เราเตอร์ที่บ้านโดยในค่าจะบอกถึง IP Address คือไอพีที่ได้รับจากผู้ให้บริการที่เป็น Public IP ค่า Hostname ค่า ASN ของผู้ให้บริการ ชื่อ ISP ประเทศ และค่า Header ของ HTTP 
เมื่อคลิกตรวจสอบผลลัพธ์มี 2 ค่าคือเราเตอร์ไม่มีความเสี่ยง และ มีความเสี่ยง



หากพบว่ามีความเสี่ยงจะขึ้นข้อความเตือนเพื่อทำการแก้ไขให้ปลอดภัยขึ้น

3.1.2 ทำการอัพเดทค่า Firmware ของ Router (หากอัพเดทได้และไม่กระทบ)
3.1.3 หากไม่สามารถทำได้ตามข้อ 3.2 ให้ทำการปิดการติดต่อข้อมูลผ่าน HTTP 80 หรือพอร์ตอื่นๆ ไม่ให้พบค่า IP Publice หรือ IP WANซึ่งเราเตอร์บางรุ่นสามารถ config ค่าได้ผ่านเมนูการป้องกันภัย (Security) แต่วิธีนี้จะทำให้เราไม่สามารถ config router ได้ผ่านอินเทอร์เน็ต
อ่านวิธีป้องกันเพิ่มเติมได้ที่ https://www.thaicert.or.th/alerts/user/2014/al2014us001.html


3.2 การป้องกันที่ฝั่งผู้ให้บริการอินเทอร์เน็ต 
3.2.1 ไม่ปล่อยให้เกิดค่า Default  ทั้งรหัสผ่าน และ ค่าปรับปรุงระบบเราเตอร์  หรือควรแนะนำลูกค้าหลังจากติดตั้งอุปกรณ์เราเตอร์ให้มีการเปลี่ยนรหัสผ่านไม่ให้ตรงตามโรงงานหรือค่าเริ่มต้นของผู้ให้บริการอินเทอร์เน็ตให้มา
3.2.2 Firmware ที่มีช่องโหว่ ควรมีการเรียกคืนหรือเปลี่ยนเครื่องเราเตอร์เพื่อป้องกันไม่ให้ผู้ใช้งานตามบ้านที่อาจไม่เข้าใจตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์
3.2.3 หากไม่สามารถทำได้ตามข้อ 3.2.2 ควรจัดหาสคิปหรือบอทที่สามารถสำรวจข้อมูล (Internet Census) เพื่อเปลี่ยนค่า DNS กลับสู่ค่าปกติที่ได้จากผู้ให้บริการอินเทอร์เน็ต เพราะเป็นช่องทางหนึ่งที่จะทำให้ผู้ใช้งานตามบ้านไม่ตกเป็นเหยื่อของเครือข่ายอาชญากรรมทางไซเบอร์



14/04/57
Nontawattana Saraman
SRAN Dev Team

ข้อมูลและเขียนโดย นนทวรรธนะ  สาระมาน  ทีมพัฒนา SRAN
ขอสงวนสิทธิข้อมูลในบทความนี้หากต้องการนำเผยแพร่ควรอ้างอิงแหล่งที่มา
แหล่งข้อมูลอ้างอิง
https://www.robtex.com/
https://www.virustotal.com/
http://he.net

No comments: