Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Monday, May 6, 2013

Facebook Worm Analysis [ mediafire.com ] ชำแหละไวรัส Facebook

    เมื่อคืนนี้ผมกำลังนั้ง Analyze Malware ตัวหนึ่งซึ่งเป็น Trojan ธรรมดาแต่มีวิธีการใช้ Unicode ได้น่าสนใจ ผมก็นั้งเขียนโปรแกรมขึ้นมา Proof of Concept ลองนั้นลองโน่น จนใกล้จะเช้ากำลังจะเข้านอน ทันใดนั้น ผมก็ได้รับข้อความจาก Facebook Friend คนหนึ่งตามรูปด้านล่าง




อยู่ดีๆส่ง Link มาแบบไม่มีปี่ไม่มีขลุ่ยแบบนี้ผมก็ฟันธงไปเลยเพื่อนผมติด Worm และกำลังจะแพร่พันธ์ุสู่เพื่อนชาว Facebook ผมก็คิดในใจพึ่ง Analyze เสร็จไปตัว กำลังจะเข้านอน ><" ไหนๆ Friend ผมก็อุตสาห์หวังดีขนาดนี้ก็จัดให้เขาซักหน่อยเริ่มสร้าง Lab ขึ้นมา Analyze เลย

เริ่มจากสิ่งแรก Link: http://www.mediafire.com/?5rkaj8tibydkffp/image0377.bmp ดูเหมือนจะเป็นไฟล์รูปเพราะนามสกุลเป็น .bmp แต่ไหงพอกดเข้าไปแล้วกลายเป็นให้โหลดไฟล์ image07.jpeg.exe ไปได้ละนั้น ถ้าไม่สังเกตุโหลดไปแล้วกดเปิดก็เรียบร้อยโรงเรียนจีนไปเลยน่ะครับ

* Link นั้นเป็น Malware จริงอย่าโหลดมาลองถ้าไม่แน่จริง เพราะอาจจะเป็นภาระเพื่อนฝูงใน Facebook ได้ :P *

** สำคัญ: ไม่ควรเปิดไฟล์ประมวลผลได้เช่น .exe, .bat, .com, ... ที่เรา Download มาจากแหล่งที่ไม่น่าเชื่อถือ ให้คิดไว้ก่อนเลยว่านั้นคือไวรัสแน่ๆ แล้วชีวิตจะไม่เศร้า :P ส่วนสาเหตุว่าทำไมถึงเป็นอย่างนั้น สามารถไปอ่านบทความย้อนหลังใน Blog ดูได้ครับ ผมได้เขียนไว้แล้วว่าทำไมพร้อมทำวิดีโอแสดงให้ดู :P **

กลับมาเข้าเรื่องต่อ Trick ตรงนี้ก็ไม่มีอะไรมากคือ จะอันนี้ http://www.mediafire.com/?5rkaj8tibydkffp
หรืออันนี้ http://www.mediafire.com/?5rkaj8tibydkffp/mayaseven.png มันก็จะไป Download ไฟล์  image07.jpeg.exe เหมือนเดิม นั้นก็คือตัวอักษรหลัง http://www.mediafire.com/?5rkaj8tibydkffp/ ตรงนี้ใส่อะไรก็ได้ไม่มีผล เขาก็เลยใส่ให้เหมือนว่าเป็นรูปทั้งชื่อและนามสกุลไฟล์ เพื่อให้เหยื่อสบายใจในการเปิดดูนั้นเอง [Social Engineering]

พอโหลดมาเปิดปุํบก็จะได้ผลงานตามรูป



เมื่อ Malware ทำงานปุ๊บ มันก็จะเนียนสร้างไฟล์ชื่อ svchosts.exe นั้นแน่มีเนียนสร้างไฟล์ให้ชื่อเหมือนไฟล์ของระบบ หลังจากนั้นก็มีการเชื่อมต่อไปประมาณ 3-4 ที่นอกนั้งยังไม่พอ มันยังไป Download เพื่อน(Malware) ของมันมาอีกตัวอยู่เบื้องหลัง ซึ่งเราไม่รู้หรอก เอ๊ะแต่ทำไมผมรู้ฮ่าๆ ที่อยู่ของเพื่อนมันคือ  http://www.mediafire.com/download.php?re6k3nnpftba8f2 เป็นไฟล์ชื่อว่า f.exe มันก็โหลดเพื่อนมันมาทำงานหน้าตาเฉย

ผลการ Scan Virus ไฟล์ image07.jpeg.exe จาก Virustotal 


ผลการ Scan Virus ไฟล์ f.exe จาก Virustotal



มี Anti-Virus อยู่ 3 ตัวจาก 46 ตัวที่เห็นว่าเจ้าไฟล์นี้เป็น Malware หรือไวรัสตามภาษาชาวบ้าน ซึ่งเมื่อตอนเช้าที่ผมกำลัง Analyze นั้นมี Kaspersky  Scan เจออยู่ตัวเดียวว่าไฟล์นี้เป็น Malware แต่ตอนสายๆก็มีเพิ่มมาละเป็น 3 ตัว

เพื่อนๆสามารถลอง Upload File ต้องสงสัยขึ้นไป Scan ที่ web http://www.virustoal.com ได้ครับ

แล้ว Malware มันทำอะไรกับเครื่องเราไปบ้างละ ?


เราจะมาดูกัน โดยทั่วไป Malware เมื่อสามารถ Inject เข้ามาที่เครื่องเหยื่อแล้วมันจะต้องวาง Backdoor หรือช่องทางที่จะเข้ามาควบคุมเครื่องเหยื่อเพื่อให้ทำงานได้อย่างที่ผู้สร้างต้องการ เช่น ขโมยความลับจากเครื่องเหยื่อหรือสั่งเครื่องเหยื่อ ไปยิงเครื่องชาวบ้าน เป็นต้น ซึ่งเจ้า Malware ตัวนี้ก็ไม่พลาดมีการ Reverse TCP ไปที่ Server ของผู้สร้างโดยใช้ IRC Protocol ในการสั่งการตามรูปด้านล่าง

* IRC นี่หลายคนอาจจะเกิดไม่ทัน มันเป็นช่องทาง Chat ที่เอาไว้คุยกันในสมัยก่อน ถ้าใครทันจะรู้จัก PIRCH พูดแล้วน้ำตาจะไหลมันคงเป็น 10 ปีแล้วซินะ :P ถ้าเปรียบเทียบกับสมัยนี้คงจะเป็นเหมือน Camfrog นั้นแล ซึ่ง IRC นี่นิยมมากในการเอามาใช้ควบคุม Bot ในกลุ่ม Hacker เรียกว่า Command and Conquer เอ้ยไม่ใช่ต้องเป็น Command and Control (C&C) Server นั้นแล ส่วนเครื่องเหยื่อที่ติด Malware ก็ถูกเรียกว่า Bot ในความหมายคือเหมือนหุ่นยนต์ที่สามารถเข้าไปบังคับควบคุมได้นั้นเอง *





จากรูปด้านบน ผู้สร้าง Malware เขาอาจจะตกใจเล็กน้อยที่มีแขกไม่ได้รับเชิญ บุกเข้าไปถึงห้องควบคุมเหล่า Bot ของเขา :P

คำถามต่อมาแล้ว C&C Server ที่มันใช้ควบคุมตั้งอยู่ที่ไหนบนโลกนะ ?

คำตอบตามรูปด้านล่าง


ได้ความว่าเป็น Server ตั้งอยู่ที่ Germany สำหรับเจ้าหน้าที่ ที่ต้องการสือบสวนหาผู้สร้าง Malware ก็ได้ข้อมูลเพิ่มในการสืบสวนพอสมควรจากส่วนนี้

Function ของ Malware ตัวนี้ที่เจ๋งอีกอันก็คือส่ง Private Message มาถามว่าเป็น Malware ver ล่าหรือยังต้อง Update ไหม

/PRIVMSG #o.O :{DL}:  http://www.mediafire.com/download.php?re6k3nnpftba8f2 - Update: no

เป็น Malware ที่เป็นจริงเป็นจังสไตล์ Europe  APT (Advanced Persistent Threat)  ซะจริงๆ  :P

และก็มาถึง Function สุดท้ายที่สำคัญ ก็คือ Function ที่มันเอาไว้แพร่พันธุ์ตัวเองผ่านทาง Facebook นั้นเอง เมื่อผมทำการเปิด Web Browser และ Login Facebook ก็มี Process ไม่ได้รับเชิญเกิดขึ้นมาตามรูปด้านล่าง


                       

เจ้าไฟล์ regsrv64.exe ก็จะถูกเรียกขึ้นมาทำงาน ซึ่งที่น่าสนใจไฟล์นี้มีคำอธิบายด้วย Chocolate CupCake CupCake Chocolate Shit ซึ่งอาจจะเป็นชื่อเรียกเจ้า Malware นี้ในอนาคตก็เป็นได้ เมื่อไฟล์ regsrv64.exe ถูกเรียกขึ้นมาประมวลผลก็จะได้ผลดังรูปล่าง



พอถึงเวลาอันเหมาะสมเจ้า Malware ก็จะทำการส่งข้อความไปให้เพื่อนใน Facebook เหมือนอย่างที่ผมได้รับในตอนต้นเรื่องนั้นเอง


ซึ่งเทคนิคในการส่งข้อความนั้นผมจับ Signature บางอย่างได้ ทำให้ผมคิดว่าเขาน่าจะพัฒนา Script ในการส่งข้อความหา Friend ใน Facebook ของ Malware มาจาก Script การส่งข้อความหาเพื่อนทุกคนใน Facebook ของคุณ FiloSottile Source code ตาม Link: https://gist.github.com/FiloSottile/4215248/raw/c17775d928b650b3cb872d9131bce498543e9f27/krumiro_en.js


สรุป & การป้องกัน บทความนี้เราได้ชำแหละเจ้า Facebook Malware ตัวนี้ละเอียดประมาณหนึ่ง(ไม่ไหวที่จะเขียนยาวเพราะยังไม่ได้นอนเลย ~.~ ) เป็น Malware ที่มีความซับซ้อนอยู่ในระดับกลางๆ สำหรับวิธีการป้องกันนั้นก็อย่าคลิก Link มั่วซั่ว แม้กระทั้ง Link ที่เพื่อนเราส่งมาให้ ก็ให้ลองถามเขาดูก่อนว่าใช่เขาส่ง Link นั้นมาให้จริงๆไหม หรือเป็น Bot ที่ถูกควบคุมให้ส่ง Link นั้นมาให้กันแน่ และก็ทำการ Update Anti-Virus สม่ำเสมอครับ :)

สำหรับคนที่ติดเชื้อไปแล้วขั้นตอนที่ง่ายที่ทุกคนทำได้ในการแก้ไวรัสตัวนี้คือ
1.) ดูข้อความของเรา ว่ามีการส่ง Link แปลกๆไปหาเพื่อนๆใน Facebook หรือเปล่า
2.) ถ้ามีก็เริ่มจาก Update โปรแกรม Anti-Virus ที่เรามีก่อนแล้วลอง Scan ดูครับ
3.) ถ้า Scan แล้วเหมือนไม่เจออะไร และยังคงมีส่งข้อความ Link ไวรัสไปให้เพื่อนๆอยู่ ก็ให้ไปโหลด Kaspersky มาลงแล้ว Scan เพราะตัวนี้เป็นตัวแรกที่ Scan ไวรัสตัวนี้เจอและ ณ เวลาตอนเขียนบทความนี้ มีเพียง 3 ยี่ห้อจาก 46 ยี่ห้อที่ Scan เจอไวรัสตัวนี้
4.) พอ Clear เจ้าไวรัสออกไปได้ก็ทำการเปลี่ยนรหัสผ่าน และ Clear Session ที่ค้างอยู่ให้หมดซะเพราะผมยังไม่ได้ Analyze ลึกลงไปถึงตัว Process มันอาจจะมีการเก็บ Password ของเราส่งไปให้ผู้สร้าง ซึ่งมันทำแน่ๆอยู่แล้วเป็นผม ผมก็ทำ :P

สุดท้ายนี้ โชคดีปลอดภัยทุกคนครับ :P

สงสัยต้องการสอบถาม หรือ แนะนำ ติชม เพิ่มเติมสามารถเข้ามาพูดคุยกันได้ที่ https://www.facebook.com/pages/MaYaSeVeN/139105159494751

Written by MaYaSeVeN