โค้ด exploit คือชุดของโค้ดซึ่งถูกออกแบบมาเพื่อโจมตีช่องโหว่ โดยไฟล์ exploit จะประกอบไปด้วยส่วนของโค้ดซึ่งใช้โจมตีช่องโหว่จริง ๆ และส่วนของโค้ดที่จะถูกนำมาใช้หลังจากโจมตีช่องโหว่สำเร็จ หรือที่รู้จักกันด้วยคำว่า payload

ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการแกะรอยไฟล์ไบนารีไฟล์หนึ่งซึ่งถูกตรวจพบในระบบของลูกค้าซึ่งถูกโจมตี โดยผลการแกะรอยไฟล์ประสานกับการเชื่อมโยงข้อมูลจากระบบ threat intelligence ทำให้ Check Point สามารถระบุตัวผู้ขายโค้ดสำหรับโจมตีช่องโหว่ และผู้ซื้อซึ่งรวมไปถึงกลุ่ม APT อื่น ๆ ได้

แนวทางของการแกะรอยของ Check Point ประกอบด้วยการดำเนินการ 3 ขั้นตอนซ้ำไปซ้ำมาและขยายผลการค้นหาออกไปเรื่อย ๆ ได้แก่

1. วิเคราะห์ไฟล์ไบนารีที่เจอ ระบุหาเอกลักษณ์ของไฟล์นั้น ๆ ซึ่งแฝงอยู่ใน metadata ของไฟล์หรือในส่วน header ของไฟล์เอง
2. นำผลลัพธ์ที่ได้ไปขยายผลในระบบ threat intelligence จนได้ไฟล์ที่มีลักษณะเหมือนกัน จากนั้นนำไฟล์ที่ได้มีวิเคราะห์ต่อไปเรื่อย ๆ
3. เมื่อถึงจุดหนึ่ง ไฟล์ที่ตรวจพบและมีคุณลักษณะเหมือนกันจะเชื่อมโยงกลับไปหาผู้ขายโดยอัตโนมัติ ถ้าข้อมูลในระบบ threat intelligence นั้นมากและมีคุณภาพมากพอ

กลุ่มผู้ขายโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวมีชื่อว่า Volodya โดยลูกค้าซึ่งตรวจพบประวัติการซื้อขายโค้ดประกอบไปด้วยกลุ่ม APT ต่าง ๆ มากมาย ได้แก่ Ursnif, GandCrab, Cerber, Magniber, Turla และ APT28

สำหรับผู้ที่สนใจแนวทางในเชิงเทคนิค ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ลองอ่านบล็อกของ Check Point ฉบับเต็มที่ https://research.

James Quinn จาก Binary Defense ได้ออกมาเปิดเผยถึงปฏิบัติการการโจมตีกระบวนการแพร่กระจายของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ Buffer overflow ในกระบวนการติดตั้งของมัลแวร์ซึ่งส่งผลให้มัลแวร์ล้มเหลวที่จะทำงานต่อและทำให้กระบวนการแพร่กระจายของมัลแวร์ Emotet ในถูกชะลอลงไปได้กว่า 6 เดือน

มัลแวร์ Emotet เป็นหนึ่งในมัลแวร์ตระกูล Botnet ซึ่งมีอัตราการแพร่กระจายสูงสุดสายพันธุ์หนึ่งของโลก โดยหากผู้ควบคุมมัลแวร์ Emotet สามารถใช้มัลแวร์เป็นช่องทางในการขโมยข้อมูลระบบหรือใช้ในการติดตั้งมัลแวร์สายพันธุ์อื่นๆ เข้าไปเพิ่มเติมได้

ช่องโหว่ที่ James Quinn ค้นพบนั้นเป็นช่องโหว่ Buffer overflow ง่ายๆ ในกระบวนการติดตั้งลงในระบบของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ดังกล่าวสามารถทำได้เพียงแค่ใช้สคริปต์ PowerShell ในการแก้ไขค่าซึ่งเกี่ยวข้องกับการตั้งค่ารีจิสทรีที่มัลแวร์ Emotet จะเข้าไปดำเนินการ ส่งผลให้เกิดลักษณะของการทำ Killswitch และทำให้มัลแวร์ไม่สามารถติดตั้งในระบบได้

ช่องโหว่นี้ถูกแพร่กระจายอย่างลับๆ ระหว่างหน่วยงาน CERT และกลุ่ม Cybersecurity เพื่อป้องกันคนร้ายรู้ตัว โดยช่องโหว่ดังกล่าวถูกนำมาใช้ตั้งแต่ช่วงวันที่ 6 กุมภาพันธ์จนถึงวันที่ 5 สิงหาคมที่ผ่านมา ทั้งนี้ช่องโหว่นี้ในปัจจุบันไม่สามารถใช้หยุดการแพร่กระจายได้แล้วเนื่องจากผู้พัฒนามัลแวร์ได้มีการแก้ไขโค้ดซึ่งส่งผลให้ช่องโหว่ดังกล่าวถูกปิดลง

อ่านบทวิเคราะห์ฉบับเต็มจาก Binary Defense ได้ที่: https://www.

สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ

Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal

ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ

Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์

ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.

มีการค้นพบช่องโหว่ในวินโดส์ XP และ วินโดว์เซิร์ฟเวอร์ 2003 โดยช่องโหว่นี้จะอยู่ใน NDProxy.sys ซึ่งเป็นไฟล์ไดรเวอร์ที่ทำงานร่วมกับ Telephony Application Programming Interfaces (TAPI) เซอร์วิส ช่องโหว่นี้จะทำให้แฮกเกอร์สามารถเข้าถึงสิทธิ์ที่สูงกว่าสิทธิ์ที่ตัวเองใช้อยู่ได้อย่างเช่น สิทธิ์แอดมิน เป็นต้น แต่ช่องโหว่นี้ไม่ได้เป็นการ remote ไปยังเครื่องเป้าหมายดังนั้นถ้าจะโจมตีผ่านช่องโหว่นี้แฮกเกอร์จะต้องสามารถเข้าถึงเครื่องเป้าหมายโดยใช้สิทธิ์อื่นๆก่อน จากการสืบสวนของบริษัท FireEye พบว่าช่องโหว่นี้ได้ถูกใช้ร่วมกับการโจมตีที่โจมตีผ่านช่องโหว่ของโปรแกรม Adobe Reader อีกทีหนึ่ง ตอนนี้วิธีป้องกันที่ดีที่สุดคือ เปลี่ยนไปใช้ระบบปฎิบัติการที่ใหม่กว่านี้ เนื่องจากระบบปฎิบัติการที่ใหม่กว่านี้จะยังมีการสนับสนุนจากไมโครซอฟท์อยู่

ที่มา : COMPUTERWORLD

กลุ่มแฮกเกอร์ได้มีการใช้ข่าวการระเบิดของโรงงานทำปุ๋ยในรัฐเท็กซัสในการแพร่กระจายมัลแวร์หลังจากเหตุการณ์เพิ่งเกิดขึ้นได้เพียงแค่ 1 วันเท่านั้น โดยแฮกเกอร์จะส่งอีเมลที่มีการใช้หัวข้ออีเมลว่า "CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas"(ภาพการระเบิดของโรงงานทำปุ๋ยใกล้เมือง Waco ในรัฐเท็กซัสที่ถูกจับภาพได้) ซึ่งในอีเมลนั้นจะแนบลิงค์มาด้วย ถ้าเหยื่อกดคลิกที่ลิงค์ก็จะเป็นการ redirect ไปยังเว็บเพจที่มีการฝังคลิป Youtube เอาไว้และในหน้าเว็บเพจนั้นแฮกเกอร์จะฝัง iFrame ครอบหน้าเว็บเพจนั้นไว้อีกทีหนึ่ง ซึ่ง iFrame ตัวนี้จะทำการ exploit เครื่องของเหยื่อโดยการใช้ Redkit exploit kit หลังจาก exploit เครื่องของเหยื่อแล้วมันจะสั่งให้ดาวโหลดโทรจันที่มีชื่อว่า Troj/ExpJS-II และ Troj/Iframe-JG มาลงที่เครื่องของเหยื่อเพื่อเปิด backdoor เอาไว้ เราสามารถป้องกันการโจมตีแบบนี้ได้ง่ายๆโดยการ เข้าไปอ่านข่าวตามเว็บไซด์ข่าวที่น่าเชื่อถือโดยตรงแทนที่จะคลิกลิงค์ในอีเมลที่ส่งมาเพื่ออ่านข่าว

ที่มา: nakedsecurity.

กลุ่มแฮกเกอร์ได้มีการใช้ข่าวการระเบิดของโรงงานทำปุ๋ยในรัฐเท็กซัสในการแพร่กระจายมัลแวร์หลังจากเหตุการณ์เพิ่งเกิดขึ้นได้เพียงแค่ 1 วันเท่านั้น โดยแฮกเกอร์จะส่งอีเมลที่มีการใช้หัวข้ออีเมลว่า "CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas"(ภาพการระเบิดของโรงงานทำปุ๋ยใกล้เมือง Waco ในรัฐเท็กซัสที่ถูกจับภาพได้) ซึ่งในอีเมลนั้นจะแนบลิงค์มาด้วย ถ้าเหยื่อกดคลิกที่ลิงค์ก็จะเป็นการ redirect ไปยังเว็บเพจที่มีการฝังคลิป Youtube เอาไว้และในหน้าเว็บเพจนั้นแฮกเกอร์จะฝัง iFrame ครอบหน้าเว็บเพจนั้นไว้อีกทีหนึ่ง ซึ่ง iFrame ตัวนี้จะทำการ exploit เครื่องของเหยื่อโดยการใช้ Redkit exploit kit หลังจาก exploit เครื่องของเหยื่อแล้วมันจะสั่งให้ดาวโหลดโทรจันที่มีชื่อว่า Troj/ExpJS-II และ Troj/Iframe-JG มาลงที่เครื่องของเหยื่อเพื่อเปิด backdoor เอาไว้ เราสามารถป้องกันการโจมตีแบบนี้ได้ง่ายๆโดยการ เข้าไปอ่านข่าวตามเว็บไซด์ข่าวที่น่าเชื่อถือโดยตรงแทนที่จะคลิกลิงค์ในอีเมลที่ส่งมาเพื่ออ่านข่าว

ที่มา: nakedsecurity.

Tor มีช่องโหว่ที่สามารถทำให้ข้อมูลรั่วไหลได้และ bridge enumeration นั้นอ่อนเกินไป
โดยผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญและส่งผลกระทบให้เกิดการโจมตีอื่นๆตามมา
Tor เวอร์ชั่นก่อนหน้าจนถึงเวอร์ชั่น 0.2.2.34 มีความเสี่ยง

ที่มา: securityfocus

 

Tor มีช่องโหว่ที่สามารถทำให้ข้อมูลรั่วไหลได้และ bridge enumeration นั้นอ่อนเกินไป
โดยผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญและส่งผลกระทบให้เกิดการโจมตีอื่นๆตามมา
Tor เวอร์ชั่นก่อนหน้าจนถึงเวอร์ชั่น 0.2.2.34 มีความเสี่ยง

ที่มา: securityfocus