Cyber threats 2013

1,002 views
877 views

Published on

บทความ Cyber Threats 2013
โดย ThaiCERT

Published in: Internet
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,002
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Cyber threats 2013

  1. 1. ชื่อเรื่อง บทความ Cyber Threats 2013 โดย ThaiCERT เรียบเรียงโดย นายชัยชนะ มิตรพันธ์์ นายสรณันท์ จิวะสุรัตน์ นายธงชัย แสงศิริ นายไพชยนต์ วิมุกตะนันทน์ นายพรพรหม ประภากิตติกุล นายเสฏฐวุฒิ แสนนาม นายเจษฎา ช้างสีสังข์ นายวิศัลย์ ประสงค์สุข นายธงชัย ศิลปวรางกูร นายแสนชัย ฐิโนทัย นางสาวโชติกา สินโน นางสาวกรรณิกา ภัทรวิศิษฏ์สัณธ์ นายณัฐโชติ ดุสิตานนท์ นายนวรัตน์ พัฒโนทัย นางสาวนันทพร เหมะจันทร นายรณนเรศร์ เรืองจินดา และทีมไทยเซิร์ต พิมพ์ครั้งที่ 1 พฤษภาคม 2557 พิมพ์จำ�นวน 3,000 เล่ม ราคา 300 บาท สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 จัดพิมพ์และเผยแพร่โดย ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) (Thailand Computer Emergency Response Team : ThaiCERT) สำ�นักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) Electronic Transactions Development Agency (Public Organization : ETDA) ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 เลขที่ 120 หมู่ 3 อาคารรัฐประศาสนภักดี (อาคาร B) ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210 โทรศัพท์ : 0-2142-2483 | โทรสาร : 0-2143-8071 อีเมล : office@thaicert.or.th เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th เว็บไซต์ สพธอ. : www.etda.or.th เว็บไซต์กระทรวงฯ : www.mict.go.th
  2. 2. ทุกวันนี้ เทคโนโลยีสารสนเทศ เข้ามามีบทบาท ในชีวิตของทุกคน ไม่ว่าจะในการทำ�งาน การ ติดต่อสื่อสาร การทำ�ธุรกรรมทางการเงิน หรือ แม้แต่ความบันเทิง แต่ขณะที่เทคโนโลยีเจริญ ก้าวหน้าขึ้น ผู้ไม่หวังดีที่ใช้ช่องโหว่ของเทคโนโลยี ในการหาผลประโยชน์ก็มีจำ�นวนมากขึ้น และมี การพัฒนาเทคนิควิธีการใหม่ๆ ตามติดกับความ ก้าวหน้าของเทคโนโลยีเช่นกัน การโจมตีระบบ เครือข่ายของหน่วยงานทั้งของรัฐและเอกชนใน หลายๆ ประเทศ โดยเฉพาะหน่วยความที่มีความ สำ�คัญในระดับสูง หรือหน่วยงานด้านเทคโนโลยี สารสนเทศ จัดว่าเป็นเหตุการณ์ที่สามารถเกิด ขึ้นได้ทุกเวลา ดังจะเห็นได้จากสำ�นักข่าวต่างๆ ที่นำ�เสนอเหตุการณ์ในลักษณะนี้อย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์ภัยคุกคามทาง ไซเบอร์ ไม่ได้จำ�กัดอยู่แต่ในกลุ่มที่เกี่ยวข้องกับ เทคโนโลยี หรือหน่วยงานสำ�คัญๆ เท่านั้น แต่ รวมไปถึงผู้ใช้งานทั่วไปที่ใช้อินเทอร์เน็ตในด้าน ที่ไม่เกี่ยวข้องกับเทคโนโลยีโดยตรง เช่น กรณี เว็บไซต์ยอดนิยมที่ถูกเจาะระบบเพื่อฝังโปรแกรม ไม่พึงประสงค์ ทำ�ให้ผู้เข้าชมเว็บไซต์ตกเป็นเหยื่อ ของโปรแกรมไม่พึงประสงค์นั้น ซึ่งหวังผลใน ด้านการขโมยเงินจากบัญชีธนาคารออนไลน์ ที่ มีการพบในเดือนมิถุนายน 2556 เป็นตัวอย่าง ของกรณีการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้ทั่วไป ซึ่งอาศัยความจริงที่ว่าผู้ใช้งานจำ�นวนไม่น้อย ยังขาดความรู้ความเข้าใจที่เพียงพอในการ ป้องกันตัวเองจากการโจมตีเหล่านี้ นอกจากนี้ ผู้ใช้งานส่วนมากที่ไม่ได้อยู่ในสายเทคโนโลยี มักจะไม่ได้ติดตามหรือไม่มีเวลาติดตามข้อมูล ข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์ และการ ขาดความตระหนักในด้านความมั่นคงปลอดภัย ในการใช้อินเทอร์เน็ต หรือความสำ�คัญของการ รักษาความลับของข้อมูลส่วนบุคคล ไทยเซิร์ต (ThaiCERT) ภายใต้ ETDA นอกจากมีภารกิจหลักในการรับแจ้ง และ ประสานงานเพื่อรับมือภัยคุกคามทางไซเบอร์ แล้ว ยังมีภารกิจในการเผยแพร่ความรู้
  3. 3. และสร้างความตระหนักในการป้องกันและแก้ไข ปัญหาภัยคุกคามทางไซเบอร์แก่สาธารณชน โดยทั่วไป โดยมุ่งหวังจะให้เป็นแหล่งเผยแพร่ ข้อมูลการเตือนภัยการโจมตี หรือช่องโหว่ที่มี ผู้ค้นพบใหม่ในเวลานั้น และแนะนำ�แนวทางแก้ไข ที่ได้ผลสำ�หรับผู้ได้รับผลกระทบ โดยนำ�เสนอใน รูปแบบภาษาไทย ที่มีความครบถ้วน ถูกต้อง และทันต่อเวลา ทีมงานไทยเซิร์ตได้ติดตามข่าวสารจากแหล่งข่าว ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์ จากทั่วโลก ศึกษาและและกลั่นกรองเฉพาะ เหตุการณ์ที่อาจส่งผลกระทบต่อผู้ใช้งานใน ประเทศไทย โดยมีการตรวจสอบยืนยัน และ วิเคราะห์เพิ่มเติมก่อนที่จะเผยแพร่ทางเว็บไซต์ รวมถึงการเผยแพร่บทความด้านความมั่นคง ปลอดภัยสารสนเทศที่น่าสนใจ และมีประโยชน์ ต่อผู้ใช้งานในทุกระดับ หนังสือเล่มนี้รวบรวมการแจ้งเตือนและบทความ ที่เผยแพร่บนเว็บไทยเซิร์ต ในปี 2013 โดยหวัง เป็นอย่างยิ่งว่าผู้อ่านจะได้รับความรู้เพิ่มเติม ตื่นตัว รวมทั้งตระหนักถึงผลกระทบและความ สำ�คัญของการรักษาความมั่นคงปลอดภัย สารสนเทศ จนสามารถป้องกันและแก้ไข ภัยคุกคามเบื้องต้นได้อย่างเหมาะสม และ เป็นการเสริมสร้างความเข้มแข็งให้แก่สังคม ไซเบอร์ของประเทศไทยได้อีกทางหนึ่ง สุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรม ทางอิเล็กทรอนิกส์ (องค์การมหาชน)
  4. 4. บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ‘CDwnBindInfo’ ใน Internet Explorer 6-7-8 (CVE-2012-4792) ติดตั้งแพทช์โดยด่วน........14 ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422)................................................................................................................ 16 ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128 (npFoxitReaderPlugin.dll)................................ 18 ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล Universal Plug-and-Play (UPnP)......... 20 ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร.................................................................................................................................24 ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ�คัญได้้3� 30 ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ�สั่งอันตรายได้3� 32 ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้..............................................34 ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูลในมือถือระบบปฏิบัติการ Android.............................................................................................................................................. 38 ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม..........................................................................................................40 ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม4� 46 ระวังภัย ช่องโหว่ใน Samsung Galaxy S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใดๆ สามารถสร้าง SMS ปลอม หรือแอบส่ง SMS ได้................................................................................................................................................................................................................54
  5. 5. ระวังภัย Firefox for Android มีช่องโหว่ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันทีที่เข้าเว็บไซต์................................58 ระวังภัย แอปพลิเคชัน iMessage Chat ใน Google Play Store อาจขโมยข้อมูลสำ�คัญ6� 60 ระวังภัย ช่องโหว่ใน Internet Explorer ทุกเวอร์ชัน Microsoft ออกแพทช์แก้ไขแล้ว ติดตั้งโดยด่วน (CVE-2013-3893)........................................................................................................................................................................... 64 เว็บไซต์ Adobe ถูกแฮก ข้อมูลผู้ใช้และซอร์สโค้ดของโปรแกรมหลุดสู่อินเทอร์เน็ต..............................................................................66 ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day TIFF Codec ในโปรแกรม Microsoft Office (CVE-2013-3906).....................................................................................................................................68 ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader........................70 ระวังภัย ช่องโหว่ในคำ�สั่ง sudo ผู้ไม่หวังดีสามารถได้สิทธิ์ของ root โดยไม่ต้องใส่รหัสผ่าน7� 74 ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว................ 76 ระวังภัย ช่องโหว่ “Master Key” ในระบบปฏิบัติการ Android................................................................................................................ 78 ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดีสามารถอัพโหลดไฟล์อันตรายใดๆ เข้ามาในระบบได้............................................................88
  6. 6. บทความทั่วไป การใช้ PGP ด้วย Command line......................................................................................................................................................................92 มหากาฬแฮกกิ้งกับดิจิทัลไลฟ์ที่สูญสิ้นของนายแมท โฮนาน........................................................................................................................104 Facebook Community Standards กับการโพสต์บนเฟชบุ๊ค.........................................................................................................110 เปิดใช้ 2-Step Authentication ใน Google แล้วมีปัญหาใช้แอปบนมือถือ ทำ�ไงดี !!1� 114 Secure delete: ลบไฟล์อย่างไรให้ปลอดภัยจากการกู้คืน.......................................................................................................................118 iPhone iPad iPod ติดมัลแวร์ภายใน 1 นาที...............................................................................................................................................124 Blackhat USA 2013................................................................................................................................................................................................132 ATM Skimmer และข้อควรระวังในการใช้งานตู้ ATM................................................................................................................................142 ไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE แฮกเกอร์สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi และอ่านบทสนทนาได้ทันที ผู้ใช้งานควรอัพเดตเวอร์ชันใหม่........................................................................................................................150 เช็ครูปก่อนแชร์....................................................................................................................................................................................................................162 Digital Forensics 101 (ตอนที่ 1)......................................................................................................................................................................166 แนวโน้มภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ ปี 2557.............................................................................................................172 Digital Forensics 101 (ตอนที่ 2)....................................................................................................................................................................178
  7. 7. บทความเชิงเทคนิค Nmap .............................................................................................................................................................................................................................188 DDoS: DNS Amplification Attack.............................................................................................................................................................. 196 Nmap Scripting Engine....................................................................................................................................................................................206 Full disk encryption และ Cold boot attack...................................................................................................................................214 เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ด้วย EMET Version 4...............................................................................................222 Global Surveillance: ตอนที่ 1........................................................................................................................................................................228 นักวิจัยพบว่าแอปบน iOS สามารถถูก Hijack ดักแก้ไขข้อมูลระหว่างทางได้.............................................................................232 Security Information Manager (1)..........................................................................................................................................................236 Global Surveillance: ตอนที่ 2......................................................................................................................................................................240 badBIOS มัลแวร์ที่ส่งข้อมูลผ่านคลื่นเสียง เรื่องจริงหรือโกหก?.....................................................................................................244 CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่.....................................................................................................................................................250 การวิเคราะห์มัลแวร์เบื้องต้น ตอนที่ 1.................................................................................................................................................................258 URL Obfuscation....................................................................................................................................................................................................264 Security Information Manager (2)........................................................................................................................................................270 Risk on LINE................................................................................................................................................................................................................274
  8. 8. CYBER THREATS 2013 13 บทความ ประเภท แจ้งเตือนและ ข้อแนะนำ�
  9. 9. 14 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ‘CDWNBINDINFO’ ใน INTERNET EXPLORER 6-7-8 (CVE-2012- 4792) ติดตั้งแพทช์โดยด่วน วันที่ประกาศ : 4 มกราคม 2556 ปรับปรุงล่าสุด : 15 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ ‘CDwnBindInfo’ ใน Internet Explorer 6-7-8 (CVE-2012-4792) ติดตั้งแพทช์โดยด่วน ประเภทภัยคุกคาม : Intrusion, Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 29 ธันวาคม 2556 Microsoft ได้ออกประกาศแจ้งเตือน Security Advisory หมายเลข 2794220 [1] เรื่อง ช่องโหว่ในโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8 โดยช่องโหว่ดังกล่าวนี้เกิดจากข้อผิดพลาด Use-after-free (เรียกใช้งานข้อมูลที่ถูกลบออกจาก หน่วยความจำ� ไปแล้ว) ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-4792 [2] ผลกระทบ ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีคำ� สั่งอันตราย หรือเจาะระบบเว็บไซต์ของผู้อื่น แล้วฝัง คำ� สั่งอันตรายไว้ เมื่อผู้ใช้เข้าใช้งานเว็บไซต์นั้นด้วยโปรแกรม Internet Explorer คำ� สั่งอันตราย ดังกล่าวจะทำ� ให้เกิดความผิดพลาดในการเรียกใช้งานหน่วยความจำ� และส่งผลให้ผู้ไม่หวังดีสามารถสั่ง ประมวลผลคำ� สั่งอันตรายจากระยะไกล (Remote Code Execution) โดยได้สิทธิ์ในระดับเดียวกัน กับบัญชีผู้ใช้ที่ใช้งานโปรแกรม Internet Explorer [3]
  10. 10. CYBER THREATS 2013 15 ระบบที่ได้รับผลกระทบ 1. ระบบปฏิบัติการ Windows ที่ติดตั้งโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8 2. Microsoft แจ้งว่าโปรแกรม Internet Explorer ใน Windows Server 2003, Windows Server 2008, และ Windows Server 2008 R2 ที่ตั้งค่าเริ่มต้นให้ทำ� งานในโหมด Enhanced Security Configuration ช่วยลดผลกระทบจากการโจมตีผ่านช่องโหว่นี้ได้ ข้อแนะนำ� ในการป้องกันและแก้ไข ช่องโหว่นี้ไม่มีผลกระทบกับผู้ที่ใช้งาน Internet Explorer เวอร์ชัน 9 และ 10 ดังนั้นเพื่อ ความปลอดภัยควรอัพเกรดโปรแกรม Internet Explorer ให้เป็นเวอร์ชันดังกล่าว เนื่องจากผลกระทบที่เกิดจากการโจมตีนี้ ทำ� ให้ผู้ไม่หวังดีได้รับสิทธิ์เดียวกันกับบัญชีผู้ใช้ที่ใช้งาน โปรแกรม Internet Explorer ดังนั้นผู้ใช้ควรใช้งานบัญชีผู้ใช้ที่เป็น Limited User เนื่องจากจะได้ รับผลกระทบน้อยกว่า Administrator เมื่อวันที่ 14 มกราคม 2556 Microsoft ได้เผยแพร่แพทช์ MS13-008 เพื่อแก้ไขช่องโหว่ ดังกล่าวแล้ว โดยได้แนะนำ� ให้ผู้ใช้งานติดตั้งแพทช์ดังกล่าวอย่างเร่งด่วนที่สุด เนื่องจากช่องโหว่นี้ถูกจัด ให้มีความรุนแรงอยู่ในระดับ Critical และพบว่าเริ่มมีการโจมตีผ่านช่องโหว่นี้อย่างแพร่หลายแล้ว โดย สามารถติดตั้งได้ผ่านทาง Windows Update และดาวน์โหลดได้จากเว็บไซต์ของ Microsoft [4] อ้างอิง 1. http://technet.microsoft.com/en-us/security/advisory/2794220 2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792 3. http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet- explorer-8-users.aspx 4. http://support.microsoft.com/kb/2799329
  11. 11. 16 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน JAVA 7 UPDATE 10 (CVE-2013-0422) วันที่ประกาศ : 11 มกราคม 2556 ปรับปรุงล่าสุด : 15 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422) ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยที่ใช้ชื่อว่า Kafeine ได้ค้นพบมัลแวร์ที่ โจมตีผ่านช่องโหว่ของโปรแกรม Java เวอร์ชัน 7 Update 10 หรือเก่ากว่า และได้พบว่าซอฟต์แวร์ ประเภท Exploit Kit หลายตัว เช่น Metasploit, Redkit หรือ Blackhole ได้เพิ่มความสามารถ ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้เข้าไปในโปรแกรมของตนเองแล้ว [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-0422 [2] บริษัท FireEye แจ้งว่าได้ตรวจสอบพบการโจมตีผ่านช่องโหว่นี้ตั้งแต่เมื่อวันที่ 2 มกราคม 2556 แล้ว โดยพบว่ามีการฝังโค้ดที่ใช้ในการโจมตีไว้ในเว็บไซต์ประเภทแชร์ไฟล์ [3] ในเบื้องต้นทาง FireEye พบว่าช่องโหว่ดังกล่าวนี้ถูกใช้เป็นช่องทางในการโจมตี Java 7 Update 10 หรือตË่ำกว่าใน Java เวอร์ชัน Windows แต่คาดว่าช่องโหว่นี้สามารถใช้ในการโจมตีระบบปฏิบัติการอื่นๆ ได้ด้วย US-CERT ได้วิเคราะห์ว่าช่องโหว่ดังกล่าวเกิดจากข้อผิดพลาดในฟังก์ชัน setSecurityManager() ของระบบ Security Manager ใน Java Runtime Environment (JRE) มีผลทำ� ให้แอปพลิเคชันสามารถได้รับสิทธิ์การทำ� งานเกินปกติ (Privilege Escalation) [4] ผลกระทบ ช่องโหว่ดังกล่าวนี้สามารถโจมตีได้ด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ ซึ่งหากผู้ใช้งานเข้าชม เว็บไซต์ดังกล่าว อาจถูกติดตั้งมัลแวร์ หรืออาจถูกสั่งให้ประมวลผลคำ� สั่งอันตรายจากระยะไกลได้ (Remote Code Execution)
  12. 12. CYBER THREATS 2013 17 ระบบที่ได้รับผลกระทบ Java 7 Update 10 หรือตË่ำกว่า ในเวอร์ชัน Windows ข้อแนะนำ� ในการป้องกันและแก้ไข Oracle ได้ออก Java 7 Update 11 เพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลด ได้จากเว็บไซต์ของ Oracle [5] โดยอัพเดต เวอร์ชันดังกล่าวนี้ได้ปิดช่องโหว่ CVE-2012-3174 ด้วย อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความ มั่นคงปลอดภัยหลายฝ่ายให้ความเห็นว่าถึงแม้ จะมีอัพเดตออกมาแล้ว แต่ Java ยังคงมี ความเสี่ยงอยู่ และแนะนำ� ให้ปิดการทำ� งานของ Java เมื่อไม่มีความจำ� เป็นต้องใช้งาน [6] โดย ตั้งแต่ Java 7 Update 10 เป็นต้นไป ทาง Oracle ได้เพิ่มคุณสมบัติการปิดการทำ� งาน ของ Java ในเว็บเบราว์เซอร์แล้ว ซึ่งผู้ใช้ สามารถศึกษาวิธีการปิดการทำ� งานได้จาก เว็บไซต์ของ Java [7] อ้างอิง 1. http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable. html 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422 3. http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day. html 4. http://www.kb.cert.org/vuls/id/625617 5. http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html 6. http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114 7. http://www.java.com/en/download/help/disable_browser.xml
  13. 13. 18 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ BUFFER OVERFLOW ใน FOXIT READER 5.4.4.1128 (NPFOXITREADERPLUGIN.DLL) วันที่ประกาศ : 22 มกราคม 2556 ปรับปรุงล่าสุด : 22 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128 (npFoxitReaderPlugin.dll) ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยชาวอิตาลีชื่อ Andrea Micalizzi ได้ ค้นพบช่องโหว่ของโปรแกรม Foxit Reader ซึ่งเป็นโปรแกรมที่ใช้สำ� หรับอ่านไฟล์ PDF โดยช่องโหว่ที่ พบนี้อยู่ในไฟล์ npFoxitReaderPlugin.dll ซึ่งเป็นปลั๊กอินสำ� หรับเปิดไฟล์ .pdf ในเว็บเบราว์เซอร์ โดยเมื่อผู้ใช้เปิดไฟล์ .pdf จาก URL ที่มีความยาวมากๆ จะส่งผลให้ปลั๊กอิน ดังกล่าวเกิดอาการ Buffer Overflow [1] ตัวอย่างหน้าจอการทำ� งานผิดพลาด เป็นดังรูปที่ 1 รูปที่ 1 หน้าจอของเว็บ เบราว์เซอร์เมื่อปลั๊กอินเกิดอาการ Buffer Overflow (ที่มา : Naked Security [1])
  14. 14. CYBER THREATS 2013 19 ผลกระทบ ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ� สั่งอันตรายบนเครื่องคอมพิวเตอร์ ของผู้ใช้ได้ [2] ระบบที่ได้รับผลกระทบ Foxit Reader เวอร์ชั่น 5.4.4.1128 หรือเก่ากว่า (ปลั๊กอิน npFoxitReaderPlugin.dll เวอร์ชัน 2.2.1.530) [3] ข้อแนะนำ� ในการป้องกันและแก้ไข Foxit Software ได้เผยแพร่โปรแกรม Foxit Reader เวอร์ชัน 5.4.5 เพื่อแก้ไขปัญหานี้แล้ว [4] ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Foxit Software [5] อ้างอิง 1. http://nakedsecurity.sophos.com/2013/01/11/vulnerability-in-foxit-pdf-plugin-for-firefox 2. http://secunia.com/advisories/51733/ 3. http://threatpost.com/en_us/blogs/vulnerability-foxit-reader-allows-attackers-remotely- execute-code-011013 4. http://www.foxitsoftware.com/support/security_bulletins.php#FRD-18 5. http://www.foxitsoftware.com/downloads/index.php
  15. 15. 20 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ DOS และ REMOTE CODE EXECUTION ใน โพรโทคอล UNIVERSAL PLUG-AND-PLAY (UPNP) วันที่ประกาศ : 31 มกราคม 2556 ปรับปรุงล่าสุด : 31 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล Universal Plug-and-Play (UPnP) ประเภทภัยคุกคาม : Denial-of-Service, Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 29 มกราคม 2556 นักวิจัยจากบริษัท Rapid 7 ได้ค้นพบช่องโหว่ของโพรโทคอล Universal Plug-and-Play (UPnP) ซึ่งเป็นโพรโทคอลที่ใช้ในระบบเครือข่าย สำ� หรับให้อุปกรณ์ที่ อยู่ในระบบสามารถเชื่อมต่อ และค้นหาเครื่องอื่นๆ ในเครือข่าย เพื่อควบคุมแชร์ไฟล์ สั่งพิมพ์เอกสาร หรือ เข้าถึงทรัพยากรอื่นๆ ที่ถูกแชร์ไว้ได้ โดยส่วนมาก โพรโทคอล UPnP จะเปิดใช้งาน (Enable) ไว้แล้ว ตั้งแต่แรกในอุปกรณ์ที่สามารถเชื่อมต่อกับระบบเครือข่ายได้ ไม่ว่าจะเป็นคอมพิวเตอร์ เราท์เตอร์ เครื่องพิมพ์ หรือแม้กระทั่ง Smart TV ตัวอย่างการใช้งานโพรโทคอล UPnP เช่น โปรแกรมประเภท Bittorrent จะใช้ UPnP ในการทำ� Port Forward จากเราท์เตอร์ เพื่อให้สามารถ แลกเปลี่ยนข้อมูลกับผู้ใช้โปรแกรม Bittorrent อื่นๆ ได้ หรือหน้าจอ “Add Device” ของระบบปฏิบัติการ Windows ที่จะใช้ UPnP ในการตรวจสอบหาอุปกรณ์ที่อยู่ในระบบเครือข่าย เช่น เครื่องพิมพ์ เพื่อที่จะเข้าไปจัดการกับอุปกรณ์ดังกล่าว เช่น ตั้งค่าการทำ� งาน หรือ เคลียร์รายการเอกสารที่สั่งพิมพ์อยู่ เป็นต้น [1]
  16. 16. CYBER THREATS 2013 21 ผลกระทบ ช่องโหว่ที่ค้นพบนี้เกิดจากข้อผิดพลาด Buffer overflow ในไลบรารี libupnp ซึ่งเป็น Portable SDK ที่นำ� ไปใช้ในอุปกรณ์ที่รองรับระบบ UPnP เช่น เราท์เตอร์สำ� หรับเชื่อมต่อ อินเทอร์เน็ต ADSL ที่ใช้งานตามบ้าน หรือ WiFi Access Point โดยทาง Rapid 7 ได้จัด ผลกระทบออกเป็น 3 ประเด็นดังนี้ • ช่องโหว่ใน UPnP discovery protocol (SSDP) ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบ การทำ� งานของ UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้ • ช่องโหว่ใน UPnP control interface (SOAP) เปิดเผยข้อมูลที่เกี่ยวข้องกับระบบ เครือข่ายภายใน (Internal network) ให้กับบุคคลภายนอก • ช่องโหว่ใน UPnP HTTP และ SOAP ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบการทำ� งานของ UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้ นักวิจัยจากบริษัท Rapid 7 ได้ทำ� การทดลองแล้วพบว่ามีอุปกรณ์กว่า 80 ล้านเครื่องทั่วโลกที่ ตอบรับ UPnP discovery request ที่มาจากอินเทอร์เน็ต และจากการตรวจสอบพบว่ามีอุปกรณ์ ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวอยู่มาก ถึง 40-50 ล้านเครื่องทั่วโลก [2] โดยมีข้อมูล เพิ่มเติมดังรูปที่ 1 ระบบที่ได้รับผลกระทบ หน่วยงาน CERT.org ได้ติดต่อผู้ผลิตอุปกรณ์เครือข่ายและระบบปฏิบัติการคอมพิวเตอร์เพื่อ ขอข้อมูลระบบที่ได้รับผลกระทบ โดยปัจจุบัน (ณ วันที่ประกาศแจ้งเตือนนี้) มีผู้ผลิตที่ยืนยันแล้วว่า ระบบมีช่องโหว่ คือ • Cisco Systems, Inc. • Fujitsu Technology • Huawei Technologies • Linksys • NEC Corporation • Siemens • Sony Corporation และผู้ผลิตที่ยืนยันแล้วว่าระบบไม่ได้รับผลกระทบคือ Ubiquiti Networks ในส่วนของระบบอื่นๆ ที่ใช้งาน UPnP ยังอยู่ระหว่างการประสานงานและตรวจสอบข้อมูล ผู้ใช้งานระบบดังกล่าวควรตรวจสอบ และติดตามข้อมูลของช่องโหว่จากเว็บไซต์ของ CERT.org และ เว็บไซต์ของผู้ผลิตอย่างสมË่ำเสมอ [3]
  17. 17. 22 บทความแจ้งเตือนและข้อแนะนำ� รูปที่ 1 ข้อมูลของระบบที่ได้รับ ผลกระทบจากช่องโหว่ UPnP (ที่มา : Rapid 7 [1]) ข้อแนะนำ� ในการป้องกันและแก้ไข ผู้พัฒนา libupnp ได้เผย แพร่ไลบรารีเวอร์ชัน 1.6.18 ซึ่งแก้ไข ปัญหาดังกล่าวแล้ว [4] ระหว่างที่ รอผู้ผลิตนำ� ไลบรารีดังกล่าวไป ปรับปรุงระบบ ผู้ใช้งานควร ป้องกันปัญหาที่อาจจะเกิดขึ้นโดย ตรวจสอบ และปิดการทำ� งานของ ระบบ UPnP ในอุปกรณ์ต่างๆ หรือตั้งค่า Firewall โดยไม่ อนุญาตให้มีการเข้าถึงพอร์ต 1900/udp จากโฮสต์ที่น่าสงสัย ทาง Rapid 7 ได้เผยแพร่ ซอฟต์แวร์ ScanNow for UPnP ซึ่งเป็นซอฟต์แวร์ที่ใช้สำ� หรับการสแกนอุปกรณ์ในระบบเครือข่ายเพื่อตรวจสอบ ว่ามีช่องโหว่ UPnP อยู่หรือไม่ โดยซอฟต์แวร์ดังกล่าวทำ� งานได้เฉพาะบนระบบปฏิบัติการ Windows ผู้ใช้งาน สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ของ Rapid 7 [5] ตัวอย่างหน้าจอของโปรแกรม ScanNow for UPnP เป็นดังรูปที่ 2 รูปที่ 2 ตัวอย่างหน้าจอของ โปรแกรม ScanNow for UPnP (ที่มา : Rapid 7 [1])
  18. 18. CYBER THREATS 2013 23 สำ� หรับผู้ใช้ระบบปฏิบัติการ Mac OS X หรือ Linux ทาง Rapid 7 แนะนำ� ให้ใช้โปรแกรม Metasploit [6] และเรียกใช้โมดูลที่ชื่อ UPnP SSDP M-SEARCH Information Discovery สำ� หรับสแกนช่องโหว่ในระบบเครือข่าย สำ� หรับผู้ใช้งานอินเทอร์เน็ตตามบ้าน ทาง Rapid 7 ได้เปิดเว็บไซต์สำ� หรับให้บริการสแกน เราท์เตอร์ที่ใช้งานอยู่เพื่อตรวจสอบว่า อุปกรณ์ดังกล่าวยอมรับ UPnP discovery request จาก อินเทอร์เน็ตหรือไม่ โดยสามารถตรวจสอบได้จากเว็บไซต์ http://upnp-check.rapid7.com/ [7] ตัวอย่างหน้าเว็บไซต์ดังกล่าวเป็นดังรูปที่ 3 อ้างอิง 1. https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal- plug-and-play-unplug-dont-play 2. https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/ SecurityFlawsUPnP.pdf 3. http://www.kb.cert.org/vuls/id/922681 4. http://pupnp.sourceforge.net/ 5. http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and- play-jan-2013.jsp 6. http://www.rapid7.com/products/metasploit/download.jsp 7. http://upnp-check.rapid7.com/ รูปที่ 3 ตัวอย่างหน้าจอของ โปรแกรม ScanNow for UPnP (ที่มา : Rapid 7 [1])
  19. 19. 24 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย มัลแวร์ใน ANDROID หลอกขโมยเงินจากธนาคาร วันที่ประกาศ : 8 มีนาคม 2556 ปรับปรุงล่าสุด : 8 มีนาคม 2556 เรื่อง : ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป จากที่มีการเผยแพร่ข้อมูลในงาน CDIC2013 ที่จัดขึ้นเมื่อวันที่ 27 - 28 กุมภาพันธ์ 2556 เรื่องมัลแวร์ในระบบปฏิบัติการ Android หลอกขโมยเงิน จากธนาคาร [1] ทางไทยเซิร์ตได้ตรวจสอบเว็บไซต์ที่เผยแพร่มัลแวร์ และได้ทำ� การ วิเคราะห์มัลแวร์ดังกล่าว ได้ผลสรุปดังนี้ ในการโจมตี ผู้ไม่หวังดีได้ส่ง SMS มายังโทรศัพท์มือถือของเหยื่อ ข้อความใน SMS ระบุลิงก์สำ� หรับดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชัน ของระบบปฏิบัติการ Android โดยลิงก์ที่ให้ดาวน์โหลดไฟล์ดังกล่าวคือ [2] [3] • http://scb.<สงวนข้อมูล>.info/scbeasy.apk • File Name: scbeasy.apk • File size: 235093 bytes • MD5: 1108B16034254CA989B84A48E8E03D78 • SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3 • http://kasikorn.<สงวนข้อมูล>.info/ibanking.apk • File Name: ibanking.apk • File size: 266157 bytes • MD5: 06806E271792E7E521B28AD713601F2E • SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6
  20. 20. รูปที่ 1 เปรียบเทียบโครงสร้างของไฟล์ ibanking. apk และ scbeasy.apk CYBER THREATS 2013 25 หากผู้ใช้เข้าไปยังหน้าแรกของเว็บไซต์ ที่เผยแพร่มัลแวร์โดยไม่ระบุพาธของ ไฟล์ .apk จะพบว่าหน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์จริงของ ธนาคาร ซึ่งผู้ไม่หวังดีใช้วิธีนี้ในการ หลอกลวงเหยื่อให้เชื่อว่าเว็บไซต์ดังกล่าวนี้ เป็นเว็บไซต์จริงของธนาคาร ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลที่อยู่ ในไฟล์ .apk ทั้งสองไฟล์ พบว่ามี โครงสร้างภายในเหมือนกัน ดังรูปที่ 1 โดยมีส่วนที่แตกต่าง คือ ไฟล์กราฟิกที่อยู่ ในไดเรกทอรี drawable จะเป็นโลโก้ของ ธนาคารที่ถูกผู้ไม่หวังดีแอบอ้าง เมื่อตรวจสอบข้อมูลในไฟล์ AndroidManifest.xml ของทั้งสองไฟล์ พบว่าใช้ชื่อ package เหมือนกันคือ “com.fake.site” ดังรูปที่ 2 รูปที่ 2 ข้อมูลในไฟล์ AndroidManifest.xml
  21. 21. 26 บทความแจ้งเตือนและข้อแนะนำ� ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนด สิทธิ์ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ [4] ซึ่งจากข้อมูลดังกล่าว พบว่าทั้งสอง แอปพลิเคชันมีความสามารถในการเขียนข้อมูลลงใน External storage (เช่น SD Card) และรับส่ง SMS อย่างไรก็ตาม ทั้งสองแอปพลิเคชันนี้ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ เมื่อตรวจสอบโค้ดของทั้งสองแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข โทรศัพท์ที่อยู่ในประเทศรัสเซีย ดังรูปที่ 3 รูปที่ 3 หมายเลขโทรศัพท์ที่จะส่ง SMS ไป และพบ String ที่เป็นรหัส Unicode ซึ่งสามารถแปลงกลับได้เป็นข้อความภาษาไทยว่า “รหัส ผ่านไม่ตรงกัน” ดังรูปที่ 4 รูปที่ 4 String ที่พบในแอปพลิเคชัน เมื่อทดลองติดตั้งทั้งสองแอปพลิเคชันลงในโปรแกรม Android emulator พบไอคอนของ แอปพลิเคชันที่ชื่อ certificate ดังรูปที่ 5 รูปที่ 5 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง
  22. 22. CYBER THREATS 2013 27 เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอให้ใส่รหัสผ่านสำ�หรับเข้าใช้งานบัญชีธนาคาร ออนไลน์ ดังรูปที่ 6 หากใส่รหัสผ่านทั้งสองช่องไม่ตรงกัน จะปรากฏข้อความว่า “รหัสผ่านไม่ตรงกัน” เมื่อป้อนรหัสผ่าน และกดปุ่ม “ต่อ” จะพบหน้าจอดังรูปที่ 7 รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของธนาคารออนไลน์ จากการใช้คำ� สั่ง logcat [5] เพื่อบันทึก Log ของสิ่งที่เกิดขึ้นในระบบ พบว่ามีการส่ง SMS ออกไปยังหมายเลขโทรศัพท์ตามที่ปรากฏอยู่ในโค้ดของแอปพลิเคชัน ดังรูปที่ 8 รูปที่ 7 ตัวอย่างหน้าจอหลังกรอกข้อมูลรหัสผ่าน
  23. 23. 28 บทความแจ้งเตือนและข้อแนะนำ� รูปที่ 8 Log แสดงการส่ง SMS ผลกระทบ ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกหลอกให้กรอกข้อมูลที่เกี่ยวข้องกับบัญชีธนาคาร ออนไลน์ แล้วถูกผู้ไม่หวังดีขโมยบัญชีผู้ใช้ ซึ่งอาจนำ� ไปสู่การขโมยเงินจากธนาคารในภายหลังได้ ระบบที่ได้รับผลกระทบ ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันปลอมของธนาคารออนไลน์ ข้อแนะนำ� ในการป้องกันและแก้ไข จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชัน หลอกลวงที่อ้างว่าสามารถเข้าใช้งานบัญชีธนาคารออนไลน์ได้ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มา จากเว็บไซต์จริงของธนาคาร และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชัน ที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่ อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำ� เสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]
  24. 24. CYBER THREATS 2013 29 อ้างอิง 1. http://www.acisonline.net/ 2. https://twitter.com/PrinyaACIS/status/307711776873668608 3. https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex. Phishing%20SMS.pdf 4. http://docs.xamarin.com/guides/android/advanced_topics/working_with_ androidmanifest.xml 5. http://developer.android.com/tools/help/logcat.html 6. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html 7. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html 8. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
  25. 25. 30 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถ เข้าถึงข้อมูลสำ� คัญได้ วันที่ประกาศ : 13 มีนาคม 2556 ปรับปรุงล่าสุด : 13 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ� คัญได้ ประเภทภัยคุกคาม : Intrusion, Denial of Service (DoS) ข้อมูลทั่วไป วันที่ 11 มีนาคม 2556 หน่วยงาน CERT และบริษัท HP ได้ประกาศแจ้งเตือนช่องโหว่ที่พบ ในเครื่องพิมพ์ HP LaserJet Professional โดยเป็นช่องโหว่ในระบบที่ใช้สำ�หรับเชื่อมต่อเข้ามา debug เครื่องพิมพ์ผ่านโพรโทคอล telnet [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-5215 [2] ผลกระทบ ผู้ไม่หวังดีสามารถเชื่อมต่อเข้ามายังเครื่องพิมพ์ผ่านโพรโทคอล telnet แล้วสามารถเห็นข้อมูล สำ� คัญ หรืออาจทำ� ให้เครื่องพิมพ์ไม่สามารถทำ� งานต่อได้
  26. 26. CYBER THREATS 2013 31 ระบบที่ได้รับผลกระทบ • HP LaserJet Pro P1102w ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213 • HP LaserJet Pro P1606dn ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213 • HP LaserJet Pro M1212nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1213nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1214nfh MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1216nfh Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1217nfw Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP HotSpot LaserJet Pro M1218nfs MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1219nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro CP1025nw ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130212 ข้อแนะนำ� ในการป้องกันและแก้ไข ทาง HP ได้เผยแพร่เฟิร์มแวร์สำ� หรับแก้ไขช่องโหว่ในเครื่องพิมพ์รุ่นที่มีปัญหาแล้ว ผู้ใช้งานควร ตรวจสอบเวอร์ชันของเฟิร์มแวร์ที่ใช้งานอยู่ หากพบว่าเป็นเวอร์ชันที่มีช่องโหว่ควรทำ� การติดตั้ง เฟิร์มแวร์รุ่นล่าสุดจากเว็บไซต์ของ HP [3] วิธีการตรวจสอบเวอร์ชันของเฟิร์มแวร์อาจมีความ แตกต่างกันในเครื่องพิมพ์แต่ละรุ่น ซึ่งผู้ใช้สามารถศึกษาวิธีการตรวจสอบได้จากคู่มือการใช้งานของ เครื่องพิมพ์รุ่นนั้นๆ อ้างอิง 1. http://www.kb.cert.org/vuls/id/782451 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5215 3. https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03684249
  27. 27. 32 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ 0-DAY ใน MONGODB ผู้ไม่หวังดีสามารถสั่ง ประมวลผลคำ� สั่งอันตรายได้ วันที่ประกาศ : 26 มีนาคม 2556 ปรับปรุงล่าสุด : 26 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผล คำ� สั่งอันตรายได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป MongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ Open-source โดยมีผู้พัฒนา คือ บริษัท 10gen โปรแกรม MongoDB มีการนำ�ไปใช้ เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1] เมื่อวันที่ 24 มีนาคม 2556 นักวิจัยจากบริษัท SCRT ได้ค้นพบ ช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้ ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำ� ให้ผู้ไม่หวังดีสามารถส่งคำ� สั่ง อันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้ ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2] อย่างไรก็ตามในโปรแกรม MongoDB เวอร์ชัน 2.4 เป็นต้นมา ได้ เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มา เป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับ ผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชัน 2.2.4 ซึ่งเป็นอัพเดต ล่าสุดของเวอร์ชัน 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3] นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำ� หรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าว นี้ลงในโปรแกรม Metasploit ในอีกไม่นาน
  28. 28. CYBER THREATS 2013 33 ผลกระทบ ผู้ไม่หวังดีสามารถส่งคำ� สั่งอันตรายเข้ามา ประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำ� สั่งเข้ามา เพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้ ระบบที่ได้รับผลกระทบ MongoDB เวอร์ชัน 2.2.4 และตË่ำกว่า ทั้งเวอร์ชัน 32 บิตและ 64 บิต ข้อแนะนำ� ในการป้องกันและแก้ไข สำ� หรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชัน ที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจง หรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรด โปรแกรม MongoDB ให้เป็นเวอร์ชัน 2.4 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หาก ทำ� ไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสมË่ำเสมอ และหากมีการเผยแพร่ ซอฟต์แวร์เวอร์ชันที่แก้ไขปัญหานี้แล้วควรทำ� การอัพเดตโดยเร็วที่สุด อ้างอิง 1. http://www.mongodb.org/ 2. http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/ 3. http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net- Metasploit-in-the-making-1829690.html
  29. 29. 34 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน เกม BATTLEFIELD PLAY4FREE ผู้ไม่หวังดี สามารถควบคุมเครื่อง ของเหยื่อได้ วันที่ประกาศ : 26 มีนาคม 2556 ปรับปรุงล่าสุด : 26 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุม เครื่องของเหยื่อได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เกม Battlefield Play4Free เป็นเกมออนไลน์ที่เปิดให้เล่นได้ฟรี โดยมีผู้ให้บริการคือบริษัท EA ปัจจุบันมีผู้เล่นเกมนี้อยู่ประมาณ 1 ล้านคนทั่วโลก [1] เมื่อวันที่ 22 มีนาคม 2556 นักวิจัยจากบริษัท ReVuln ได้ค้นพบช่องโหว่ในระบบการทำ� งาน ของเกม Battlefield Play4Free ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อ ได้ผ่านการเปิดหน้าเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ โดยช่องโหว่ดังกล่าวนี้มีการเผยแพร่ในงาน Black Hat Europe 2013 การทำ� งานของเกม Battlefield Play4Free ประกอบด้วย 3 ส่วนหลักๆ คือ 1. Browser plugin เป็นปลั๊กอินที่ติดตั้งในเบราว์เซอร์เพื่อเรียกใช้งานโปรแกรมเกม 2. Game updater เป็นระบบที่ใช้สำ� หรับตรวจสอบการอัพเดตเวอร์ชันของเกม และเปิดให้ เข้าเล่นเกมเมื่อตรวจสอบพบว่าเป็นเวอร์ชันล่าสุดแล้ว 3. Game เป็นตัวโปรแกรมเกมที่ใช้ในการเล่น เมื่อผู้เล่นกดเข้าเล่นเกม Battlefield Play4Free จากหน้าเว็บไซต์ โปรแกรม Browser
  30. 30. CYBER THREATS 2013 35 Plugin ที่ติดตั้งอยู่จะเรียกใช้งาน โปรแกรม Game updater และ เรียกใช้งานโปรแกรม Game ตามลำ� ดับ ตัวอย่างหน้าจอการ เข้าเล่นเกมเป็นดังรูปที่ 1 รูปที่ 1 ตัวอย่างหน้าจอการเข้า เล่นเกม Battlefield Play4Free สาเหตุของ ช่องโหว่ เกิดจาก การที่ระบบ Game updater รับค่าตัวแปรจากภายนอกเข้ามาประมวลผล ก่อนที่จะเรียกใช้งานโปรแกรม Game โดยไม่ได้มีการตรวจสอบ ความถูกต้องของตัวแปรที่ได้รับเข้ามา ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงค่าของ ตัวแปรดังกล่าวให้เป็นคำ� สั่งอันตรายใดๆ ก็ได้ [2] ทางบริษัท ReVuln ได้เผยแพร่วิดีโอสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว โดยได้จำ� ลองหน้า เว็บไซต์ที่มีโค้ดสำ� หรับโจมตีช่องโหว่ เมื่อผู้ใช้เปิดเว็บเบราว์เซอร์ที่ติดตั้งปลั๊กอินของเกม Battlefield Play4Free เข้าไปยังเว็บไซต์ดังกล่าว จะมีการเรียกใช้งานโปรแกรม Game updater และประมวล ผลคำ� สั่งอันตรายทันที ซึ่งผลลัพธ์ของการโจมตีคือสามารถติดตั้งไฟล์ที่เปิดช่องทางให้ผู้ไม่หวังดีเข้ามา ควบคุมเครื่องของเหยื่อได้ [3] อย่างไรก็ตาม ช่องโหว่ดังกล่าวนี้สามารถทำ� งานได้เฉพาะใน Windows XP และ Windows Server 2003 เท่านั้น และทางบริษัท ReVuln ยังไม่ได้เผยแพร่ตัวอย่างโค้ดที่ใช้สำ� หรับการโจมตีผ่าน ช่องโหว่ดังกล่าวออกสู่สาธารณะ มีเพียงการเผยแพร่ข้อมูลรายละเอียดของช่องโหว่และตัวอย่างวิดีโอ สาธิตการโจมตีเท่านั้น ผลกระทบ ผู้ที่ติดตั้งเกม Battlefile Play4Free อาจถูกผู้ไม่หวังดีติดตั้งโปรแกรมเพื่อใช้ในการเชื่อมต่อ เข้ามาควบคุมการทำ� งานของเครื่องคอมพิวเตอร์ ระบบที่ได้รับผลกระทบ ผู้ใช้งานระบบปฏิบัติการ Windows XP หรือ Windows Server 2003 ที่ติดตั้งเกม Battlefield Play4Free
  31. 31. 36 บทความแจ้งเตือนและข้อแนะนำ� ข้อแนะนำ� ในการป้องกันและแก้ไข ยังไม่มีข้อมูลรายละเอียดความเสียหาย หรือวิธีการแก้ไขจากบริษัท EA ในเรื่องของช่องโหว่นี้ ผู้ที่ติดตั้งโปรแกรม Battlefiled Play4Free อาจจำ� เป็นต้องปิดการทำ� งานของปลั๊กอิน Battlefield Play4Free ในเว็บเบราว์เซอร์ และเปิดใช้งานในกรณีที่ต้องการเล่นเกมเท่านั้น ดังรูปที่ 2 รูปที่ 2 การปิดใช้งานปลั๊กอิน Battlefield Play4Free อ้างอิง 1. http://battlefield.play4free.com/en/forum/showthread.php?tid=115716 2. http://revuln.com/files/ReVuln_Battlefield_play4free.pdf 3. http://vimeo.com/61364094
  32. 32. CYBER THREATS 2013 37
  33. 33. 38 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน แอปVIBERผู้ไม่หวังดี สามารถผ่าน LOCK SCREEN และเข้าถึงข้อมูลในมือถือ ระบบปฏิบัติการ ANDROID วันที่ประกาศ : 30 เมษายน 2556 ปรับปรุงล่าสุด : 30 เมษายน 2556 เรื่อง : ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง ข้อมูลในมือถือระบบปฏิบัติการ Android ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 23 เมษายน 2556 Viber เป็นโปรแกรมแชทบนมือถือที่มีความสามารถส่งข้อความ หรือโทรศัพท์ฟรี คล้ายกับแอปพลิเคชัน LINE ที่ได้รับความนิยมสูง โดยมีผู้ใช้มากกว่า 50,000,000 คน และสามารถติดตั้งบนระบบปฏิบัติการที่ได้รับความนิยมอย่าง Android, iOS และ Windows Phone [1] บริษัท Bkav ได้ค้นพบช่องโหว่ในแอปพลิเคชัน Viber รุ่นที่ใช้งานกับระบบปฏิบัติการ Andriod ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีผ่านการป้องกัน lock screen และสามารถเข้าถึงข้อมูล ในมือถือบนระบบปฏิบัติการ Android โดยมีการเผยแพร่รายละเอียดของช่องโหว่ผ่านเว็บไซต์ของ บริษัท ในการเข้าถึงข้อมูลมือถือผ่านช่องโหว่นี้ ผู้ไม่หวังดีต้องสามารถเข้าถึงเครื่องมือถือของเหยื่อ ทางกายภาพ เช่น เหยื่ออาจจะลืมมือถือไว้บนโต๊ะ ซึ่งระบบปฏิบัติการบนมือถือนั้นต้องเป็น Android และมีการติดตั้งแอปพลิเคชัน Viber และผู้ไม่หวังดีต้องรู้เบอร์มือถือของเหยื่อเพื่อที่จะส่งข้อความไปยัง Viber บนเครื่องของเหยื่อ โดยเครื่องของเหยื่อไม่จำ� เป็นต้องมี contact ของผู้ไม่หวังดีใน contact list แต่อย่างใด จากนั้นผู้ไม่หวังดีอาศัยความผิดพลาดของแอปพลิเคชันในส่วนของการแจ้งเตือน เมื่อ ได้รับข้อความ ซึ่งปกติจะมีลักษณะดังรูปที่ 1 ทำ� ให้สามารถผ่าน lock screen ได้โดยอาศัยเงื่อนไข บางประการ ดังรายละเอียดที่ระบุในเว็บไซต์ของผู้ค้นพบช่องโหว่นี้ [2]
  34. 34. CYBER THREATS 2013 39 ผลกระทบ ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง ข้อมูลบนมือถือระบบปฏิบัติการ Android ได้ ระบบที่ได้รับผลกระทบ ผู้ใช้งานมือถือระบบปฏิบัติการ Android ที่ติดตั้ง แอปพลิเคชัน Viber ข้อแนะนำ� ในการป้องกันและแก้ไข ยังไม่มีวิธีการแก้ไขจาก Viber ในเรื่องของช่องโหว่ นี้ ผู้ที่ติดตั้ง Viber ควรเก็บมือถือไว้กับตัว และไม่ควร ให้คนอื่นยืม และทำ� การอัพเดต Viber เพื่อปิดช่องโหว่ เมื่อมีการปล่อยอัพเดตในอนาคต อ้างอิง 1. http://www.viber.com 2. http://www.bkav.com/top-news/-/view_ content/content/46264/critical-flaw-in-viber-allows- full-access-to-android-smartphones-bypassing- lock-screen รูปที่ 1 แสดงการแจ้งเตือน เมื่อได้รับข้อความของ Viber
  35. 35. 40 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย มัลแวร์ใน ANDROID ในรูปแบบของแอนตี้ไวรัส AVG ปลอม วันที่ประกาศ : 12 มิถุนายน 2556 ปรับปรุงล่าสุด : 17 มิถุนายน 2556 เรื่อง : ระวังภัย มัลแวร์ใน Android ในรูปแบบของ แอนตี้ไวรัส AVG ปลอม ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมิถุนายน ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำ� งานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี แอปพลิเคชัน ดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว • http://avg.<สงวนข้อมูล>.mobi/avg.apk • File Name: avg.apk • File size: 279,115 bytes • MD5: d232f20d95f97147c36ec246c8a140a6 • SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆ ของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1
  36. 36. CYBER THREATS 2013 41 ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนด คุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนดสิทธิ์ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบ ว่าแอปพลิเคชันดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิ์ ในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2 รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xml เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข โทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3 รูปที่ 3 แสดงฟังก์ชันที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598
  37. 37. 42 บทความแจ้งเตือนและข้อแนะนำ� เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรม โทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus ดังรูปที่ 4 เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบ หน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็น ช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด “777390927” แต่จากการตรวจสอบพบว่าเป็น เพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำ� อะไร ได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะ ปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการ ซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบู๊ต หรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการ อำ� พรางการทำ� งานของแอปพลิเคชันดังกล่าว จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตพบ ความสามารถในการสั่งการและตอบสนองการสั่ง การจากเครื่องที่เป็น C&C (Command & Control) โดยทำ� ผ่าน SMS ตัวอย่างหน้าจอการ โต้ตอบกับ C&C เป็นดังรูปที่ 6 ซึ่งสามารถ อธิบายการทำ� งานได้ดังนี้ 1. เครื่องที่เป็น C&C คือเครื่อง iPhone มีหมายเลขโทรศัพท์คือ +66819xxxxxx 2. เครื่องที่ตกเป็นเหยื่อ คือเครื่อง Android มีหมายเลขโทรศัพท์คือ 083xxxxxxx 3. เครื่อง C&C ส่ง SMS ไปที่เครื่องเหยื่อ โดย มีข้อความว่า “set admin +66819xxxxxx” เพื่อกำ� หนดให้เครื่องของ เหยื่อรับคำ� สั่งจากเครื่องที่มีหมายเลข โทรศัพท์ +66819xxxxxx 4. เครื่องของเหยื่อตอบกลับมาด้วยข้อความ “yes we are” รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอม ของแอนตี้ไวรัส
  38. 38. CYBER THREATS 2013 43 5. เครื่อง C&C ส่งคำ� สั่ง “On” ไปเพื่อบอกว่า ให้เครื่องของเหยื่อส่งต่อ SMS ทุกอย่างที่ได้ รับมาที่เครื่องของ C&C 6. หลังจากที่เครื่องของเหยื่อได้รับคำ� สั่ง จะส่ง SMS ตอบกลับมาว่า “Oh ok” 7. หลังจากนั้น ไม่ว่าจะมี SMS อะไรส่งเข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่ เครื่องของ C&C และหลังจากที่ส่งต่อ SMS นั้นมาที่เครื่องของ C&C แล้ว เครื่องของ เหยื่อจะลบ SMS ต้นฉบับทิ้งเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ 8. จากรูปจะพบว่าเมื่อเครื่องที่มีหมายเลขโทรศัพท์คือ +66815xxxxxx ส่งข้อความว่า “message test 1234.” เข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่อง C&C พร้อมทั้งระบุหมายเลขโทรศัพท์ของผู้ส่ง 9. หากเครื่อง C&C ส่งคำ� สั่งมาว่า “off” เครื่องของเหยื่อจะหยุดการส่ง SMS มาที่เครื่อง ของ C&C พร้อมกับส่งข้อความว่า “Eh no” ผลกระทบ ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมย ข้อมูลสำ� คัญจาก SMS เช่น ข้อมูลรหัส OTP สำ� หรับเข้าทำ� ธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจ ถูกนำ� ไปใช้โดยผู้ไม่ประสงค์ดีและนำ� ไปสู่การขโมยเงิน จากบัญชีธนาคารภายหลังได้ ระบบที่ได้รับผลกระทบ ระบบปฏิบัติการ Android ที่ติดตั้ง แอปพลิเคชันแอนตี้ไวรัส AVG ปลอม ข้อแนะนำ� ในการป้องกันและแก้ไข จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอก ลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์ บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชัน นั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และ เป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ ภายนอกที่ไม่ใช่ Google Play Store และเมื่อใช้ งานแอปพลิเคชันแอนตี้ไวรัส AVG ที่ดาวน์โหลดจาก Google Play Store มาทดสอบ พบว่าสามารถ ตรวจจับการทำ� งานที่เป็นอันตราย รูปที่ 6 ตัวอย่างหน้าจอการโต้ตอบกับ C&C ของเครื่องที่ติดแอนตี้ไวรัสปลอม
  39. 39. 44 บทความแจ้งเตือนและข้อแนะนำ� ของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 7 รวมถึงเมื่อนำ� ไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความ สามารถในการขโมยข้อมูล SMS เป็นหลัก การป้องกันตัวไม่ให้ตกเป็นเหยื่อ จากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้ งานควรพิจารณาแอปพลิเคชันที่จะ ติดตั้งลงในโทรศัพท์มือถืออย่าง รอบคอบ ไม่ควรติดตั้งแอปพลิเคชัน ที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจ สอบการร้องขอสิทธิ์ (Permission) ของ แอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่ อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติ การ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคย นำ� เสนอวิธีการตรวจสอบ และป้องกันปัญหา มัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ ปลอดภัย รูปที่ 7 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตราย ของแอปพลิเคชันปลอมดังกล่าวได้ ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3] อ้างอิง 1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html 2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html 3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
  40. 40. CYBER THREATS 2013 45
  41. 41. 46 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย เว็บไซต์สำ� นักข่าวหลายแห่ง ในประเทศไทยถูกเจาะ ฝัง โทรจันที่หลอกให้ดาวน์โหลด แอนตี้ไวรัสปลอม วันที่ประกาศ : 13 มิถุนายน 2556 ปรับปรุงล่าสุด : 14 มิถุนายน 2556 เรื่อง : ระวังภัย เว็บไซต์สำ� นักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ ดาวน์โหลดแอนตี้ไวรัสปลอม ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำ� นักข่าวหลายแห่งในประเทศไทย ได้ถูกเจาะระบบ เพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java ดังรูปที่ 1 ซึ่งโทรจันนี้สามารถถูกติดตั้ง ลงในเครืเ

×