Pages

วันอังคาร, มิถุนายน 20

โค้ดบรรทัดสุดท้าย : The last Code ตอนที่ 1

DIGITAL HOLE : ดิจิทัลโฮลส์

ตอน "โค้ดบรรทัดสุดท้าย : The last Code"


12 มีนาคม 2560 คุณพลาดอีกแล้วนะ คุณนนท์
ระบบเฝ้าระวังบนเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) ตรวจพฤติกรรมการเข้าถึงข้อมูล ได้พบกลุ่มไอพีที่ไม่ซ้ำเข้ามาปะทะ Server ของเรา แบบพฤติกรรมเดิมๆ โดยสุ่มรหัสผ่าน (Brute Force)เข้าที่ port สำคัญที่เราเปิด NAT ไว้ ไปที่ Server ฐานข้อมูลของระบบสำรวจอุปกรณ์ (Devices) เพื่อออกรายงานข้อมูลเชิงลึกของรัฐบาล

ถึงแม้จากรายงานยังไม่พบว่าถูกแฮกเข้าไปเพราะไอพีเหล่านั้นไม่มีสิทธิ แต่เราก็กังวลอยู่เนื่องจาก Server ของเรานี้ไม่ได้เปิด port มาตรฐาน และเต็มไปด้วยระบบรักษาความปลอดภัยอีกทั้งเรายังปิดการไต่ถึงของ bot ค้นหาทุกชนิด ไม่ว่าจะเป็น Crawler จากอเมริกา รัสเซีย จีน และทางยุโรป ก็ไม่สามารถเข้าถึงได้

แต่ 2 วันมานี้พบสิ่งผิดปกติดั่งกล่าว ซึ่งตั้งแต่เกิดโครงการนี้เรายังไม่เคยพบเหตุการณ์นี้เกิดขึ้น
มันเกิดหลังจากที่ทีมคุณ GBT (Ghostnet Buster Team) ได้รับภาระกิจ "Target exploit" ล้วงข้อมูล email กลุ่มบุคคลสำคัญของรัฐบาล
พจน์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยกลางรัฐบาล กล่าว

เปล่าพลาดเลยครับ หากมองให้ดี ไอพีกลุ่มที่เห็นใน Log files นั้นเป็นการ Spoof ทั้งสิ้น คุณแดนเขาแจ้งผมให้ทราบแล้วตั้งแต่เมื่อวาน
แต่ทางผมต้องการรู้ว่า "ศัตรูที่แท้จริงเราเป็นใครกันแน่ ?" นนท์ตอบอย่างมั่นใจ
แดน พูดขึ้นแทรกระหว่างการสนทนาระหว่างพจน์ และนนท์ ว่า "ท่านครับ Crawler ที่เราส่งไปใน Deepweb พบเบาะแสการสร้างอาวุธไซเบอร์ชิ้นใหม่ และมันอาจจะกลายเป็น worm ระบาดในไม่ช้า"

5 กุมพาพันธ์ 2560 23:35 น.
ชั้น 48 คอนโดสยามซิตี้ สาธร ในห้อง 4812 ดูราวไม่ได้ทำความสะอาดหลายเดือน
วุฒ อดีตกลุ่ม Mw0rm ซึ่งเป็นคนไทยเพียงคนเดียวที่เข้ากลุ่มนี้ได้
งานหลักของวุฒ คือรับทำ Pen-test เป็นมือปืนรับจ้าง ถึงแม้เขาแทบจะไม่มี Certificate ในด้านนี้เลย แต่ในวงการรู้กันดีว่า เขาสามารถเขียน exploit เพื่อยิงระบบได้ และเป็นเด็กรุ่นใหม่ที่มีฝีมือ

วุฒ กำลัง Skyp คุยกับเพื่อนชาวฝรั่งเศส ชื่อ ลีออง เขาบอกว่าสิ่งที่เขาค้นพบยิ่งใหญ่มาก มันยังคงเป็น 0day อยู่
ลีออง ต้องการหาคนเขียน exploit และคนที่เขาเลือกคือวุฒ
เมื่อเขียนเสร็จแล้ว ลีออง จะนำ exploit ตัวนี้ขายในตลาดมืด Darknet
"นายค้นพบช่องโหว่นี้ได้ไง ?" วุฒถาม
ลีอองตอบแบบไม่ปิดบัง เขาได้จากการแลกเปลี่ยน email บุคคล ที่ถูก APT (Advanced Persistent Threat ) ใน datknet นี้แหละ และบังเอิญพบเข้าในไฟล์แนบ คิดว่าเป็นทีมที่ทำงานให้กับ NSA หน่วยงานด้านความมั่นคงของสหรัฐอเมริกา เพราะมีร่องรอยการรับส่งเมล์ไปที่ Booz Allen Hamilton ถึงแม้จะมีการเข้ารหัสไฟล์ไว้ แต่ไม่พ้น quantum brute force ที่ Cloud Computing ของฉันได้ถอดรหัสได้
ไฟล์แนบดังกล่าว เหมือนเขียนเพื่อเข้าถึง SMB (Server Message Block) ที่เป็น services หนึ่งของระบบปฏิบัติการ Windows เพื่อใช้สำหรับการแชร์ไฟล์ แต่เหมือนว่า code ยังไม่สมบูรณ์ ส่วนนี้มันรั่วหลุดมา คิดว่าตัวที่สมบูรณ์น่าจะมีการใช้งานจริงไปแล้ว
เท่าที่ดูยังไม่มีขาย exploit ตัวนี้ในตลาดมืด นายลองเขียนต่อสิ
แล้วเรามาแบ่งกัน ฉันตั้งราคาไว้ 50 bitcoin แบ่งครึ่งๆ กัน นายไป 25 bitcoin ลีออง กล่าว เมื่อฉันได้ขาย Exploit นี้แล้ว ฉันและพวกนายทุนใต้ดิน จะเล่นเกมส์ปั่น Bitcoin ให้อัตราแลกเปลี่ยนดันไปสูงกว่าราคาที่เป็นอยู่ตอนนี้ สัก 2 - 3 เท่า คงใช้เวลา 3-4 เดือนต่อจากที่ปล่อย Exploit นี้ นายเตรียมซื้ออัตราแลกเปลี่ยน Bitcoin ได้ หากเป็นไปตามแผนนี้ นายจะได้ 2 เด้ง เด้งสุดท้ายอาจจะได้มากกว่าที่ขาย Exploit ใน Darknet

วุฒ นั่งเทียบราคา bitcoin ตลาดแลกเปลี่ยนเงินตราเทียบเป็นเงินไทยในตอนนั้นคือ 89,500 บาท x 25 ได้ประมาณ 2 ล้านกว่าบาท อืม ... ครุ่นคิดอยู่พัก
เพียงจะอ้าปากตอบ ลีออง ก็เสนอว่า "ถ้านายเขียนไว ไม่เกิน 1 อาทิตย์ เมื่อเขียนเสร็จนายจะได้รับเงินทันที"
วุฒ ตอบว่า ฉันขอดู โค้ดที่นายได้รับมาจาก NSA ก่อน จะให้คำตอบ เช้านี้

ในอดีต วุฒ และ ลีออง เคยร่วมงานกันมาก่อน ในการขาย account yahoo email และ twitter หลังได้รับผลกระทบ SSL heartbleed ในปี 2014 ช่วงนั้นทำให้ทั้งคู่สนิทสนมกัน ขาย account ไปได้หลายตังในตลาดมืด (Darknet Market)

ลีออง ตอบ "OK ตามนั้นนะ" พร้อม ส่งไฟล์ โค้ดช่องโหว่ SMB ผ่าน Telegram ใน account ที่พร้อมใช้และทิ้งไป ผ่าน 10minutemail โดยใช้ Anonymous ตลอดทุกเส้นทาง ผ่าน I2P
พร้อมส่งรหัสผ่านเพื่อเข้าถึงไฟล์ผ่าน link pastebin ตั้งอายุเพียง 2 ชั่วโมงข้อความจะหายไป ทั้ง 2 ส่วนดูเหมือนไม่เชื่อมโยงกันเลย
"แน่มากนะ ที่กล้าใช้ สาธารณะล้วน ทั้ง Telegram และ pastebin" วุฒตอบ
ลีออง หัวเราะแล้วตอบว่า
"ถ้ามันจะกลายเป็นเรื่องใหญ่ จะได้ให้ตำรวจไซเบอร์มีงานที่ท้าทายทำบ้าง"
เพราะปัจจุบันมีแต่คดีด่าพ่อล้อแม่ ไม่ท้าทายนักนะ


14 กุมภาพันธ์ 2560 19:30 น. ร้านอาหารแถวดอนเมือง วุฒ นั่งกินข้าวกับเพื่อนอีก 2 คน คือ พุก ทำงานที่โรงพยาบาลสยามเฮล (ถ้าจำได้ในบท Hacker Here? พุกเป็นตัวละครหนึ่ง) และ ดา ดาเป็น IT Audit บริษัทใน Big 4 ล่าสุด ดา จับงานพวก Audit code ตรวจหาความเสี่ยงจากการเขียนโปรแกรม ด้วยประสบการณ์ ที่มีในงาน Audit นับสิบปี และเคยตรวจสอบระดับ Enterprise มาแล้วหลายงาน ตลอดจนเป็นคนละเอียด ใจเย็น ทำงานผิดพลาดน้อย จึงทำให้ดาถูกโปรโมทจากบริษัท
วุฒ และ ดา กำลังจีบๆ กันอยู่ ดาเป็นผู้หญิงเรียบร้อย บ้านรวยมาก เป็นคุณหนูของบ้าน คุณพ่อและคุณแม่ห่วงมาก แต่ดาเป็นคนชอบทำงานเป็นคนใฝ่หาความรู้และชอบพบปะผู้คน

และดวงชะตาได้พาทั้งคู่มาพบกัน ในหลายงานวุฒรับประเมินความเสี่ยงระบบ โดยเฉพาะงาน Pen-test โดยบริษัทของดา จ้างSub อีกที และมักจะมาลงที่วุฒ
ส่วนพุกเป็นเพื่อนสนิทของดา รู้จักดาตั้งแต่เรียนมหาวิทยาลัย ดาให้ พุกมาป็นเพื่อนไม่กล้าที่จะมากินข้าวลำพังกับวุฒ 2 คน โดยเฉพาะวันแห่งความรักพอดี
คุยกันอยู่พักหนึ่ง ดา ก็เล่าว่า พี่ชายของดา ทำเหมือง Bitcoin โดยใช้ โซล่าเซล มาช่วยประหยัดไฟฟ้า เขาเป็นนักประดิษฐ์ เขาซื้อการ์ด GPU ผ่าน Alibaba และมาประกอบเซ็ตระบบเองหมด เพื่อที่จะทำการขุดเหมือง Server ทั้งหมดวางอยู่ โรงรถข้างบ้าน คือ เปลี่ยนโรงรถ ให้เป็นที่ขุดเหมือง Bitcoin ทั้งที่งานหลักของพี่ชาย คือ หัวหน้าช่างเทคนิคอยู่การไฟฟ้า พี่ชายอยากให้ดา มาซื้อขายอัตตราแลกเปลี่ยนเงินดิจิทัล ผ่านพวก Cryptocurrency จึงถามวุฒว่ามันปลอดภัยแค่ไหน ?
วุฒก็เล่าว่า มีความปลอดภัย และการทำงานแบบ blockchain มันตรวจสอบกันและกันเองได้ ซึ่งมีโอกาสสูงว่าจะเป็นการเปลี่ยนโฉมระบบธนาคารที่เป็นอยู่เดิมได้
พุกกล่าวมาลอยๆ ว่า"เออ ไวรัสคอมพิวเตอร์ มันจะมีผลกับห่วงโซ่ Blockchain ได้ป่ะ"

วุฒ ตอบ "ทำให้มันเกี่ยวกันได้"
แล้ว พูดกับพุกว่า "ฉันรู้จักนายพุก นายเขียนไวรัสได้ นายต่อยอดหน่อยได้ป่ะ ให้มันแพร่กระจายตัวได้เอง"
พุก ตอบ "ทำได้เหมือนกัน ถ้ามีช่องโหว่ (Vulnerability) แล้วอาศัยช่องนั้นเข้าไปยึดเครื่อง จากเครื่องก็จะไปเรื่อยๆ" พุกตอบ
"สิ่งที่ฉันทำได้ ก็ต่อเมื่อมีคนทำ Exploit เพื่อเข้าถึงเครื่องให้ฉันก่อนเพราะฉันไม่คล่องในจุดนั้น จากนั้นฉันจะทำให้เป็น Virus และ Worm ต่อได้ เพราะ ฉันมีวิธีเอาชนะ Process ที่รันบน OS เออต้องดูระบบปฏิบัติการด้วยนะ ถ้าเป็น Windows ฉันพอได้ แหะๆ" พุกตอบแบบอายๆ

ฉายาใน Darknet พุก คือ "mutex expert"


                                             ภาพ Introduction to Mutex objects จาก https://msdn.microsoft.com/en-us/library/windows/hardware/ff548097(v=vs.85).aspx

ดา กล่าวขึ้นว่า "ถึงจะเป็น Worm ได้แล้วมันจะเกี่ยวกับ Blockchain และ Cryptocurrentcy ได้อย่างไง?"

พุก ตอบ "ฉันรู้ล่ะ มันเชื่อมกันได้ถ้ามัน เรียกค่าไถ่ได้"
ทั้ง 3 คนพูดพร้อมกันว่า "Ransomware"
ใช่มันต้องเป็น Ransomware
เพื่อนฉันคนหนึ่ง ชื่อ แดน เขาเคยได้ code Locky Ransomware เคยเอามาอวด ในกลุ่ม พุก กล่าวเสริม
แล้ว วุฒ ถามแล้วติดต่อแดน ได้ป่ะ
พุก ตอบเห็นล่าสุดทำงานเป็น Out source ให้กับหน่วยงานรัฐที่หนึ่งนะ มี Line แดน อยู่ จะลองคุยให้
วุฒ คิดในหัว พร้อมมองไปที่หญิงแท้ (ดา) และ หญิงเทียม (พุก) สงสัยงานนี้มีโอกาส 3 เด้ง

+++++++++++++++++++++++++++++++

20 กุมภาพันธ์ 2560 15:40 น
ลีอองส่งข้อความผ่าน Telegram ขอค่า wallet จากวุฒ ความว่า
"สวัสดีวุฒ ในที่สุดฉันขาย exploit ไปแล้วนะมันยอดมากเลยเพื่อน ฉันขอ wallet address นายทีจะโอนให้"

วุฒ ส่งตอบกลับว่าในเวลาไม่นาน เสียง message ดังขึ้น ติ่งตื้ง "1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sL1Y"

จากนั้นลีออง ก็โทรผ่าน Skyp มาที่วุฒ "เฮ้ นายราคาถูกต่อรองเหลือ 40 bitcoin นะ"
วุฒ ถามกลับว่า "แล้วขายให้ใครอ่า ที่ไหนอ่า"

ลีออง ตอบ "เห็นว่าเป็นอดีตสายลับรัสเซีย ซื้อไป" เดี๋ยวฉันส่ง address ให้นายไป check ดูได้
นายไปที่ Deepweb >> https://mvfjfugdwgc5uwho.onion ถ้านายเป็น member อยู่ก็ login เข้าไปแล้วฉันจะส่ง post ให้ว่ายืนยันฉันขายตามราคาที่บอกจริง"
วุฒ ตอบ "ก็ได้"

++++++++++++++++++++++++++++

อ่านต่อตอนต่อไป ติดต่อมาที่ info@cipat.org เพื่อขอฉบับเต็ม

Nontawatt Saraman
นนทวัตต์  สาระมาน
ผู้เขียน
สงวนลิขสิทธิ์
17 มิถุนายน 2560

ช่องโหว่ไม่เคยเปลี่ยนแปลง

นวัตกรรมการประเมินความเสี่ยงเพื่อหาช่องโหว่ผ่าน Cloud Platform
จะกลายเป็นจุดเปลี่ยนการทำงานในด้านประเมินความเสี่ยงในอนาคต โดยมี Startup ในต่างประเทศในบางราย (Hacker1) เข้าแถวทำแนวคิดนี้จนก้าวเข้าสู่ Series C ไม่นานคงเข้า IPO ตามรุ่นพี่ๆ เพราะดูจากเงินระดมทุนแบบมีอนาคต (1,400 ล้านบาท)
.
"หาช่องโหว่ได้ถึงได้เงิน นักรบอิสระทำงานได้ทุกพื้นที่ในโลกใบนี้ เพียงขอให้มีเน็ต"
.
ผลการจาก Open bug bounty
พบการทดสอบ XSS (cross site scripting) แล้วพบว่าในรอบเดือนที่ผ่านมาเว็บไซต์หน่วยงานรัฐของประเทศไทยนั้น ไร้การปรับปรุง (Un patched) 100%


รูปที่ 1 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS ผ่าน Open Bug Bounty ข้อมูลเปิดเผยแพร่ไปทั่วโลก พบหน่วยงานรัฐไทย ไม่มีการปรับปรุง

รูปที่ 2 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS สถาบันการศึกษาในประเทศไทย พบมีการปรับปรุงอยู่บ้างแต่ไม่ทั้งหมด

รูปที่ 3 เอกชนในประเทศไทยที่มีโอกาสโดน XSS ดูๆ แล้วล้วนแต่เว็บใหญ่
ดูกันเอาเองว่าใครเป็นใครแล้วช่วยบอกต่อเพื่อแก้ไขด้วยนะครับเพราะข้อมูลเหล่านี้ใครๆ ก็เห็นได้ มีช่องโหว่จริง แล้วจะบอกว่าไม่เตือนก่อน

 13 มิถุนายน 2017
Nontawatt S