เนื่องด้วยเกิดการอยากรู้ว่า Malware (คือ ซอฟต์แวร์มุ่งประสงค์ร้ายต่อเครื่องคอมพิวเตอร์และข้อมูลอื่นๆของผู้ใช้งาน) มันทำอะไรบนเครื่องเราบ้าง ผมจึงได้ทำการปิด Antivirus และลองค้นหาโปรแกรมเถื่อนใน Internet แล้วลองรันดู เพื่อที่จะให้เครื่องใน Virtual Machine ติดไวรัส ก่อนจะเริ่ม ผมต้องขอบอกก่อนว่านี้เป็นครั้งแรกที่ลองเล่น Malware ตกหล่นอะไรก็แนะนำได้เลยนะครับ
ในบทความนี้ ผมจะเขียนเกี่ยวกับ Malware ที่ผมหาเจอเท่านั้นนะครับ โดยในส่วนแรกนี้ ผมจะยังไม่ลงลึกมาก โดยจะเน้นให้เห็นถึงพฤติกรรมของ Malware ที่นำมาทดสอบ วิธีสังเกตจากการใช้งานคอมพิวเตอร์ และผลกระทบที่เกิดขึ้นต่อผู้ใช้งาน ส่วนรายละเอียดการทำงานของ Malware จะอยู่ในบทความถัดไป
เครื่องร้อนจาก Malware ประเภท Miner
อาการแรกที่ผมจะพูดถึงเกิดจาก Malware พวก Miner ใช้เครื่องเรามาขุดบิทคอยน์ (bitcoin miner) ส่งผลให้ CPU ทำงานตลอด ซึ่งอาจจะทำให้การทำงานของโปรแกรมอื่นๆ ช้าลง (จะเห็นได้ชัดในเครื่องที่มี core เดียว) และทำให้คอมพิวเตอร์ประเภท laptop ร้อน แม้ว่าไม่ได้ทำอะไรเลย ส่วนถ้าใครใช้ desktop อาจจะสังเกตยากหน่อย
วิธีดูว่ามี Malware ที่ใช้งาน CPU ตลอดเวลาหรือไม่คือ ใช้ Task Manager (shortcut เปิดคือ Ctrl+Shift+Esc) เมื่อเปิดทิ้งไว้ซักพักโดยไม่ทำอะไร CPU ที่ใช้งานควรน้อยกว่า 10% โดยรูปตัวอย่างข้างล่างมาจากโปรแกรม Process Hacker ซึ่งเห็นว่ามีโปรแกรมใช้งาน CPU 49.79% (VM ที่ผมให้มี 2 core ใช้ไป 1 core เท่ากับ 50%) ตัวนี้แหละครับที่เป็น Miner
จากรูปอาจจะมีคนสงสัยว่า process attrib.exe มันเป็นของ Microsoft นิ แล้วทำไมถึงบอกว่าเป็น Malware แต่ถ้าดูจาก Command line มันเป็นของตัว Miner ที่สร้างมาจาก process Helper.exe โดยใช้เทคนิคที่เรียกว่า Process Hollowing เพื่อรัน Miner ใน process attrib.exe ที่มาจาก Microsoft เอง
แต่สำหรับ Miner ที่ผมเจอนั้น ได้มีการตรวจสอบว่า ผู้ใช้งานมีการเปิดใช้งานโปรแกรมพวก Task Manager หรือไม่ ถ้าพบว่าเปิดจะหยุดการทำงานทันที ดังนั้นอีกขั้นตอนในการสังเกตหลังจากเครื่องร้อนคือ เปิด Task Manager ทิ้งไว้ซักพัก แล้วเครื่องค่อยๆ ร้อนน้อยลง (ต้องไม่เห็น CPU ทำงานสูงด้วยนะ) ก็สันนิษฐานได้ว่าในเครื่องมี malware อยู่
ส่วนอันนี้คือ วิดีโอตัวอย่างว่าเมื่อมีการเปิด Task manager ตัว Miner จะหยุดการทำงานทันที
มีโฆษณาเด้งมาจากเว็บที่ไม่ควรมี (Adware)
ปัจจุบัน Malware ประเภทนี้ ส่วนมากจะฝังตัวเองอยู่ใน Web Browser เช่น Google Chrome, Mozilla Firefox, Edge เป็นต้น โดยในการทดสอบนี้ ผมตรวจสอบเฉพาะ Google Chrome เท่านั้น มีความเป็นไปได้ว่าตัวอื่นจะมีอาการคล้ายๆ กัน
Malware ตัวนี้จะเห็นค่อนข้างชัดเจน คือตอนใช้งาน Google Chrome เข้าเว็บไปเรื่อยๆ จะเจอบางเพจที่คลิกตรงไหนก็ได้ในเพจจะมีการเปิด tab ใหม่ เป็นโฆษณา บางเว็บไซต์ที่มีโฆษณาเยอะๆ อาจเจอเป็นเรื่องปกติ แต่เว็บไซต์ที่เป็นที่รู้จักทั่วไป (เช่น google, virustotal, …) โดยปกติจะไม่มีการเด้งโฆษณาในรูปแบบนี้
อีกอาการหนึ่งที่เจอระหว่างการใช้งานคือ เมื่อเราค้นหาข้อมูลจาก google ผลการค้นหาจะโดนแทรก ซึ่งอาจจะพาเราไปหาเว็บไซต์ที่อันตรายได้
อาจจะไม่เห็นภาพ มาดูวิดีโอตัวอย่างของอาการทั้งสองที่ผมพูดถึงดีกว่า
โดยตอนเริ่มจะเห็นว่าผมเปิด Antivirus ไว้ด้วย แต่พวก Malware ที่ฝั่งอยู่ใน Web browser Antivirus ส่วนมากจะหาไม่เจอนะครับ ถ้าไม่อยากลงเครื่องใหม่ ผมแนะนำให้ลองลบแล้วลงใหม่ (ไม่รับประกันว่าจะหายนะครับ)
อีกจุดที่อยากเพิ่มเติม คือผลการค้นหาที่โดนแทรกเพิ่มขึ้นนั้น URL อาจจะดูถูกต้อง แต่ความเป็นจริงอาจจะพาเราไปที่ไหนก็ไม่รู้นะครับ เช่นที่ผมกดลิงค์ไปหา arcserve จะเห็นว่าผลลัพธ์คือให้กรอกข้อมูล แต่ถ้าผมพิมพ์ URL เองจะกลายเป็น 404 Not Found รวมทั้งตอนท้ายของวิดีโอที่ค้นหา bitcoin เว็บไซต์อาจจะดูเหมือนใช่ แต่อาจจะเป็นเว็บหลอกเอาเงินเราก็ได้นะครับ (ผมไม่ได้ตรวจสอบ)
อีกวิธีใช้ทดสอบเบื้องต้นได้โดยไม่ต้องเข้าเว็บ คือไปหน้าที่ให้ตัว Google Chrome ทำการตรวจสอบ update (Settings -> About Chrome) ถ้าการตรวจสอบ Update ล้มเหลวแม้ว่าเราจะเข้าเว็บได้ตามปกติ ให้สงสัยไว้ก่อนว่าเครื่องเราติด Malware แล้ว
หมายเหตุ ตัวนี้น่าจะเป็นตัวเดียวกับบทความวิเคราะห์จาก Microsoft https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/ หากใครสนใจก็อ่านเพิ่มเติมได้นะครับ และในนั้นบอกว่าในไทยติด malware ตัวนี้เยอะเลย
มีโปรแกรมแปลกๆ ในเครื่อง
หลังจากกดลงโปรแกรมเถื่อนไปแล้ว จะมีโปรแกรมแปลกๆ เพิ่มในเครื่องของเรา ส่วนโปรแกรมที่เราต้องการอาจจะไม่ได้ลงด้วย เช่นในตัวอย่างรูปข้างล่าง
แต่จริงๆ แล้วตัว malware เองนั้น อาจจะไม่อยู่ในรายการโปรแกรมที่ลงไว้ในเครื่อง ดังนั้นลบโปรแกรมที่น่าสงสัยออกจากรายการทั้งหมด ก็ยังคงมี malware หลงเหลืออยู่ในเครื่อง
อีกวิธีที่หา Malware ในเครื่อง คือดูจุดที่ทำให้ Malware เริ่มการทำงานได้หลังจากเปิดเครื่องใหม่ เช่น Services, Task Scheduler ดังรูปข้างล่าง
การสังเกตด้วยวิธีนี้ ผมเข้าใจว่าน่าจะยากสำหรับหลายๆ คน เพราะต้องรู้ว่าอะไรคือปกติ ต้องจำโปรแกรมที่ลงไว้ รวมทั้งบางคนลงโปรแกรมไว้เยอะมากจนทำให้แยกยากมาก ผมแนะนำให้ลองใช้ Antivirus scan ทั้งเครื่องดูครับ เมื่อสงสัยว่าเครื่องติด Malware แล้ว
ลักลอบขโมยข้อมูลเรา
เรื่องนี้โดยปกติผู้ใช้งานทั่วไปจะไม่เห็นว่ามีอะไรเกิดขึ้น (รวมถึงหัวข้อหลังจากนี้) เพราะทั้งหมดเป็นการทำงานที่อยู่ข้างหลังของ Malware แต่เป็นเรื่องสำคัญที่ควรรู้กันว่า เมื่อเครื่องติด Malware ข้อมูลต่างๆ ในเครื่องเรานั้น จะไม่ปลอดภัยอีกต่อไป
จากการตรวจสอบพบว่า มีการขโมย Username และ Password ที่บันทึกไว้ใน Web Browser รวมถึงข้อมูลที่เคยกรอกในช่องแบบฟอร์มที่ทำ Autofill ได้ นอกจากนี้ยังมี Web Cookie ทั้งหมด
ในโปรแกรม Wireshark จะเห็นว่ามีการส่งข้อมูลที่เป็นไฟล์ zip อยู่
เมื่อทำการ dump ข้อมูลออกมา แล้ว extract file จะเห็นไฟล์ต่างๆ ดังรูปข้างล่าง (มุมบนซ้าย) ที่มีทั้ง Web Cookie, Username และ Password ที่ถูกบันทึกไว้ใน Web Browser (ข้อมูลที่เห็นเป็นข้อมูลปลอมที่ผมใส่ไว้เพื่อการทดสอบ) และข้อมูลที่เคยกรอกในช่องแบบฟอร์มที่ทำ Autofill ได้ นอกจากนี้ยังมี screenshot ของจอเราด้วย
ผลกระทบหลักคือ Hacker สามารถนำข้อมูลพวกนี้ ไปใช้ login เป็นตัวเราได้ อย่างตัว Web Cookie ที่ขโมยไปคือ ก็สามารถทำให้เข้าใช้งานเว็บด้วย account ของเราโดยที่ไม่มี Username และ Password ถ้าเว็บนั้นเราสามารถปิดเปิด Web Browser ได้โดยที่ไม่ต้อง login เข้าเว็บเดิมอีกครั้ง
จริงๆ แล้ว มีความเป็นไปได้สูงว่า Malware พยายามขโมยข้อมูลมากกว่านี้ เช่นไฟล์เอกสาร อีเมล แต่เนื่องด้วย Virtual Machine ที่ผมใช้ทดสอบไม่มีข้อมูลพวกนี้ ทำให้ไม่สามารถทดสอบได้
แอบเก็บข้อมูลการใช้งานของเรา (Spyware)
ตัวนี้ที่ผมเจอคือตัวเดียวกับ Adware ที่อยู่ใน Web Browser (ส่วนมากก็จะอยู่ด้วยกันอย่างนี้) พฤติกรรมหลักคือ คอยเก็บว่าผู้ใช้งานเข้าเว็บอะไรบ้าง มีการคลิกตรงไหนในเว็บ
Spyware ที่ผมเจอสามารถแทรก Javascript อะไรก็ได้เข้าไปในทุกเพจที่ผู้ใช้งานเปิด โดยผมเจอแค่ script ที่ส่งข้อมูลการใช้งานของผู้ใช้งานเท่านั้น ดังรูปข้างล่าง เป็นรูปข้อมูลที่ดักไว้ตอน spyware ส่งข้อมูลไปหา server เมื่อผมเข้าเว็บภายในที่จำลองขึ้นมา
ถ้าสังเกตจะเห็นว่ามี username กับ password ด้วย ใช่ครับเพราะผมจำลองสิ่งที่ไม่ควรทำคือ ส่งข้อมูลที่เป็นความลับด้วย GET method ผมทำเพื่อให้เห็นว่าตัว Spyware ถ้าเจอก็ควรรีบกำจัดนะครับ โดยเฉพาะในองค์กรที่มีการใช้เว็บภายใน เพราะทำให้ Hacker สามารถรู้ถึงโครงสร้างเว็บภายในองค์กรได้
จริงๆ แล้ว Hacker สามารถทำได้มากกว่านี้ เนื่องด้วย Spyware ตัวนี้ สามารถแทรก Javascript เข้าไปในทุกเพจที่ผู้ใช้งานเปิด โดย script จะเริ่มจากไปโหลดจาก server ของ Hacker ดังนั้น Hacker อยากจะเปลี่ยนจากเก็บข้อมูลการใช้งานเป็นอย่างอื่นเมื่อไรก็ได้ เช่นเปลี่ยนเป็นขโมย username กับ password ตอน login
แอบใช้เครื่องเราเป็น Proxy
แน่นอนละครับ หลังจากที่เครื่องเราโดนยึด Hacker จะเปลี่ยนเครื่องเราเป็นฐานในการติดต่อเครื่องอื่น บางคนอาจจะคิดว่าถ้าเครื่องอยู่หลัง NAT น่าจะปลอดภัยจากกรณีนี้ ตัว Virtual Machine ผมนั้นอยู่หลัง NAT ถึง 2 ชั้น แต่ก็ยังโดนใช้เป็น Proxy ครับ
วิธีคร่าวๆ ที่ Malware ทำคือ ให้เครื่องเราต่อไปที่ C2 (Command and Control) Server ของ Hacker ค้างเอาไว้ เมื่อต้องการใช้เครื่องเราเป็น Proxy ก็จะส่งคำสั่งมาว่า ต้องการต่อไปที่ Server นี้ เครื่องเราก็จะไปให้
รูปข้างล่างนี้ เป็นตัวอย่างตอนที่ C2 Server IP 51.15.13.146 ต้องการทดสอบว่าใช้งานเครื่องผมเป็น Proxy ได้อยู่หรือไม่ โดยมีคำสั่งให้ไปต่อที่ IP 217.23.5.14:80 โดย IP ของ VM ผมคือ 10.0.12.101
หลังจากนั้นก็มีการส่ง HTTP Request ผ่านเครื่อง VM ของผม ให้สังเกตลำดับนะครับ ถ้าใครดูรู้เรื่องจะเห็นว่าใช้เครื่องเราเป็น Proxy จริงๆ
ผลกระทบหลักสำหรับผู้ใช้ตามบ้านคือ Hacker สามารถใช้ IP address ของเรา เพื่อไป hack เครื่องอื่นๆ ต่อ ทำให้เวลาตรวจสอบจากเครื่องที่ถูก hack จะกลายว่าเราเป็นผู้ร้ายนั้นเอง
สำหรับเครื่องภายในองค์กร Hacker ก็สามารถใช้เครื่องนี้ ต่อไปเครื่องไหนก็ได้ที่อยู่ภายใน เปรียบเสมือน Hacker อยู่ภายในองค์กรแล้ว
จากการสังเกตของผมแล้ว Malware ตัวนี้ ไม่น่าแค่ใช้เครื่องเราเป็น Proxy เพียงแต่ว่าตัว VM ของผมได้รับคำสั่งแค่ทำเป็น Proxy เพราะในส่วนของข้อมูลที่ Byte แรก 0x00 น่าจะเป็นคำสั่งสำหรับ Proxy (และยังเจอคำสั่ง 0x01 น่าจะเป็น Keepalive) ซึ่งผมเชื่อว่าน่าจะมีคำสั่งมากกว่านี้ที่เป็นค่าอื่น เช่น คำสั่งเพื่อลง Malware ตัวอื่นเพิ่ม
วิธีป้องกัน
วิธีง่ายๆ คือไม่ลงโปรแกรมที่ไม่รู้แหล่งที่มา อย่าปิด Antivirus ตัว Malware ที่ผมนำมาทดสอบนั้น Antivirus ที่ใช้กันส่วนมากรู้จักทั้งหมด และจะป้องกันไม่ให้ลง
ส่วนถ้าใครติด Malware ไปแล้ว วิธีที่จะลบ Malware ทั้งหมดแน่ๆ คือการลงเครื่องใหม่ครับ ส่วนการลบไฟล์ที่ Malware เพิ่มหรือแก้ไขทั้งหมดนั้นยากมาก อย่าง Malware ตัวนี้ที่เอามาลอง ผมเองก็ไม่แน่ใจว่าเจอครบทั้งหมดหรือยัง
สรุป
จะเห็นว่า Malware เริ่มต้นจากตัวเดียว ทำให้เครื่องของเราติดเพิ่มอีกหลายตัวได้ และน่าจะพอเห็นภาพกันแล้วว่า Malware ที่ผู้ใช้งานไม่เห็นอะไรเกิดขึ้นอันตรายอย่างไร รวมถึงน่าจะพอสังเกตเองได้ว่าเครื่องที่ใช้งานอยู่ ติด Malware หรือยัง (สำหรับ Malware ตัวที่ไม่ซ่อนตัวเองมากเช่นตัวที่ผมนำมาทดสอบ)
สำหรับคนที่อ่านแล้วรู้สึกว่า อยากรู้รายละเอียดการทำงานของ Malware ลึกกว่านี้ กรุณาคอยในบทความถัดไปนะครับ
