วันที่ 6 สิงหาคม 52 ชาว Tweet ทั้งหลาย เกือบลงแดงตาย เพราะใช้งาน Tweeter ไม่ได้ เป็นเวลานานกว่าหลายชั่วโมง ที่เว็บไซต์ และระบบทั้งหมดของ Tweeter.com ทำการกูระบบขึ้นมา โดยใช้ระบบสำรอง ทำให้สามารถใช้งานได้ตามปกติ จากรายงานข่าว พบว่าไม่เพียง Twitter เท่านั้นที่โดนโจมตี Facebook, Blogspot ก็ถูกโจมตีด้วยเช่นเดียวกัน ถึงขั้นขนาดเป็นวาระของชาติสหรัฐฯ เลยทีเดียว อีกทั้งมีการตั้งค่าหัวในการค้นหาผู้ที่ทำการโจมตีในครั้งนี้ Twitter’s security team ได้ทำการ response ในทันทีที่โดนโจมตี จากการวิเคราะห์พบว่า รูปแบบการโจมตีที่กระทำเข้ามานั้น เป็นรูปแบบ DDoS (Distribution Denial of Services) หรือการโจมตีแบบรุม โดยอาศัย BOT Net จากทั่วโลกในการโจมตี * ข้อมูล BOT Net เพิ่มเติม http://www.sran.net/archives/51 จนเวลาผ่านไปกว่าอาทิตย์ Twitter ยังโดนโจมตีอย่างไม่หยุดหย่อน โดยอาศัยช่องทางที่ทาง twitter เปิดรับข้อมูล ไม่ว่าจากทางหน้าเว็บ หรือทาง API ที่ใช้สื่อสารกับ Third-party client เรื่องเก่ายังไม่จบ ล่าสุด Twitter’s security team ก็พบว่า มี account ไว้ใช้สำหรับอัพเดท ชุดคำสั่งในการควบคุมด้วยเครื่อง โดยชุดคำสั่งนี้เป็นการ update ชุดคำสั่ง เพื่อเปิดโปรแกรม, ดาวน์โหลด และเปิด
จากคำสั่งเบื้องต้น โดยการสุ่มเดาและทดสอบหลายรูปแบบจาก “http://tools.web-max.ca/encode_decode.php” ทำให้เรารู้ได้ว่า คำสั่งดังกล่าว ถูกเข้ารหัสในรูปแบบของ Base 64 เพราะฉะนั้น เมื่อเราถอดข้อความ ออกมา เราก็จะได้ข้อมูลที่เราต้องการ
$ echo “aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==” | openssl base64 -d hxxp://
bit.ly/R6STV hxxp://
bit.ly/2KoHoในที่สุดเราก็เห็น link ที่ผู้ไม่ประสงค์ดี ส่งคำสั่งมาแล้ว
ขั้นต่อไป เราลองพยายาม download ข้อมูลตาม link ที่ได้มา เราก็ได้ text file มา 1 file พอเปิดอ่านแล้ว กลับพบว่า เจอข้อความในรูปแบบการเข้ารหัสอีกแล้ว เราเลยลองสุ่มดูอีกที ว่าผู้ไม่ประสงค์ดี น่าจะใช้การเข้ารหัสในแบบ Base64 อีกครั้ง ผมได้เขียนโปรแกรมเล็ก ๆ ขึ้นมา 1 ตัว ด้วยภาษา Python เพื่อใช้ในการ decode ข้อมูลที่เราได้มา
# decodes base64 files # usage: python /b64_decode.py (encoded_file) (output_file) import base64 import sys encodedFile = sys.argv[1] outputFile = sys.argv[2] encodedFileHndl = open(encodedFile,”r”) outputFileHndl = open(outputFile, “w”) outputFileHndl.write(base64.b64decode(encodedFileHndl.read())) encodedFileHndl.close(); outputFileHndl.close();
$python b64_decode.py m6bc6ade8.txt m6bc6ade8.b64
เมื่อ สั่ง decrypt ออกมา ผมก็จะได้ file ที่ชื่อ m6bc6ade8.b64 ตามที่ได้ตั้งไว้ เมื่อเข้าไปดูใน file ดังกล่าว กลับพบว่าเป็น binary ที่ยังอ่านไม่ออก และยืนยันไม่ได้ว่าเป็น file ชนิดใด
โปรแกรมถัดมาที่จะใช้คือ TrID/32 – File Identifier
$./trid m6bc6ade8.b64 TrID/32 – File Identifier v2.00/Linux – (C) 2003-06 By M.Pontello Definitions found: 3811 Analyzing… Collecting data from file: m6bc6ade8.b64 100.0% (.ZIP) ZIP compressed archive (4000/1)
นั่นทำให้เราทราบได้ว่า นั่นคือ file สกุล zip ที่ถูก compress ไว้ หลังจากนี้เราคงต้องแตกมันออกมา ก่อนอื่น ทำการ rename file ให้เป็นสกุล .zip และใช้คำสั่ง .zip เราได้ file ออกมาดังนี้
$./unzip m6bc6ade8.zip Archive: m6bc6ade8.zip inflating: gbpm.dll inflating: gbpm.exe
เมื่อ ได้ file ออกมา 2 file แล้ว เราจะมาทำการวิเคราะห์ต่อด้วยการส่งตัวอย่าง file ไปตรวจสอบที่ Virustotal.com เราก็เห็นว่าเป็นลักษณะของ Trojan ชนิดหนึ่ง เมื่อทำการนำ file เหล่านี้มาพิสูจน์ถึงกลไกข้างใน มีอะไรซ่อนอีกบ้าง เริ่มด้วยการ Identify file format อีกครั้ง ทั้ง 2 file
./trid gbpm.dll TrID/32 – File Identifier v2.00/Linux – (C) 2003-06 By M.Pontello Definitions found: 3811 Analyzing… Collecting data from file: gbpm.dll 39.5% (.EXE) UPX compressed Win32 Executable (30569/9/7) 34.3% (.EXE) Win32 EXE Yoda’s Crypter (26569/9/4) 11.0% (.EXE) Win32 Executable Generic (8527/13/3) 9.8% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2) 2.5% (.EXE) Generic Win/DOS Executable (2002/3) ./trid gbpm.exe TrID/32 – File Identifier v2.00/Linux – (C) 2003-06 By M.Pontello Definitions found: 3811 Analyzing… Collecting data from file: gbpm.exe 39.5% (.EXE) UPX compressed Win32 Executable (30569/9/7) 34.3% (.EXE) Win32 EXE Yoda’s Crypter (26569/9/4) 11.0% (.EXE) Win32 Executable Generic (8527/13/3) 9.8% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2) 2.5% (.EXE) Generic Win/DOS Executable (2002/3)
รูปแบบ format file ที่ตรงมากที่สุดคือ “UPX compressed Win32 Executable” เพราะฉะนั้น เราต้องทำการคลายข้อมูลออกมาก่อน ถึงจะตรวจ string บางอย่างต่อไปได้ ก่อน อื่นคือ สำเนา file ทั้งสอง file ให้มีนามสกุล .upx ต่อท้ายก่อน มิฉะนั้น file อาจโดนทับเสียหายได้ หลังจากนั้นใช้ UPX tool ในการคลาย file ดังกล่าว
./ upx -d gbpm.dll.upx Ultimate Packer for eXecutables Copyright (C) 1996 – 2008 UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008 File size Ratio Format Name ——————– —— ———– ———– 254464 <- 99840 39.24% win32/pe gbpm.dll.upx Unpacked 1 file. ./upx -d gbpm.exe.upx Ultimate Packer for eXecutables Copyright (C) 1996 – 2008 UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008 File size Ratio Format Name ——————– —— ———– ———– 71680 <- 34304 47.86% win32/pe gbpm.exe.upx Unpacked 1 file.
เมื่อคลายมาแล้ว ขั้นตอนต่อไปคือหา string ที่เกี่ยวข้องใน file ทั้ง 2 ตัวนั้นด้วยคำสั่ง
strings gbpm.dll.upx | egrep -A200 ‘[A-Z]+=’ strings gbpm.exe.upx | egrep -A200 ‘[A-Z]+=’
และเราก็เจอจุดประสงค์ของผู้ไม่หวังดีใน file ชื่อ gbpm.dll.upx พบข้อมูล URL บางที่ ที่จะต้องส่งข้อมูลไปหาดังนี้
ยังพบการเรียกใช้ Windows system files อีกหลายรายการ
java.exe iexplore.exe firefox.exe KERNEL32.DLL ADVAPI32.dll IPHLPAPI.DLL ole32.dll USER32.dll WININET.dll
ทำตัวเองเป็น Web Client เพราะมี Ryeol HTTP Client และหลอก Banner อีกรอบเป็น
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.1) Gecko/20090718
จากสถิติผู้ที่ติด ส่วนมากนั้นเป็นบุคคลในบราซิล
ถึง ตอนนี้ Twitter’s security team ได้ทำการระงับการใช้งาน account ดังกล่าวเป็นที่เรียบร้อยไปแล้ว แต่ก็ยังไม่วาย ตัวป่วนต่างๆ ก็ยังใช้เทคนิคดังกล่าว สร้าง User ย้ายไปที่อื่นอีกเรื่อยๆ 
การโจมตี Twitter เกิดจากผีดิบ (zombie) แน่นอน แต่เป็นผีดิบที่เต็มใจหรือไม่อย่างไรนั้น ยังไม่ได้ข้อสรุป ซึ่งช่วงเวลาดังกล่าวได้มีช่องโหว่ของบราวเซอร์ IE , Firefox ที่ทำให้รันโปรแกรมได้ผ่านช่องโหว่ดังกล่าว จึงอาจมีความเป็นไปได้ว่า Hacker อาศัยคนที่เป็นเหยื่อช่องโหว่ดังกล่าว มาเป็นเครื่องมือในการใช้โจมตี Social Network นี้ นี้เป็นเพียงการตั้งข้อสังเกต ส่วนความจริงจะเป็นเช่นไรนั้น ต้องรอการสรุปอีกครั้ง
Write by Pituphong Yavirach
Global Technology Integrated Co.,Ltd.
Posted by ummy | Posted in FTP, Technique |
