Feeds:
Posts
Comments

Archive for the ‘Threat Data’ Category

ปัจจุบันนี้เราปฏิเสธมิได้ว่าเว็บไซด์คือประตูสู่องค์กรของเรา หากเว็บไซด์ขององค์กรเรามีช่องโหว่ ซึ่งทำให้เกิดการเข้าถึงระบบเปลี่ยนแปลงข้อมูลในเว็บไซด์หรือทำให้เว็บไซด์ของเราเกิดอาการใช้งานไม่ได้แล้ว ความเสียหายจะกระทบสู่องค์กรของเราได้ โดยเฉพาะด้านชื่อเสียงซึ่งไม่สามารถประเมินเป็นราคาได้

ผลการสำรวจเว็บไซด์ทั่วโลกที่มีโอกาสที่จะเข้าถึงระบบได้นั้นประกอบไปด้วยเทคนิคต่างโดยสรุปได้ดังนี้

Classes of Attack (นำมาข้อมูลจาก Webappsec)

Abuse of Functionality Brute Force Buffer Overflow
Content Spoofing Credential/Session Prediction Cross-site Scripting
Denial of Service Directory Indexing Format String Attack
Information Leakage Insufficient Anti-automation Insufficient Authentication
Insufficient Authorization Insufficient Process Validation Insufficient Session Expiration
LDAP Injection OS Commanding Path Traversal
Predictable Resource Location Session Fixation SQL Injection
SSI Injection Weak Password Recovery Validation XPath Injection
* Fingerprinting * HTTP Response Splitting

เมื่อวิเคราะห์ดูแล้วพบว่าการเข้าถึงระบบเว็บไซด์ทุกวันนี้ส่วนใหญ่เกิดจากการที่นักโจมตีระบบ (hacker) ใช้เทคนิค Cross Site Scriping หรือเรียกสั้นๆ ว่า XSS

Percentage of Websites Vulnerable by Class

สถิติช่องโหว่ที่พบบน Web Application

พบว่า XSS นั้นยังเป็นภัยคุกคามที่อันตรายสำหรับเว็บไซด์ ลักษณะการโจมตี XSS attack สามารถแบ่งได้ 3 รูปแบบคือ

Type 0 (DOM base or Local) , Type 1 (Reflective attack) และ Type 2 (Consistent attack) ผู้ได้รับผลกระทบคือผู้ใช้งานที่ไม่ระวัง และมีช่องโหว่ที่บราวเซอร์ ซึ่งมีผลทำให้นักโจมตีฝั่งซอฟต์แวร์ที่เว็บไซด์ทำการหลอกลวง (social networking) ไปใส่สคิปต์ผ่านเว็บไซด์ที่มีช่องโหว่ XSS (Cross site scripting) ได้ ดังนั้นเว็บไซด์ที่มีช่องโหว่ XSS อาจเป็นสาเหตุที่ทำให้เกิดภัยคุกคามอื่นๆ ตามมาเช่นการขโมย session เพื่อเข้าถึงระบบ การทำให้เกิดเว็บประเภท spam และ phishing จำนวนมากขึ้น และผู้ได้รับผลกระทบมักเป็นผู้ใช้งานที่ขาดความระมัดระวัง

ซึ่งทางทีมงาน SRAN จะขอขยายความเทคนิการเจาะระบบชนิด Cross site scripting (XSS)  อย่างละเอียดอีกครั้งในบทความตอนต่อไป

เนื่องจากภัยคุกคามเว็บไซด์เป็นเรื่องสำคัญ  ทำให้ทีมพัฒนา SRAN ได้คิดค้นวิธีที่รู้ทันภัยคุกคามจากการโจมตีเว็บไซด์ขึ้น โดยที่ผู้ใช้งานไม่ต้องลงทุนซื้อซอฟต์แวร์ และ ฮาร์ดแวร์ใดๆ เพียงติด SRAN Data Safehouse ที่เว็บก็จะสามารถรู้ทันการโจมตีเว็บไซด์ของท่านได้ นอกจากจะช่วยเก็บบันทึกหลักฐาน (Log) การใช้งานเว็บไซด์แล้ว ยังสามารถรู้ทันถึงการโจมตีชนิดต่างๆ ได้อีกด้วย

หากโปรแกรม Anti virus จะช่วยคุ้มครองเครื่องคอมพิวเตอร์ที่ใช้งาน (PC) ได้ SRAN Data Safehouse ก็เปรียบเสมือนตัวคุ้มครองเว็บไซด์ไม่ให้ถูกโจมตี หรือเรียกได้ว่าเป็น “Anti Web Hacking”

เพื่อเป็นการสร้างความตระหนักให้กับ Webmaster ไทย SRAN Data Safehouse ได้จัดทำสถิติเว็บไซด์ในประเทศไทยที่มีช่องโหว่ขึ้น และทำการตรวจสอบสถานะว่ามีการป้องกันแล้วหรือยัง โดยเว็บไซดืได้จัดอันดับตามรายชื่อ domain และบอกถึงสถานะของเว็บไซด์ที่มีความเสี่ยงว่ามีการปิดช่องโหว่ดังกล่าวแล้ว หรือไม่ โดยแสดงเป็นสถานะ Fix หรือแก้ไขแล้ว และ Unfix คือยังไม่ได้รับการแก้ไข  เป็นต้น ซึ่งผลการสถิติที่แสดงออกในเว็บไซด์ เกิดจากการรวบรวมข้อมูลจากฐานข้อมูลการเผยแพร่เว็บไซด์ที่มีช่องโหว่ทั่วโลก โดยทีมงานได้คัดเฉพาะในประเทศไทย และจัดทำระบบให้มีการตรวจสอบแบบอัตโนมัติเพื่อรวบรวมเป็นสถิติที่เกิดขึ้นเป็นรายวัน

จากสถิติใน SRAN Data Safehouse พบว่ามีเว็บไซด์ไทยที่มีโอกาสที่ถูกการฝั่งโค้ดจากนักโจมตีระบบ (Hacker) ถึง 41 เว็บไซด์

โดยได้จัดเป็นกลุ่ม Domain ที่มีในประเทศไทยพบว่าตั้งแต่ปี 2007 – 2009 มีเว็บไซด์ในประเทศไทยที่พบช่องโหว่ XSS (Cross site scripting)  อยู่ด้วยกันถึง 41 เว็บ ซึ่งประกอบด้วย

ผลการประเมินช่องโหว่ XSS ในวันที่ 27 กุมภาพันธ์ พบว่า domain หน่วยงานราชการ (.go.th) มีความเสี่ยงที่พบถึง 20 เว็บไซด์ รองลงมาคือ domain บริษัททั่วไป (.co.th) พบ 9 เว็บไซด์ พบว่าส่วนใหญ่ยังไม่ได้รับการแก้ไข

รายละเอียดสามารถดูได้ที่ www.datasafehouse.net คลิกที่ archive

ข้อมูลภัยคุกคามทางอินเตอร์เน็ตที่เกิดขึ้นในประเทศไทยจาก สีหมอก Crawler

หมายเหตุ : สำหรับลูกค้าที่ใช้ SRAN Security Center สามารถสมัครใช้งาน SRAN Data safehouse เพื่อป้องกันเว็บไซด์ท่านให้ปลอดภัยมากขึ้น ได้ฟรี  รายละเอียดดูได้ที่เว็บไซด์

Advertisements

Read Full Post »

ไม่นานนี้ทีมพัฒนาอุปกรณ์ SRAN Security Center ได้ปรับแต่งหน้าต่างแสดงผลของ เมนู Monitoring สำหรับ HTTP / HTTPS  ในการเปิดใช้งานเว็บโดยสามารถบอกรายละเอียด URL และ URI ที่ผู้ใช้งานเข้าใช้บริการ จากเดิมจะสามารถดูได้ในค่า Payload แต่ตอนนี้จัดแต่งให้ดูสะดวกขึ้นในหน้า Monitoring

จุดประสงค์ เพื่อใช้ในการพิสูจน์หาหลักฐาน (Forensic) ที่สามารถตรวจเนื้อหา (Content) ที่เป็นภาษาไทย จากการใช้งานตาม Protocol ที่สำคัญได้ เช่น Web, Mail ,Chat, Upload/Download เป็นต้น  ซึ่งรายงานผลจะแสดงผลให้ดูสะดวกขึ้นจากเดิม

ซึ่งจากการทดสอบ ตรวจเนื้อหา (Content) เฉพาะส่วน HTTP ทั้งรูปแบบ GET และ Post

รูปแบบข้อความ encode แบบ tis-620 ,windows-874, utf-8ในส่วนของ POST จะมีสองแบบคือ

1. post ในลักษณะที่ ตัว Web server ใช้ utf-8 ในการเข้ารหัสภาษา
2. post ในลักษณะที่ ตัว Web server ใช้ tis-620 , windows-874 ในการเข้ารหัสภาษา
post ทั้งสองหัวข้อ ทดสอบได้จากการ โพสตามบอร์ดต่างๆในส่วนของ GET จะแยกออกมาประมาณ 6 แบบ
1. HTTP Header Get เป็น Percent encoding for URI จาก UTF-8 format
2. HTTP Header Get เป็น Hex format -> Percent URI -> UTF-8 format
ทั้งสองหัวข้อด้านบน  ทดสอบได้จากการ search ตาม google , yahoo  , mthai , sanook เป็นต้น
3. HTTP Content เป็น Hex format
4. HTTP Content เป็น UTF-8 format

รูปที่ 1 แผนภาพเมื่อนำอุปกรณ์ SRAN Security Center ติดตั้งบนระบบเครือข่าย (Network) เพื่อใช้ดูเนื้อหาที่ไม่เหมาะสมตามฐานข้อมูลที่มีอยู่ จาก Protocol ที่สำคัญเช่น Web / Mail / Chat / Upload / Download / VoIP เป็นต้น

ตัวอย่างหน้าจอ Monitoring เฉพาะส่วน HTTP / HTTPS

รูปที่ 2  แสดงหน้าจอ HTTP Monitoring ทำให้เห็น URI path ในหน้าเดียวกัน แสดงผลค่า TIme , Source IP , Destination IP , ID , HTTP (GET or Post) , URI

จะเห็นได้ว่าสามารถรายงานผลค่าเหมือนกับเทคโนโลยี Report Proxy Web แต่ SRAN แสดงผลได้ละเอียดถึงบอก path URI ได้

รูปที่ 3 การแสดงผล SRAN ตามหลักเกณฑ์ห่วงโซ่เหตุการณ์ (Who , What , Where , When , How) ทำให้สืบค้นได้สะดวกขึ้น

(more…)

Read Full Post »

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร

ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
– เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
– เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
– เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ใน ขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

Chain of evnet จากกรณีศึกษานี้คือ

ใคร คือ IP ต้นทาง IP ปลายทาง Port ต้นทาง และ Port ปลายทาง

ทำอะไร คือ มีลักษณะเป็น Get File ผ่าน HTTP Protocol

ที่ไหน  คือ Domain URL onsafepro2008

เวลาใด คือ  ช่วงเวลา 05:23 ของวันที่ 23/07/51

อย่างไร คือ มีลักษณะการใช้งานที่ผิดปกติและมีความเสี่ยงภัยคุกคาม ซึ่งอาจเป็น zombie ที่ติดไวรัสที่ชื่อว่า Zlob User Agent

หากเก็บเพียง Log อย่างเดียวแต่ไม่สามารถรู้ทันปัญหา รู้ทันเหตุการณ์ ก็จะทำให้ลำบากในการบริหารจัดการด้านระบบสารสนเทศในองค์กรนี้ได้

รายละเอียดอ่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2008/07/zombie.html

Read Full Post »

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”

กรณีศึกษาการ FTP Brute Force Password

บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone

เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center

เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น (ซึ่งฐานความผิดนี้เกิดจากอุปกรณ์ ต้องผ่านการวิเคราะห์จากบุคคลที่ผ่านการอบรมจาก SRAN http://www.gbtech.co.th/th/training/sran-usm-course)

เมื่อผู้ดูแลระบบพบว่ามีความเสี่ยงตามมาตรา 5 อยู่ พบว่าหนึ่งในเหตุการณ์นั้นคือลักษณะการใช้งาน Application ของการใช้ FTP ซึ่งตั้งค่า IP สำหรับ FTP Server เป็น IP ภายในองค์กรที่ 192.168.1.3 จึงทำการวิเคราะห์ผลเฉพาะเจาะจงที่การใช้งาน FTP จึงพบว่า

จากรูปพบว่ามีการ Login FTP ผิดจำนวน 447 ครั้ง มีการพยายาม Login อยู่ 754 ครั้ง

ผู้ดูแลระบบจึงทำการวิเคราะห์การ Login ผิด ผ่านระบบ FTP ซึ่งอาจหมายถึง User ถูก แต่ Password ผิด หรือทั้ง User / Password ผิด ซึ่งเข้าข่ายเป็นชนิดการโจมตีที่เรียกว่า Brute Force Password

จากรูปพบว่ามีการ Login ผิดจาก IP 219.254.34.82 จำนวนถึง 404 ครั้ง ตั้งแต่ช่วงเวลา 02:45 – 06:40 AM

เมื่อทำการวิเคราะห์ข้อมูลต่อโดยใช้อุปกรณ์ SRAN Security Center เพื่อดูย้อนหลังเหตุการณ์ที่ผ่านมาพบว่า

มีการ Login ผิดในหนึ่งนาที ผิดอยู่ 2 ครั้ง จึงทำการตรวจสอบประวัติ IP ดังกล่าว

พบประวัติดังนี้

มีการพยายาม Login อยู่ 221 ครั้ง ตั้งแต่เวลา 02:45 ถึง 06:40 และมีการ Login ผิดอยู่ 404 ครั้ง ตั้งแต่เวลา 02:45 – 06:40 AM

IP จากเกาหลี ,ผู้ดูแลระบบมั่นใจว่าเป็นการ Brute Force Password ผ่าน FTP Server ที่ตั้งขึ้นใน DMZ โซนบริษัท กรณีเดียว ซึ่งเป็นการตั้งใจเข้าถึงระบบโดยมิชอบ ผู้ดูแลระบบจึงทำการ Block IP ดังกล่าว

มีทำการ Add IP blacklist เข้าสู่ระบบ SRAN Security Center แล้วทำให้ IP ดังกล่าวไม่สามารถทำการ Brute Force ได้สำเร็จ

การจะ Block IP ได้นั้นต้องติดตั้งอุปกรณ์ SRAN ได้ 2 วิธี

วิธีที่ 1 ติดตั้งแบบ In-line Mode แบบนี้จะสามารถป้องกันภัยคุกคามได้อย่างอัตโนมัติ เนื่องจากใช้เทคโนโลยี IPS (Intrusion Prevention System) เข้ามาเกี่ยวข้อง แต่เนื่องจากวิธีนี้มีผลกับ Throughput ระบบเครือข่ายจึงไม่แนะนำให้ใช้กับองค์กรที่มีจำนวนเครื่องลูกข่ายเกิน 100 เครื่องขึ้นไปใช้วิธีนี้

วิธีที่ 2 ติดตั้งแบบ Transparent Mode แบบนี้จะสามารถป้องกันภัยได้ โดยการเฝ้าระวังและป้องกันได้เพียงระดับ IP / MAC Address และชื่อ Domain

เพียงใช้อุปกรณ์ SRAN Security Center ให้เหมาะสมถูกต้องกับรุ่นที่แนะนำ http://www.gbtech.co.th/th/product/usm

ก็จะทำให้ท่านสามารถรู้ทันภัยคุกคามและปัญหาต่างๆ ที่อาจเกิดขึ้นบนระบบเครือข่าย อีกทั้งเก็บบันทึกข้อมูลจราจร และวิเคราะห์ข้อมูลได้อย่างสะดวกสบายขึ้น ซึ่งเป็นการนำ Log ดิบ ทำให้เป็น Log สุก อ่านเข้าใจง่าย

พึ่งระลึกเสมอว่าไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้ 100% แต่เราสามารถทำให้ ตื่นรู้ เพื่อรู้ทันเหตุการณ์ วิเคราะห์หาสาเหตุและแก้ไขปัญหาได้อย่างถูกต้อง ซึ่งทั้งหมดนี้ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บ Log ช่วยคุณได้

Read Full Post »