ซอฟต์แวร์ผีดิบที่ฝั่งในเครื่องของเรา นั้นเป็นอย่างไรนั้นจะอธิบายดังนี้ครับ Zombie มักเป็นซอฟต์แวร์ที่เขียนฝั่งเพื่อใช้เป็นเครื่องมือในการโจมตีระบบ หรือเป็นการส่งข้อมูลอันไม่พึ่งประสงค์และทำงานแทนผู้บังคับเครื่องนี้ไว้อาจกล่าวได้ว่าเป็นเครื่องทาส ที่พร้อมจะทำอะไรก็ได้เมื่อมีคำสั่ง
ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า "Botnet"
ในขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้
และเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ ได้
เหตุการณ์นี้เป็นเหตุการณ์จริง ที่พบในการทดสอบ SRAN Security Center ในสถานที่หนึ่ง
เมื่อทำการเฝ้าระวังภัยคุกคามผ่านหน้าจอควบคุมอุปกรณ์ SRAN พบว่า
รูปที่ 1 ระบบเครือข่ายนี้มีความเสี่ยงภัยคุกคามอยู่ระดับกลาง และมีขนาดการใช้งาน Throughput โดยรวมอยู่ประมาณ 48 Mbps ซึ่งจัดได้ว่าเป็นเครือข่ายขนาดใหญ่
เมื่อเราพิจารณาเหตุการณ์ทั่วไป ทั้งการใช้งานปกติและการใช้งานที่มีความเสี่ยง่พบว่า
รูปที่ 2 มีการ ARP spoof ค่า MAC Address มีการเปิดเว็บใช้งานเว็บผ่าน Proxy Caching พบลักษณะการใช้งานตรงกับลักษณะ P2P ซอฟต์แวร์ ซึ่งในที่อาจเป็นการเล่นเกมส์ผ่านอินเตอร์เน็ตก็ได้ มีลักษณะการใช้งานอีเมลล์ และสำคัญคือพบความผิดปกติที่อาจเป็น Zombie
ลักษณะเหตุการณ์ที่อาจเป็น Zombie คือ พบ Trojan Win32 Agent.ALT C&C Checkin Connection in Progress และ Virus Zlob User Agent ที่พยายาม Update ข้อมูลอยู่
เมื่อทำการวิเคราะห์เพื่อดูลักษณะ Zombie Trojan Win32 Agent.ALT C&C Checkin Connection in Progress
พบว่า
รูปที่ 3 Trojan ตัวนี้ถูก Remote จากอินเตอร์เน็ตเพื่อเข้าสู่เครื่อง IP ภายในองค์กรผ่าน Web Proxy Caching ซึ่งพบว่ามี 3 IP ภายในด้วยกันที่เป็น Zombie อยู่ เริ่มต้นช่วงเวลา 01:47 จนถึงช่วงเวลา 03:47 เหมือนเป็นสคิปอัตโนมัติเพื่อส่งค่าเข้าควบคุมเครื่องดังกล่าว
เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า
รูปที่ 4 เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008
และเมื่อดูประวัติ IP ภายในที่ติด Zombie พบว่า
ีรูปที่ 5 พบพฤติกรรมการใช้งาน IP ภายในดังกล่าวมีเหตการณ์ทั้งหมด 6144 ครั้ง ประกอบด้วย การเปิดเว็บทั้งผ่าน Web Caching และเปิดเว็บโดยตรงกว่า 5 พันครั้งตั้งแต่ช่วงเวลาตี 3 จนถึง 6 โมงเช้า
และติด Virus Zlob User agent ซึ่งอาจเป็น Zombie จำนวน 2 ครั้งในช่วงเวลา 05:23
เมื่อทำการศึกษาซอฟต์แวร์ผีดิบตัวนี้พบว่ามีการฝั่งค่าในระบบปฏิบัติการเครื่องทำให้ยากแก่การตรวจจับและการแก้ไข
Memory Modifications
- There were new processes created in the system:
| Process Name | Process Filename | Main Module Size |
eaqb.exe | %Temp%\ac8zt2\eaqb.exe | 167,936 bytes |
| neltabxw.exe | %Temp%\ac8zt2\neltabxw.exe | 98,304 bytes |
| eaqb.exe | %Windir%\eaqb.exe | 167,936 bytes |
| lprn32.exe | %Temp%\lprn32.exe | 106,496 bytes |
| neltabxw.exe | %Windir%\neltabxw.exe | 98,304 bytes |
| media.php | %Temp%\media.php | 196,608 bytes |
| 226[1].exe | %Temp%\226[1].exe | 106,496 bytes |
- The following modules were loaded into the address space of other process(es):
| Module Name | Module Filename | Address Space Details |
| wpvmqosg.dll | %Windir%\wpvmqosg.dll | Process name: explorer.exe Process filename: %Windir%\explorer.exe Address space: 0x17B0000 - 0x180C000 |
| xvorfwbd.dll | %Windir%\xvorfwbd.dll | Process name: explorer.exe Process filename: %Windir%\explorer.exe Address space: 0x1950000 - 0x1991000 |
รายละเอียดสามารถอ่านเพิ่มเติมได้ที่ http://www.threatexpert.com/report.aspx?uid=2fdf0f89-d264-461c-b579-14714be6621f
นนทวรรธนะ สาระมาน
Nontawattana Saraman
Nontawattana Saraman
