วันพฤหัสบดีที่ 2 กุมภาพันธ์ พ.ศ. 2555

Worm

Worm 




ขอรักได้ไหม - สราญรมย์









- เป็นแฟ้มข้อมูลของตัวเอง ไม่แอบติดอยู่ในแฟ้มข้อมูลอื่น
- ไม่แพร่ไปติดแฟ้มข้อมูลอื่น แต่จะเปลี่ยนชื่อแฟ้มข้อมูลตัวเองให้คล้ายกับแฟ้มข้อมูลที่ผู้ใช้ได้ใช้งานอยู่ และอาจจะลบแฟ้มข้อมูลเดิมทิ้ง เพื่อหลอกให้ผู้ใช้งานหลงผิดและเรียกขึ้นมาใช้งาน ถ้าถูกเรียกขึ้นมาใช้งานก็จะเป็นการกระตุ้นให้ Worm ทำงานได้ การเปิดใช้งานเครื่องคอมพิวเตอร์บางครั้งระบบจะฟ้องว่าไม่พบแฟ้มข้อมูลชื่อนี้ ชื่อนั้น ซึ่งอาจจะเป็นแฟ้มข้อมูลที่ Worm ลบทิ้งไปแล้ว
- เป็นโปแกรมที่ขยายพันธุ์ตัวเองได้โดย ไม่ต้องอาศัย แฟ้มข้อมูล หรือสื่อบันทึกข้อมูล
- แพร่ผ่านทางระบบเครือข่ายคอมพิวเตอร์ หรือ Internet
- สามารถฝังตัวเองอยู่ใน E – mail ที่ส่งต่อกันไปเพื่อหลอกให้เปิดอ่าน และแพร่ต่อไปเรื่อย ๆ หรือแพร่ผ่านแฟ้มข้อมูลที่ Share กันเข้าไว้

การป้องกัน Worm
1. ติดตั้งโปรแกรมโปรแกรมกำจัดไวรัส Update เป็นประจำ ตั้งค่าให้ครบถ้วน Scan เป็นประจำ
2. ถ้าพบ สามารถ Delete ได้เลย เพราะ ไม่ได้เป็นแฟ้มข้อมูลที่เราใช้งาน แต่เป็นแฟ้มข้อมูลของ Worm ที่เปลี่ยนชื่อมาให้คล้ายกับแฟ้มข้อมูลที่เราใช้อยู่เท่านั้น
โปรแกรมกำจัดไวรัสจะตรวจหาไวรัสก่อน เมื่อพบจะกระทำ Action ตามที่ตั้งไว้ที่ Action 1 ซึ่งปกติจะตั้งไว้เป็น Clean แต่ถ้าพบสิ่งที่ไม่ใช่ไวรัส ก็จะต้องเป็น Worm และจะกระทำ Action ตามAction 2 ดังนั้น Action 2 จึงตั้งเป็น Delete ได้เลย
3. ลบ Internet temp file และ Windows temp file 








เครดิต อรุณ อัฐพงษ์ ภูรี

Exploit

Exploit 







Exploit คือคำที่มากจากภาษาฝรั่งเศสเกิดจากการที่เอาคำ 2 คำมาผสมกันมีความหมายว่า “achievement” หรือว่า “accomplishment”แปลว่า ความสำเร็จ,หาผลประโยชน์ ซึ่งโปรแกรมนี้เป็นโปรแกรมที่ได้รับการออกแบบมาเพื่อให้ทำการเจาะระบบโดยอาศัย ช่องโหว่ของ software, Hardware หรือช่องโหว่ต่างๆเพื่อที่จะเข้ามาทำการครอบครองหรือควบคุม computer เพื่อที่จะให้กระทำการบางอย่าง เช่น การขโมยข้อมูลหรือใช้ในการ denial of service attack และอื่นๆ

Exploit นั้นมี 2 ประเภทนดังนี้
- remote exploit คือการทำงานโดยที่จะทำการเจาะระบบที่ได้รับการป้องกันที่ไม่ดีโดยอาศัยสิทธิที่มี มาก่อน
- local exploit คือการโจมตีที่ถ้าเข้ามาในระบบได้แล้วจะทำการเพิ่มสิทธิต่างๆเข้ามาใน User ที่เราได้สร้างเอาไว้โดยอาศัยความช่วยเหลือของ system administrator

โดยปกติพวกเราจะใช้เครื่องมือในการใช้งานเช่น metasploit หรือใช้ armitage หรือ etc ในการใช้งานเพื่อให้ดูง่ายๆ เป็น GUI ส่วนพวก exploit นั้นก็สามารถหาได้อย่างง่ายดายในโลก internet เช่น 1337day,exploit-db,...etc

วันนี้ผมจะมาแนะนำ exploit ของ cms ชื่อดังอย่าง wordpress v3.3 ที่เพิ่งออกมาใหม่แท้ๆ โดนเสียและ

exploit ตัวนี้คือ Zero Day 





ช่องโหว่แบบ Zero Day

ปกติ เวลาเรานับอะไรก็มักจะเริ่มที่เลขหนี่งก่อน อย่างเช่นวันที่ 1 พอมาเจอคำว่า Zero Day ก็เลยงงไปนิดนึง แต่พอไปอ่านความหมายแล้วก็พอจะเข้าใจ Zero Day Exploit มาจากคำสองคำรวมกันคือ Zero Day ซึ่งจะแปลว่า วันที่ศูนย์ คือยังไม่ทันจะเริ่มนับหนึ่งเลย ส่วนคำว่า Exploit จะแปลว่าการใช้ประโยชน์จากอะไรซะอย่าง แบบไม่แฟร์ หรืออาจจะแปลว่า "ฉวยโอกาส" ก็ได้ พอเอาสองคำนี้มารวมกัน แล้วใช้ในแวดวง security ก็จะหมายถึง "การฉวยโอกาสใช้ประโยชน์จากสิ่งที่ได้รู้มาก่อน โดยที่เจ้าของ หรือคนอื่นๆยังไม่รู้"

ฟังแล้วอาจจะงงๆ แต่ถ้าบอกว่า ใน software หรือระบบปฏิบัติการต่างๆ ย่อมจะมีช่องโหว่เป็นปกติ ถ้ามีคนไปค้นพบช่องโหว่เหล่านี้ก่อนเจ้าของผลิตภัณฑ์จะรู้ แล้วก็ทำไวรัส หรือใช้ช่องโหว่นี้เจาะเข้าไปในระบบ เพื่อประโยชน์อะไรซะอย่าง กรณีแบบนี้หละที่เราจะเรียกว่า Zero Day Exploit


เครดิต อรุณ อัฐพงษ์ ภูรี