Group Blog
 
 
ตุลาคม 2550
 
 123456
78910111213
14151617181920
21222324252627
28293031 
 
16 ตุลาคม 2550
 
All Blogs
 

Case Study: MITM in real life

ผู้เขียนได้มีโอกาสเข้าไปร่วมตรวจสอบปัญหาการใช้งานเครื่อง PC และระบบเครือข่ายในหน่วยงานขนาดเล็กแห่งหนึ่ง ซึ่งผู้เขียนได้รับแจ้งว่าเป็นปัญหา computer virus/malware หน่วยงานดังกล่าวนี้ประกอบด้วยเครื่อง PC ประมาณ 20 เครื่อง มีลักษณะการใช้งานแบบ Office work และ web application ที่อยู่บน server ภายนอกเป็นหลัก เครื่อง PC ทุกเครื่องใช้ระบบปฏิบัติการ Windows XP + all available patches และติดตั้ง Antivirus Software ที่มีการ Update อย่างสม่ำเสมอ ระบบเครือข่ายของหน่วยงานดังกล่าวนี้มีลักษณะเป็น subnet ของหน่วยงานต้นสังกัด และไม่สามารถออกสู่ Internet โดยตรงได้ (เป็น private network) ต้องอาศัย proxy server ของหน่วยงานต้นสังกัด ซึ่งให้บริการเฉพาะ http/ftp proxy service เท่านั้น (proxy server นี้ ไม่มี Antivirus หรือ Content Filter ติดตั้งอยู่)

จากข้อมูลเบื้องต้น เครื่อง PC ทุกเครื่องมีปัญหาคล้ายกันหมด นั่นคือ เมื่อเปิด web browser (ทั้ง Internet Explorer และ Firefox) ไปยัง URL ใดๆก็ตาม Antivirus Software ในเครื่องจะเตือนว่า มี Malware กำลังถูก Download เข้ามา และระบุ URL ของ Malware ดังกล่าวเป็น URL ที่ไม่สัมพันธ์กับ URL ที่กำลังจะเปิดไป และ URL ที่มี Malware ดังกล่าว เป็น URL เดียวกันเสมอไม่ว่าจะเปิด Web Browser ไปที่ URL ใด PC บางเครื่องเกิดอาการค้าง (Hang/Freeze) ขณะที่ Antivirus แสดงข้อความเตือนด้วย

ผู้เขียนได้ตรวจสอบ Running Processes, Stratup entries, BHO และ Service ในเครื่องด้วยการใช้โปรแกรม Hijackthis และเครื่องมือพื้นฐานอื่นๆ ก็ไม่พบสิ่งผิดปกติใดๆ

ผู้เขียนจึงทำการตรวจสอบเพิ่มเติมบนเครื่องที่ไม่ได้ติดตั้ง Antivirus Software พบว่าบน Firefox browser เมื่อเปิดไปยัง URL ใดๆ จะปรากฏว่ามี HTTP Header เกี่ยวกับสถาณะของ proxy caching ปรากฏอยู่ในบรรทัดบนสุดของหน้าแสดงผล ซึ่งปกติ HTTP Header จะแยกออกจาก HTTP Payload อย่างชัดเจน และเมื่อตรวจสอบ HTML Source ก็พบว่ามี script section แทรกเข้ามาที่บรรทัดแรกของ HTML Source โดยระบุ SRC ของ Script เป็น URL ที่อยู่ใน domain เดียวกับ URL ที่ Antivirus Software เตือนว่ามี Malware อยู่ (ซึ่งเมื่อทดลอง resolve ip address ดู ปรากฏว่าเป็น ip address เดียวกัน) ดังนั้น ผู้เขียนจึงเชื่อว่า HTTP Traffic ถูกแก้ไขด้วยวิธีการบางอย่างก่อนที่จะผ่านเข้ามาให้ Browser ทำการแสดงผล แต่บังเอิญเกิดความผิดพลาดในการแก้ไข HTTP Traffic จึงทำให้ HTTP Header บางส่วน หลุดออกมาจาก Header Section และถูกแปลผลไปกับ Payload ปกติ จึงทำให้ผู้เขียนสามารถสังเกตเห็นความผิดปกติได้

ผู้เขียนได้ทำการตรวจสอบต่อไป โดยตั้งสมมติฐานว่า เป็นปัญหาในระบบเครือข่าย จึงได้ทำการตรวจสอบ LSP Stack (Layered Service Provider) ด้วยวิธีตรวจสอบผ่าน registry editor ,ตรวจสอบ DNS Server configuration และ hosts file แล้ว แต่ก็ไม่พบสิ่งผิดปกติ

จากข้อมูลที่มีขณะนี้ ผู้เขียนเชื่อว่าน่าจะไม่ได้เกิดจาก Malware ที่อยู่ในแต่ละเครื่อง เนื่องจากไม่พบลักษณะการแพร่กระจายแบบ worm (ไม่พบ software แปลกปลอมหรือความผิดปกติในเครื่อง ด้วยการตรวจสอบเบื้องต้น) และ Antivirus Software ที่ติดตั้งอยู่ในแต่ละเครื่อง สามารถรับมือกับปัญหาได้เป็นอย่างดี โดยสามารถป้องกันไม่ให้ javascript ที่ถูกแทรกมาใน HTML Source ทำงานได้ (แม้จะเกิดปัญหาการ Hang/Freeze ก็ตาม แต่ก็อาจเกิดจากปัจจัยอื่นได้)

ดังนั้น ผู้เขียนจึงทำการตรวจสอบ ARP Table ด้วยคำสั่ง arp -a พบสิ่งผิดปกติคือ MAC Address ของ Gateway และ PC เครื่องหนึ่งในหน่วยงานนั้น มีค่าเหมือนกัน หลังจากทำการตรวจสอบยืนยันแล้วว่า เครื่อง PC ข้างเคียงก็มีค่าใน ARP Table เป็นแบบเดียวกัน จึงเชื่อแน่ว่า หน่วยงานนี้ ถูกโจมตีด้วยวิธี man-in-the-middle (MITM) attack ซึ่งอาศัย ARP Reply Spoofing เป็นหัวใจสำคัญ

การตอบสนองเบื้องต้นในกรณีนี้ ผู้เขียนได้ให้ผู้ดูแลระบบของหน่วยงานดังกล่าว ปลด Network Cable ออกจาก PC เครื่องที่เป็น Spoofer ซึ่งก็ทำให้ปัญหาหมดไปทันที และเมื่อตรวจสอบ ARP Table ก็พบว่า MAC Address ของ Gateway กลับเป็นค่าที่ถูกต้อง ผู้เขียนจึงให้ผู้ดูแลระบบ จัดการตรวจสอบ Malware ในเครื่อง PC ทั้งหมด และจะนำเครื่อง PC ที่เป็น Spoofer มาตรวจสอบต่อไป

ข้อคิดจากกรณีนี้
1. MITM ไม่ใช่สิ่งไกลตัว และเมื่อเกิดขึ้นแล้วย่อมเป็นปัญหาในการตรวจสอบและแก้ไขอย่างมาก
2. จุดประสงค์ของ MITM ในกรณีนี้ นอกจากการดักข้อมูลเครือข่ายและแก้ไขข้อมูลแล้ว ยังอาจมีปัญหาเรื่อง Information Leakage หรือปัญหาอื่นๆที่ร้ายแรงกว่าตามมาหรือไม่
3. กรณีนี้ เครื่องที่เป็น Spoofer เป็นเครื่องที่เปิดให้บริการแก่บุคคลภายนอก (ผู้มาติดต่อหน่วยงาน) ดังนั้น ควรมีมาตรการบางประการกับเครื่อง PC ที่มีการให้บริการในลักษณะดังกล่าว เพื่อไม่ให้เกิดปัญหาในลักษณะนี้อีก
4. เครื่อง PC ที่เป็น Spoofer นี้ ไม่มี Antivirus Software ติดตั้งอยู่ จะด้วยเหตุผลใดก็ตาม ก็เป็นสาเหตุให้เกิดปัญหานี้ขึ้น ดังนั้น แนวคิดบางแนวคิดที่ว่า ให้ใช้การ Ghost (HDD Imaging) แทน Antivirus โดยให้ Restore Image คืนเมื่อเกิดปัญหาจึงใช้ไม่ได้ เพราะกรณีนี้ ไม่มีใครรู้ว่าปัญหาเกิดที่ใหน จนกระทั่งเกิดความเสียหายอย่างมากเป็นวงกว้างแล้ว
5. ประสบการณ์ของผู้ดูแลระบบ เป็นสิ่งสำคัญอย่างยิ่งยวด




 

Create Date : 16 ตุลาคม 2550
0 comments
Last Update : 16 ตุลาคม 2550 13:16:28 น.
Counter : 3259 Pageviews.

ชื่อ : * blog นี้ comment ได้เฉพาะสมาชิก
Comment :
  *ส่วน comment ไม่สามารถใช้ javascript และ style sheet
 


princess maker
Location :


[ดู Profile ทั้งหมด]

ฝากข้อความหลังไมค์
Rss Feed

ผู้ติดตามบล็อก : 1 คน [?]




CCNA, NCLP, Associate of (ISC)2
Friends' blogs
[Add princess maker's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.