Contenu connexe Plus de WiseKnow Thailand (20) Cyber threats 20135. ชื่อเรื่อง บทความ Cyber Threats 2013
โดย ThaiCERT
เรียบเรียงโดย นายชัยชนะ มิตรพันธ์์ นายสรณันท์ จิวะสุรัตน์ นายธงชัย แสงศิริ
นายไพชยนต์ วิมุกตะนันทน์ นายพรพรหม ประภากิตติกุล
นายเสฏฐวุฒิ แสนนาม นายเจษฎา ช้างสีสังข์
นายวิศัลย์ ประสงค์สุข นายธงชัย ศิลปวรางกูร
นายแสนชัย ฐิโนทัย นางสาวโชติกา สินโน
นางสาวกรรณิกา ภัทรวิศิษฏ์สัณธ์ นายณัฐโชติ ดุสิตานนท์
นายนวรัตน์ พัฒโนทัย นางสาวนันทพร เหมะจันทร
นายรณนเรศร์ เรืองจินดา และทีมไทยเซิร์ต
พิมพ์ครั้งที่ 1 พฤษภาคม 2557
พิมพ์จำ�นวน 3,000 เล่ม
ราคา 300 บาท
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537
จัดพิมพ์และเผยแพร่โดย
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต)
(Thailand Computer Emergency Response Team : ThaiCERT)
สำ�นักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.)
Electronic Transactions Development Agency (Public Organization : ETDA)
ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 เลขที่ 120 หมู่ 3
อาคารรัฐประศาสนภักดี (อาคาร B) ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง
เขตหลักสี่ กรุงเทพฯ 10210
โทรศัพท์ : 0-2142-2483 | โทรสาร : 0-2143-8071
อีเมล : office@thaicert.or.th
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th
เว็บไซต์ สพธอ. : www.etda.or.th
เว็บไซต์กระทรวงฯ : www.mict.go.th
6. ทุกวันนี้ เทคโนโลยีสารสนเทศ เข้ามามีบทบาท
ในชีวิตของทุกคน ไม่ว่าจะในการทำ�งาน การ
ติดต่อสื่อสาร การทำ�ธุรกรรมทางการเงิน หรือ
แม้แต่ความบันเทิง แต่ขณะที่เทคโนโลยีเจริญ
ก้าวหน้าขึ้น ผู้ไม่หวังดีที่ใช้ช่องโหว่ของเทคโนโลยี
ในการหาผลประโยชน์ก็มีจำ�นวนมากขึ้น และมี
การพัฒนาเทคนิควิธีการใหม่ๆ ตามติดกับความ
ก้าวหน้าของเทคโนโลยีเช่นกัน การโจมตีระบบ
เครือข่ายของหน่วยงานทั้งของรัฐและเอกชนใน
หลายๆ ประเทศ โดยเฉพาะหน่วยความที่มีความ
สำ�คัญในระดับสูง หรือหน่วยงานด้านเทคโนโลยี
สารสนเทศ จัดว่าเป็นเหตุการณ์ที่สามารถเกิด
ขึ้นได้ทุกเวลา ดังจะเห็นได้จากสำ�นักข่าวต่างๆ
ที่นำ�เสนอเหตุการณ์ในลักษณะนี้อย่างต่อเนื่อง
อย่างไรก็ตาม สถานการณ์ภัยคุกคามทาง
ไซเบอร์ ไม่ได้จำ�กัดอยู่แต่ในกลุ่มที่เกี่ยวข้องกับ
เทคโนโลยี หรือหน่วยงานสำ�คัญๆ เท่านั้น แต่
รวมไปถึงผู้ใช้งานทั่วไปที่ใช้อินเทอร์เน็ตในด้าน
ที่ไม่เกี่ยวข้องกับเทคโนโลยีโดยตรง เช่น กรณี
เว็บไซต์ยอดนิยมที่ถูกเจาะระบบเพื่อฝังโปรแกรม
ไม่พึงประสงค์ ทำ�ให้ผู้เข้าชมเว็บไซต์ตกเป็นเหยื่อ
ของโปรแกรมไม่พึงประสงค์นั้น ซึ่งหวังผลใน
ด้านการขโมยเงินจากบัญชีธนาคารออนไลน์ ที่
มีการพบในเดือนมิถุนายน 2556 เป็นตัวอย่าง
ของกรณีการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้ทั่วไป
ซึ่งอาศัยความจริงที่ว่าผู้ใช้งานจำ�นวนไม่น้อย
ยังขาดความรู้ความเข้าใจที่เพียงพอในการ
ป้องกันตัวเองจากการโจมตีเหล่านี้ นอกจากนี้
ผู้ใช้งานส่วนมากที่ไม่ได้อยู่ในสายเทคโนโลยี
มักจะไม่ได้ติดตามหรือไม่มีเวลาติดตามข้อมูล
ข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์ และการ
ขาดความตระหนักในด้านความมั่นคงปลอดภัย
ในการใช้อินเทอร์เน็ต หรือความสำ�คัญของการ
รักษาความลับของข้อมูลส่วนบุคคล
ไทยเซิร์ต (ThaiCERT) ภายใต้ ETDA
นอกจากมีภารกิจหลักในการรับแจ้ง และ
ประสานงานเพื่อรับมือภัยคุกคามทางไซเบอร์
แล้ว ยังมีภารกิจในการเผยแพร่ความรู้
7. และสร้างความตระหนักในการป้องกันและแก้ไข
ปัญหาภัยคุกคามทางไซเบอร์แก่สาธารณชน
โดยทั่วไป โดยมุ่งหวังจะให้เป็นแหล่งเผยแพร่
ข้อมูลการเตือนภัยการโจมตี หรือช่องโหว่ที่มี
ผู้ค้นพบใหม่ในเวลานั้น และแนะนำ�แนวทางแก้ไข
ที่ได้ผลสำ�หรับผู้ได้รับผลกระทบ โดยนำ�เสนอใน
รูปแบบภาษาไทย ที่มีความครบถ้วน ถูกต้อง
และทันต่อเวลา
ทีมงานไทยเซิร์ตได้ติดตามข่าวสารจากแหล่งข่าว
ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์
จากทั่วโลก ศึกษาและและกลั่นกรองเฉพาะ
เหตุการณ์ที่อาจส่งผลกระทบต่อผู้ใช้งานใน
ประเทศไทย โดยมีการตรวจสอบยืนยัน และ
วิเคราะห์เพิ่มเติมก่อนที่จะเผยแพร่ทางเว็บไซต์
รวมถึงการเผยแพร่บทความด้านความมั่นคง
ปลอดภัยสารสนเทศที่น่าสนใจ และมีประโยชน์
ต่อผู้ใช้งานในทุกระดับ
หนังสือเล่มนี้รวบรวมการแจ้งเตือนและบทความ
ที่เผยแพร่บนเว็บไทยเซิร์ต ในปี 2013 โดยหวัง
เป็นอย่างยิ่งว่าผู้อ่านจะได้รับความรู้เพิ่มเติม
ตื่นตัว รวมทั้งตระหนักถึงผลกระทบและความ
สำ�คัญของการรักษาความมั่นคงปลอดภัย
สารสนเทศ จนสามารถป้องกันและแก้ไข
ภัยคุกคามเบื้องต้นได้อย่างเหมาะสม และ
เป็นการเสริมสร้างความเข้มแข็งให้แก่สังคม
ไซเบอร์ของประเทศไทยได้อีกทางหนึ่ง
สุรางคณา วายุภาพ
ผู้อำนวยการสำนักงานพัฒนาธุรกรรม
ทางอิเล็กทรอนิกส์ (องค์การมหาชน)
8. บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่ ‘CDwnBindInfo’ ใน Internet Explorer 6-7-8 (CVE-2012-4792) ติดตั้งแพทช์โดยด่วน........14
ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422)................................................................................................................ 16
ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128 (npFoxitReaderPlugin.dll)................................ 18
ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล Universal Plug-and-Play (UPnP)......... 20
ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร.................................................................................................................................24
ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ�คัญได้้3� 30
ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ�สั่งอันตรายได้3� 32
ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้..............................................34
ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen
และเข้าถึงข้อมูลในมือถือระบบปฏิบัติการ Android.............................................................................................................................................. 38
ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม..........................................................................................................40
ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม4� 46
ระวังภัย ช่องโหว่ใน Samsung Galaxy S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใดๆ สามารถสร้าง SMS ปลอม
หรือแอบส่ง SMS ได้................................................................................................................................................................................................................54
9. ระวังภัย Firefox for Android มีช่องโหว่ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันทีที่เข้าเว็บไซต์................................58
ระวังภัย แอปพลิเคชัน iMessage Chat ใน Google Play Store อาจขโมยข้อมูลสำ�คัญ6� 60
ระวังภัย ช่องโหว่ใน Internet Explorer ทุกเวอร์ชัน Microsoft ออกแพทช์แก้ไขแล้ว
ติดตั้งโดยด่วน (CVE-2013-3893)........................................................................................................................................................................... 64
เว็บไซต์ Adobe ถูกแฮก ข้อมูลผู้ใช้และซอร์สโค้ดของโปรแกรมหลุดสู่อินเทอร์เน็ต..............................................................................66
ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day TIFF Codec
ในโปรแกรม Microsoft Office (CVE-2013-3906).....................................................................................................................................68
ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader........................70
ระวังภัย ช่องโหว่ในคำ�สั่ง sudo ผู้ไม่หวังดีสามารถได้สิทธิ์ของ root โดยไม่ต้องใส่รหัสผ่าน7� 74
ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว................ 76
ระวังภัย ช่องโหว่ “Master Key” ในระบบปฏิบัติการ Android................................................................................................................ 78
ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดีสามารถอัพโหลดไฟล์อันตรายใดๆ เข้ามาในระบบได้............................................................88
10. บทความทั่วไป
การใช้ PGP ด้วย Command line......................................................................................................................................................................92
มหากาฬแฮกกิ้งกับดิจิทัลไลฟ์ที่สูญสิ้นของนายแมท โฮนาน........................................................................................................................104
Facebook Community Standards กับการโพสต์บนเฟชบุ๊ค.........................................................................................................110
เปิดใช้ 2-Step Authentication ใน Google แล้วมีปัญหาใช้แอปบนมือถือ ทำ�ไงดี !!1� 114
Secure delete: ลบไฟล์อย่างไรให้ปลอดภัยจากการกู้คืน.......................................................................................................................118
iPhone iPad iPod ติดมัลแวร์ภายใน 1 นาที...............................................................................................................................................124
Blackhat USA 2013................................................................................................................................................................................................132
ATM Skimmer และข้อควรระวังในการใช้งานตู้ ATM................................................................................................................................142
ไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE แฮกเกอร์สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi
และอ่านบทสนทนาได้ทันที ผู้ใช้งานควรอัพเดตเวอร์ชันใหม่........................................................................................................................150
เช็ครูปก่อนแชร์....................................................................................................................................................................................................................162
Digital Forensics 101 (ตอนที่ 1)......................................................................................................................................................................166
แนวโน้มภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ ปี 2557.............................................................................................................172
Digital Forensics 101 (ตอนที่ 2)....................................................................................................................................................................178
11. บทความเชิงเทคนิค
Nmap .............................................................................................................................................................................................................................188
DDoS: DNS Amplification Attack.............................................................................................................................................................. 196
Nmap Scripting Engine....................................................................................................................................................................................206
Full disk encryption และ Cold boot attack...................................................................................................................................214
เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ด้วย EMET Version 4...............................................................................................222
Global Surveillance: ตอนที่ 1........................................................................................................................................................................228
นักวิจัยพบว่าแอปบน iOS สามารถถูก Hijack ดักแก้ไขข้อมูลระหว่างทางได้.............................................................................232
Security Information Manager (1)..........................................................................................................................................................236
Global Surveillance: ตอนที่ 2......................................................................................................................................................................240
badBIOS มัลแวร์ที่ส่งข้อมูลผ่านคลื่นเสียง เรื่องจริงหรือโกหก?.....................................................................................................244
CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่.....................................................................................................................................................250
การวิเคราะห์มัลแวร์เบื้องต้น ตอนที่ 1.................................................................................................................................................................258
URL Obfuscation....................................................................................................................................................................................................264
Security Information Manager (2)........................................................................................................................................................270
Risk on LINE................................................................................................................................................................................................................274
14. 14 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่
‘CDWNBINDINFO’ ใน
INTERNET EXPLORER
6-7-8 (CVE-2012-
4792) ติดตั้งแพทช์โดยด่วน
วันที่ประกาศ : 4 มกราคม 2556
ปรับปรุงล่าสุด : 15 มกราคม 2556
เรื่อง : ระวังภัย ช่องโหว่ ‘CDwnBindInfo’
ใน Internet Explorer 6-7-8
(CVE-2012-4792) ติดตั้งแพทช์โดยด่วน
ประเภทภัยคุกคาม : Intrusion, Malicious Code
ข้อมูลทั่วไป
เมื่อวันที่ 29 ธันวาคม 2556 Microsoft ได้ออกประกาศแจ้งเตือน Security Advisory
หมายเลข 2794220 [1] เรื่อง ช่องโหว่ในโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8
โดยช่องโหว่ดังกล่าวนี้เกิดจากข้อผิดพลาด Use-after-free (เรียกใช้งานข้อมูลที่ถูกลบออกจาก
หน่วยความจำ� ไปแล้ว) ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-4792 [2]
ผลกระทบ
ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีคำ� สั่งอันตราย หรือเจาะระบบเว็บไซต์ของผู้อื่น แล้วฝัง
คำ� สั่งอันตรายไว้ เมื่อผู้ใช้เข้าใช้งานเว็บไซต์นั้นด้วยโปรแกรม Internet Explorer คำ� สั่งอันตราย
ดังกล่าวจะทำ� ให้เกิดความผิดพลาดในการเรียกใช้งานหน่วยความจำ� และส่งผลให้ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคำ� สั่งอันตรายจากระยะไกล (Remote Code Execution) โดยได้สิทธิ์ในระดับเดียวกัน
กับบัญชีผู้ใช้ที่ใช้งานโปรแกรม Internet Explorer [3]
15. CYBER THREATS 2013 15
ระบบที่ได้รับผลกระทบ
1. ระบบปฏิบัติการ Windows ที่ติดตั้งโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8
2. Microsoft แจ้งว่าโปรแกรม Internet Explorer ใน Windows Server 2003,
Windows Server 2008, และ Windows Server 2008 R2 ที่ตั้งค่าเริ่มต้นให้ทำ� งานในโหมด
Enhanced Security Configuration ช่วยลดผลกระทบจากการโจมตีผ่านช่องโหว่นี้ได้
ข้อแนะนำ� ในการป้องกันและแก้ไข
ช่องโหว่นี้ไม่มีผลกระทบกับผู้ที่ใช้งาน Internet Explorer เวอร์ชัน 9 และ 10 ดังนั้นเพื่อ
ความปลอดภัยควรอัพเกรดโปรแกรม Internet Explorer ให้เป็นเวอร์ชันดังกล่าว
เนื่องจากผลกระทบที่เกิดจากการโจมตีนี้ ทำ� ให้ผู้ไม่หวังดีได้รับสิทธิ์เดียวกันกับบัญชีผู้ใช้ที่ใช้งาน
โปรแกรม Internet Explorer ดังนั้นผู้ใช้ควรใช้งานบัญชีผู้ใช้ที่เป็น Limited User เนื่องจากจะได้
รับผลกระทบน้อยกว่า Administrator
เมื่อวันที่ 14 มกราคม 2556 Microsoft ได้เผยแพร่แพทช์ MS13-008 เพื่อแก้ไขช่องโหว่
ดังกล่าวแล้ว โดยได้แนะนำ� ให้ผู้ใช้งานติดตั้งแพทช์ดังกล่าวอย่างเร่งด่วนที่สุด เนื่องจากช่องโหว่นี้ถูกจัด
ให้มีความรุนแรงอยู่ในระดับ Critical และพบว่าเริ่มมีการโจมตีผ่านช่องโหว่นี้อย่างแพร่หลายแล้ว โดย
สามารถติดตั้งได้ผ่านทาง Windows Update และดาวน์โหลดได้จากเว็บไซต์ของ Microsoft [4]
อ้างอิง
1. http://technet.microsoft.com/en-us/security/advisory/2794220
2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792
3. http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-
explorer-8-users.aspx
4. http://support.microsoft.com/kb/2799329
16. 16 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่ใน
JAVA 7 UPDATE 10
(CVE-2013-0422)
วันที่ประกาศ : 11 มกราคม 2556
ปรับปรุงล่าสุด : 15 มกราคม 2556
เรื่อง : ระวังภัย ช่องโหว่ใน Java 7 Update 10
(CVE-2013-0422)
ประเภทภัยคุกคาม : Malicious Code
ข้อมูลทั่วไป
เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยที่ใช้ชื่อว่า Kafeine ได้ค้นพบมัลแวร์ที่
โจมตีผ่านช่องโหว่ของโปรแกรม Java เวอร์ชัน 7 Update 10 หรือเก่ากว่า และได้พบว่าซอฟต์แวร์
ประเภท Exploit Kit หลายตัว เช่น Metasploit, Redkit หรือ Blackhole ได้เพิ่มความสามารถ
ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้เข้าไปในโปรแกรมของตนเองแล้ว [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข
CVE-2013-0422 [2]
บริษัท FireEye แจ้งว่าได้ตรวจสอบพบการโจมตีผ่านช่องโหว่นี้ตั้งแต่เมื่อวันที่ 2 มกราคม
2556 แล้ว โดยพบว่ามีการฝังโค้ดที่ใช้ในการโจมตีไว้ในเว็บไซต์ประเภทแชร์ไฟล์ [3] ในเบื้องต้นทาง
FireEye พบว่าช่องโหว่ดังกล่าวนี้ถูกใช้เป็นช่องทางในการโจมตี Java 7 Update 10 หรือตË่ำกว่าใน
Java เวอร์ชัน Windows แต่คาดว่าช่องโหว่นี้สามารถใช้ในการโจมตีระบบปฏิบัติการอื่นๆ ได้ด้วย
US-CERT ได้วิเคราะห์ว่าช่องโหว่ดังกล่าวเกิดจากข้อผิดพลาดในฟังก์ชัน
setSecurityManager() ของระบบ Security Manager ใน Java Runtime Environment
(JRE) มีผลทำ� ให้แอปพลิเคชันสามารถได้รับสิทธิ์การทำ� งานเกินปกติ (Privilege Escalation) [4]
ผลกระทบ
ช่องโหว่ดังกล่าวนี้สามารถโจมตีได้ด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ ซึ่งหากผู้ใช้งานเข้าชม
เว็บไซต์ดังกล่าว อาจถูกติดตั้งมัลแวร์ หรืออาจถูกสั่งให้ประมวลผลคำ� สั่งอันตรายจากระยะไกลได้
(Remote Code Execution)
17. CYBER THREATS 2013 17
ระบบที่ได้รับผลกระทบ
Java 7 Update 10 หรือตË่ำกว่า
ในเวอร์ชัน Windows
ข้อแนะนำ� ในการป้องกันและแก้ไข
Oracle ได้ออก Java 7 Update 11
เพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลด
ได้จากเว็บไซต์ของ Oracle [5] โดยอัพเดต
เวอร์ชันดังกล่าวนี้ได้ปิดช่องโหว่
CVE-2012-3174 ด้วย
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความ
มั่นคงปลอดภัยหลายฝ่ายให้ความเห็นว่าถึงแม้
จะมีอัพเดตออกมาแล้ว แต่ Java ยังคงมี
ความเสี่ยงอยู่ และแนะนำ� ให้ปิดการทำ� งานของ
Java เมื่อไม่มีความจำ� เป็นต้องใช้งาน [6] โดย
ตั้งแต่ Java 7 Update 10 เป็นต้นไป ทาง
Oracle ได้เพิ่มคุณสมบัติการปิดการทำ� งาน
ของ Java ในเว็บเบราว์เซอร์แล้ว ซึ่งผู้ใช้
สามารถศึกษาวิธีการปิดการทำ� งานได้จาก
เว็บไซต์ของ Java [7]
อ้างอิง
1. http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.
html
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422
3. http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.
html
4. http://www.kb.cert.org/vuls/id/625617
5. http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
6. http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114
7. http://www.java.com/en/download/help/disable_browser.xml
18. 18 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่
BUFFER OVERFLOW
ใน FOXIT READER
5.4.4.1128
(NPFOXITREADERPLUGIN.DLL)
วันที่ประกาศ : 22 มกราคม 2556
ปรับปรุงล่าสุด : 22 มกราคม 2556
เรื่อง : ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128
(npFoxitReaderPlugin.dll)
ประเภทภัยคุกคาม : Malicious Code
ข้อมูลทั่วไป
เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยชาวอิตาลีชื่อ Andrea Micalizzi ได้
ค้นพบช่องโหว่ของโปรแกรม Foxit Reader ซึ่งเป็นโปรแกรมที่ใช้สำ� หรับอ่านไฟล์ PDF โดยช่องโหว่ที่
พบนี้อยู่ในไฟล์ npFoxitReaderPlugin.dll ซึ่งเป็นปลั๊กอินสำ� หรับเปิดไฟล์ .pdf
ในเว็บเบราว์เซอร์ โดยเมื่อผู้ใช้เปิดไฟล์ .pdf จาก
URL ที่มีความยาวมากๆ จะส่งผลให้ปลั๊กอิน
ดังกล่าวเกิดอาการ Buffer Overflow [1]
ตัวอย่างหน้าจอการทำ� งานผิดพลาด
เป็นดังรูปที่ 1
รูปที่ 1 หน้าจอของเว็บ
เบราว์เซอร์เมื่อปลั๊กอินเกิดอาการ
Buffer Overflow
(ที่มา : Naked Security [1])
19. CYBER THREATS 2013 19
ผลกระทบ
ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ� สั่งอันตรายบนเครื่องคอมพิวเตอร์
ของผู้ใช้ได้ [2]
ระบบที่ได้รับผลกระทบ
Foxit Reader เวอร์ชั่น 5.4.4.1128 หรือเก่ากว่า
(ปลั๊กอิน npFoxitReaderPlugin.dll เวอร์ชัน 2.2.1.530) [3]
ข้อแนะนำ� ในการป้องกันและแก้ไข
Foxit Software ได้เผยแพร่โปรแกรม Foxit Reader เวอร์ชัน 5.4.5 เพื่อแก้ไขปัญหานี้แล้ว
[4] ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Foxit Software [5]
อ้างอิง
1. http://nakedsecurity.sophos.com/2013/01/11/vulnerability-in-foxit-pdf-plugin-for-firefox
2. http://secunia.com/advisories/51733/
3. http://threatpost.com/en_us/blogs/vulnerability-foxit-reader-allows-attackers-remotely-
execute-code-011013
4. http://www.foxitsoftware.com/support/security_bulletins.php#FRD-18
5. http://www.foxitsoftware.com/downloads/index.php
20. 20 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่
DOS และ REMOTE
CODE EXECUTION ใน
โพรโทคอล UNIVERSAL
PLUG-AND-PLAY
(UPNP)
วันที่ประกาศ : 31 มกราคม 2556
ปรับปรุงล่าสุด : 31 มกราคม 2556
เรื่อง : ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล
Universal Plug-and-Play (UPnP)
ประเภทภัยคุกคาม : Denial-of-Service, Malicious Code
ข้อมูลทั่วไป
เมื่อวันที่ 29 มกราคม 2556 นักวิจัยจากบริษัท Rapid 7 ได้ค้นพบช่องโหว่ของโพรโทคอล
Universal Plug-and-Play (UPnP) ซึ่งเป็นโพรโทคอลที่ใช้ในระบบเครือข่าย สำ� หรับให้อุปกรณ์ที่
อยู่ในระบบสามารถเชื่อมต่อ และค้นหาเครื่องอื่นๆ ในเครือข่าย เพื่อควบคุมแชร์ไฟล์ สั่งพิมพ์เอกสาร หรือ
เข้าถึงทรัพยากรอื่นๆ ที่ถูกแชร์ไว้ได้ โดยส่วนมาก โพรโทคอล UPnP จะเปิดใช้งาน (Enable) ไว้แล้ว
ตั้งแต่แรกในอุปกรณ์ที่สามารถเชื่อมต่อกับระบบเครือข่ายได้ ไม่ว่าจะเป็นคอมพิวเตอร์ เราท์เตอร์ เครื่องพิมพ์
หรือแม้กระทั่ง Smart TV ตัวอย่างการใช้งานโพรโทคอล UPnP เช่น โปรแกรมประเภท Bittorrent
จะใช้ UPnP ในการทำ� Port Forward จากเราท์เตอร์ เพื่อให้สามารถ
แลกเปลี่ยนข้อมูลกับผู้ใช้โปรแกรม Bittorrent อื่นๆ ได้ หรือหน้าจอ
“Add Device” ของระบบปฏิบัติการ Windows ที่จะใช้ UPnP
ในการตรวจสอบหาอุปกรณ์ที่อยู่ในระบบเครือข่าย เช่น เครื่องพิมพ์
เพื่อที่จะเข้าไปจัดการกับอุปกรณ์ดังกล่าว เช่น ตั้งค่าการทำ� งาน หรือ
เคลียร์รายการเอกสารที่สั่งพิมพ์อยู่ เป็นต้น [1]
21. CYBER THREATS 2013 21
ผลกระทบ
ช่องโหว่ที่ค้นพบนี้เกิดจากข้อผิดพลาด Buffer overflow ในไลบรารี libupnp ซึ่งเป็น
Portable SDK ที่นำ� ไปใช้ในอุปกรณ์ที่รองรับระบบ UPnP เช่น เราท์เตอร์สำ� หรับเชื่อมต่อ
อินเทอร์เน็ต ADSL ที่ใช้งานตามบ้าน หรือ WiFi Access Point โดยทาง Rapid 7 ได้จัด
ผลกระทบออกเป็น 3 ประเด็นดังนี้
• ช่องโหว่ใน UPnP discovery protocol (SSDP) ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบ
การทำ� งานของ UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้
• ช่องโหว่ใน UPnP control interface (SOAP) เปิดเผยข้อมูลที่เกี่ยวข้องกับระบบ
เครือข่ายภายใน (Internal network) ให้กับบุคคลภายนอก
• ช่องโหว่ใน UPnP HTTP และ SOAP ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบการทำ� งานของ
UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้
นักวิจัยจากบริษัท Rapid 7 ได้ทำ� การทดลองแล้วพบว่ามีอุปกรณ์กว่า 80 ล้านเครื่องทั่วโลกที่
ตอบรับ UPnP discovery request ที่มาจากอินเทอร์เน็ต และจากการตรวจสอบพบว่ามีอุปกรณ์
ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวอยู่มาก ถึง 40-50 ล้านเครื่องทั่วโลก [2] โดยมีข้อมูล
เพิ่มเติมดังรูปที่ 1
ระบบที่ได้รับผลกระทบ
หน่วยงาน CERT.org ได้ติดต่อผู้ผลิตอุปกรณ์เครือข่ายและระบบปฏิบัติการคอมพิวเตอร์เพื่อ
ขอข้อมูลระบบที่ได้รับผลกระทบ โดยปัจจุบัน (ณ วันที่ประกาศแจ้งเตือนนี้) มีผู้ผลิตที่ยืนยันแล้วว่า
ระบบมีช่องโหว่ คือ
• Cisco Systems, Inc.
• Fujitsu Technology
• Huawei Technologies
• Linksys
• NEC Corporation
• Siemens
• Sony Corporation
และผู้ผลิตที่ยืนยันแล้วว่าระบบไม่ได้รับผลกระทบคือ Ubiquiti Networks
ในส่วนของระบบอื่นๆ ที่ใช้งาน UPnP ยังอยู่ระหว่างการประสานงานและตรวจสอบข้อมูล
ผู้ใช้งานระบบดังกล่าวควรตรวจสอบ และติดตามข้อมูลของช่องโหว่จากเว็บไซต์ของ CERT.org และ
เว็บไซต์ของผู้ผลิตอย่างสมË่ำเสมอ [3]
22. 22 บทความแจ้งเตือนและข้อแนะนำ�
รูปที่ 1 ข้อมูลของระบบที่ได้รับ
ผลกระทบจากช่องโหว่ UPnP
(ที่มา : Rapid 7 [1])
ข้อแนะนำ� ในการป้องกันและแก้ไข
ผู้พัฒนา libupnp ได้เผย
แพร่ไลบรารีเวอร์ชัน 1.6.18 ซึ่งแก้ไข
ปัญหาดังกล่าวแล้ว [4] ระหว่างที่
รอผู้ผลิตนำ� ไลบรารีดังกล่าวไป
ปรับปรุงระบบ ผู้ใช้งานควร
ป้องกันปัญหาที่อาจจะเกิดขึ้นโดย
ตรวจสอบ และปิดการทำ� งานของ
ระบบ UPnP ในอุปกรณ์ต่างๆ
หรือตั้งค่า Firewall โดยไม่
อนุญาตให้มีการเข้าถึงพอร์ต
1900/udp จากโฮสต์ที่น่าสงสัย
ทาง Rapid 7 ได้เผยแพร่
ซอฟต์แวร์ ScanNow for
UPnP ซึ่งเป็นซอฟต์แวร์ที่ใช้สำ� หรับการสแกนอุปกรณ์ในระบบเครือข่ายเพื่อตรวจสอบ ว่ามีช่องโหว่
UPnP อยู่หรือไม่ โดยซอฟต์แวร์ดังกล่าวทำ� งานได้เฉพาะบนระบบปฏิบัติการ Windows ผู้ใช้งาน
สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ของ Rapid 7 [5] ตัวอย่างหน้าจอของโปรแกรม ScanNow
for UPnP เป็นดังรูปที่ 2
รูปที่ 2 ตัวอย่างหน้าจอของ
โปรแกรม ScanNow for
UPnP (ที่มา : Rapid 7 [1])
23. CYBER THREATS 2013 23
สำ� หรับผู้ใช้ระบบปฏิบัติการ Mac OS X หรือ Linux ทาง Rapid 7 แนะนำ� ให้ใช้โปรแกรม
Metasploit [6] และเรียกใช้โมดูลที่ชื่อ UPnP SSDP M-SEARCH Information Discovery
สำ� หรับสแกนช่องโหว่ในระบบเครือข่าย
สำ� หรับผู้ใช้งานอินเทอร์เน็ตตามบ้าน ทาง Rapid 7 ได้เปิดเว็บไซต์สำ� หรับให้บริการสแกน
เราท์เตอร์ที่ใช้งานอยู่เพื่อตรวจสอบว่า อุปกรณ์ดังกล่าวยอมรับ UPnP discovery request จาก
อินเทอร์เน็ตหรือไม่ โดยสามารถตรวจสอบได้จากเว็บไซต์ http://upnp-check.rapid7.com/ [7]
ตัวอย่างหน้าเว็บไซต์ดังกล่าวเป็นดังรูปที่ 3
อ้างอิง
1. https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-
plug-and-play-unplug-dont-play
2. https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/
SecurityFlawsUPnP.pdf
3. http://www.kb.cert.org/vuls/id/922681
4. http://pupnp.sourceforge.net/
5. http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-
play-jan-2013.jsp
6. http://www.rapid7.com/products/metasploit/download.jsp
7. http://upnp-check.rapid7.com/
รูปที่ 3 ตัวอย่างหน้าจอของ
โปรแกรม ScanNow for
UPnP (ที่มา : Rapid 7 [1])
24. 24 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย มัลแวร์ใน
ANDROID
หลอกขโมยเงินจากธนาคาร
วันที่ประกาศ : 8 มีนาคม 2556
ปรับปรุงล่าสุด : 8 มีนาคม 2556
เรื่อง : ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร
ประเภทภัยคุกคาม : Malicious Code
ข้อมูลทั่วไป
จากที่มีการเผยแพร่ข้อมูลในงาน CDIC2013 ที่จัดขึ้นเมื่อวันที่ 27 - 28
กุมภาพันธ์ 2556 เรื่องมัลแวร์ในระบบปฏิบัติการ Android หลอกขโมยเงิน
จากธนาคาร [1] ทางไทยเซิร์ตได้ตรวจสอบเว็บไซต์ที่เผยแพร่มัลแวร์ และได้ทำ� การ
วิเคราะห์มัลแวร์ดังกล่าว ได้ผลสรุปดังนี้
ในการโจมตี ผู้ไม่หวังดีได้ส่ง SMS มายังโทรศัพท์มือถือของเหยื่อ
ข้อความใน SMS ระบุลิงก์สำ� หรับดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชัน
ของระบบปฏิบัติการ Android โดยลิงก์ที่ให้ดาวน์โหลดไฟล์ดังกล่าวคือ [2]
[3]
• http://scb.<สงวนข้อมูล>.info/scbeasy.apk
• File Name: scbeasy.apk
• File size: 235093 bytes
• MD5: 1108B16034254CA989B84A48E8E03D78
• SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3
• http://kasikorn.<สงวนข้อมูล>.info/ibanking.apk
• File Name: ibanking.apk
• File size: 266157 bytes
• MD5: 06806E271792E7E521B28AD713601F2E
• SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6
25. รูปที่ 1 เปรียบเทียบโครงสร้างของไฟล์ ibanking.
apk และ scbeasy.apk
CYBER THREATS 2013 25
หากผู้ใช้เข้าไปยังหน้าแรกของเว็บไซต์
ที่เผยแพร่มัลแวร์โดยไม่ระบุพาธของ ไฟล์
.apk จะพบว่าหน้าเว็บไซต์ดังกล่าว
Redirect ไปยังหน้าเว็บไซต์จริงของ
ธนาคาร ซึ่งผู้ไม่หวังดีใช้วิธีนี้ในการ
หลอกลวงเหยื่อให้เชื่อว่าเว็บไซต์ดังกล่าวนี้
เป็นเว็บไซต์จริงของธนาคาร
ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลที่อยู่
ในไฟล์ .apk ทั้งสองไฟล์ พบว่ามี
โครงสร้างภายในเหมือนกัน ดังรูปที่ 1
โดยมีส่วนที่แตกต่าง คือ ไฟล์กราฟิกที่อยู่
ในไดเรกทอรี drawable จะเป็นโลโก้ของ
ธนาคารที่ถูกผู้ไม่หวังดีแอบอ้าง
เมื่อตรวจสอบข้อมูลในไฟล์
AndroidManifest.xml ของทั้งสองไฟล์
พบว่าใช้ชื่อ package เหมือนกันคือ
“com.fake.site” ดังรูปที่ 2
รูปที่ 2 ข้อมูลในไฟล์ AndroidManifest.xml
26. 26 บทความแจ้งเตือนและข้อแนะนำ�
ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนด
สิทธิ์ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ [4] ซึ่งจากข้อมูลดังกล่าว พบว่าทั้งสอง
แอปพลิเคชันมีความสามารถในการเขียนข้อมูลลงใน External storage (เช่น SD Card) และรับส่ง
SMS อย่างไรก็ตาม ทั้งสองแอปพลิเคชันนี้ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้
เมื่อตรวจสอบโค้ดของทั้งสองแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข
โทรศัพท์ที่อยู่ในประเทศรัสเซีย ดังรูปที่ 3
รูปที่ 3 หมายเลขโทรศัพท์ที่จะส่ง SMS ไป
และพบ String ที่เป็นรหัส Unicode ซึ่งสามารถแปลงกลับได้เป็นข้อความภาษาไทยว่า “รหัส
ผ่านไม่ตรงกัน” ดังรูปที่ 4
รูปที่ 4 String ที่พบในแอปพลิเคชัน
เมื่อทดลองติดตั้งทั้งสองแอปพลิเคชันลงในโปรแกรม Android emulator พบไอคอนของ
แอปพลิเคชันที่ชื่อ certificate ดังรูปที่ 5
รูปที่ 5 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง
27. CYBER THREATS 2013 27
เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอให้ใส่รหัสผ่านสำ�หรับเข้าใช้งานบัญชีธนาคาร
ออนไลน์ ดังรูปที่ 6 หากใส่รหัสผ่านทั้งสองช่องไม่ตรงกัน จะปรากฏข้อความว่า “รหัสผ่านไม่ตรงกัน”
เมื่อป้อนรหัสผ่าน และกดปุ่ม “ต่อ” จะพบหน้าจอดังรูปที่ 7
รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของธนาคารออนไลน์
จากการใช้คำ� สั่ง logcat [5] เพื่อบันทึก Log ของสิ่งที่เกิดขึ้นในระบบ พบว่ามีการส่ง SMS
ออกไปยังหมายเลขโทรศัพท์ตามที่ปรากฏอยู่ในโค้ดของแอปพลิเคชัน ดังรูปที่ 8
รูปที่ 7 ตัวอย่างหน้าจอหลังกรอกข้อมูลรหัสผ่าน
28. 28 บทความแจ้งเตือนและข้อแนะนำ�
รูปที่ 8 Log แสดงการส่ง SMS
ผลกระทบ
ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกหลอกให้กรอกข้อมูลที่เกี่ยวข้องกับบัญชีธนาคาร
ออนไลน์ แล้วถูกผู้ไม่หวังดีขโมยบัญชีผู้ใช้ ซึ่งอาจนำ� ไปสู่การขโมยเงินจากธนาคารในภายหลังได้
ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันปลอมของธนาคารออนไลน์
ข้อแนะนำ� ในการป้องกันและแก้ไข
จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชัน
หลอกลวงที่อ้างว่าสามารถเข้าใช้งานบัญชีธนาคารออนไลน์ได้ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มา
จากเว็บไซต์จริงของธนาคาร และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่
Google Play Store
การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชัน
ที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ
รวมถึงตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่
อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำ�
เสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย
ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ
• แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]
29. CYBER THREATS 2013 29
อ้างอิง
1. http://www.acisonline.net/
2. https://twitter.com/PrinyaACIS/status/307711776873668608
3. https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.
Phishing%20SMS.pdf
4. http://docs.xamarin.com/guides/android/advanced_topics/working_with_
androidmanifest.xml
5. http://developer.android.com/tools/help/logcat.html
6. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
7. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
8. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
30. 30 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่
ในเครื่องพิมพ์ HP
ผู้ไม่หวังดีสามารถ
เข้าถึงข้อมูลสำ� คัญได้
วันที่ประกาศ : 13 มีนาคม 2556
ปรับปรุงล่าสุด : 13 มีนาคม 2556
เรื่อง : ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ� คัญได้
ประเภทภัยคุกคาม : Intrusion, Denial of Service (DoS)
ข้อมูลทั่วไป
วันที่ 11 มีนาคม 2556 หน่วยงาน CERT และบริษัท HP ได้ประกาศแจ้งเตือนช่องโหว่ที่พบ
ในเครื่องพิมพ์ HP LaserJet Professional โดยเป็นช่องโหว่ในระบบที่ใช้สำ�หรับเชื่อมต่อเข้ามา
debug เครื่องพิมพ์ผ่านโพรโทคอล telnet [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-5215
[2]
ผลกระทบ
ผู้ไม่หวังดีสามารถเชื่อมต่อเข้ามายังเครื่องพิมพ์ผ่านโพรโทคอล telnet แล้วสามารถเห็นข้อมูล
สำ� คัญ หรืออาจทำ� ให้เครื่องพิมพ์ไม่สามารถทำ� งานต่อได้
31. CYBER THREATS 2013 31
ระบบที่ได้รับผลกระทบ
• HP LaserJet Pro P1102w ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213
• HP LaserJet Pro P1606dn ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213
• HP LaserJet Pro M1212nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า
20130211
• HP LaserJet Pro M1213nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า
20130211
• HP LaserJet Pro M1214nfh MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211
• HP LaserJet Pro M1216nfh Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า
20130211
• HP LaserJet Pro M1217nfw Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า
20130211
• HP HotSpot LaserJet Pro M1218nfs MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า
20130211
• HP LaserJet Pro M1219nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211
• HP LaserJet Pro CP1025nw ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130212
ข้อแนะนำ� ในการป้องกันและแก้ไข
ทาง HP ได้เผยแพร่เฟิร์มแวร์สำ� หรับแก้ไขช่องโหว่ในเครื่องพิมพ์รุ่นที่มีปัญหาแล้ว ผู้ใช้งานควร
ตรวจสอบเวอร์ชันของเฟิร์มแวร์ที่ใช้งานอยู่ หากพบว่าเป็นเวอร์ชันที่มีช่องโหว่ควรทำ� การติดตั้ง
เฟิร์มแวร์รุ่นล่าสุดจากเว็บไซต์ของ HP [3] วิธีการตรวจสอบเวอร์ชันของเฟิร์มแวร์อาจมีความ
แตกต่างกันในเครื่องพิมพ์แต่ละรุ่น ซึ่งผู้ใช้สามารถศึกษาวิธีการตรวจสอบได้จากคู่มือการใช้งานของ
เครื่องพิมพ์รุ่นนั้นๆ
อ้างอิง
1. http://www.kb.cert.org/vuls/id/782451
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5215
3. https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03684249
32. 32 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่
0-DAY ใน MONGODB
ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคำ� สั่งอันตรายได้
วันที่ประกาศ : 26 มีนาคม 2556
ปรับปรุงล่าสุด : 26 มีนาคม 2556
เรื่อง : ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผล
คำ� สั่งอันตรายได้
ประเภทภัยคุกคาม : Intrusion
ข้อมูลทั่วไป
MongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ
Open-source โดยมีผู้พัฒนา คือ บริษัท 10gen โปรแกรม MongoDB มีการนำ�ไปใช้
เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1]
เมื่อวันที่ 24 มีนาคม 2556 นักวิจัยจากบริษัท SCRT ได้ค้นพบ
ช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้
ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript
เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำ� ให้ผู้ไม่หวังดีสามารถส่งคำ� สั่ง
อันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้
ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2]
อย่างไรก็ตามในโปรแกรม MongoDB เวอร์ชัน 2.4 เป็นต้นมา ได้
เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มา
เป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับ
ผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชัน 2.2.4 ซึ่งเป็นอัพเดต
ล่าสุดของเวอร์ชัน 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3]
นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำ� หรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าว
นี้ลงในโปรแกรม Metasploit ในอีกไม่นาน
33. CYBER THREATS 2013 33
ผลกระทบ
ผู้ไม่หวังดีสามารถส่งคำ� สั่งอันตรายเข้ามา
ประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำ� สั่งเข้ามา
เพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้
ระบบที่ได้รับผลกระทบ
MongoDB เวอร์ชัน 2.2.4 และตË่ำกว่า
ทั้งเวอร์ชัน 32 บิตและ 64 บิต
ข้อแนะนำ� ในการป้องกันและแก้ไข
สำ� หรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชัน
ที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจง หรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรด
โปรแกรม MongoDB ให้เป็นเวอร์ชัน 2.4 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หาก
ทำ� ไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสมË่ำเสมอ และหากมีการเผยแพร่
ซอฟต์แวร์เวอร์ชันที่แก้ไขปัญหานี้แล้วควรทำ� การอัพเดตโดยเร็วที่สุด
อ้างอิง
1. http://www.mongodb.org/
2. http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
3. http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-
Metasploit-in-the-making-1829690.html
34. 34 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่ใน
เกม BATTLEFIELD
PLAY4FREE ผู้ไม่หวังดี
สามารถควบคุมเครื่อง
ของเหยื่อได้
วันที่ประกาศ : 26 มีนาคม 2556
ปรับปรุงล่าสุด : 26 มีนาคม 2556
เรื่อง : ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุม
เครื่องของเหยื่อได้
ประเภทภัยคุกคาม : Intrusion
ข้อมูลทั่วไป
เกม Battlefield Play4Free เป็นเกมออนไลน์ที่เปิดให้เล่นได้ฟรี โดยมีผู้ให้บริการคือบริษัท
EA ปัจจุบันมีผู้เล่นเกมนี้อยู่ประมาณ 1 ล้านคนทั่วโลก [1]
เมื่อวันที่ 22 มีนาคม 2556 นักวิจัยจากบริษัท ReVuln ได้ค้นพบช่องโหว่ในระบบการทำ� งาน
ของเกม Battlefield Play4Free ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อ
ได้ผ่านการเปิดหน้าเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ โดยช่องโหว่ดังกล่าวนี้มีการเผยแพร่ในงาน Black
Hat Europe 2013
การทำ� งานของเกม Battlefield Play4Free ประกอบด้วย 3 ส่วนหลักๆ คือ
1. Browser plugin เป็นปลั๊กอินที่ติดตั้งในเบราว์เซอร์เพื่อเรียกใช้งานโปรแกรมเกม
2. Game updater เป็นระบบที่ใช้สำ� หรับตรวจสอบการอัพเดตเวอร์ชันของเกม และเปิดให้
เข้าเล่นเกมเมื่อตรวจสอบพบว่าเป็นเวอร์ชันล่าสุดแล้ว
3. Game เป็นตัวโปรแกรมเกมที่ใช้ในการเล่น
เมื่อผู้เล่นกดเข้าเล่นเกม Battlefield Play4Free จากหน้าเว็บไซต์ โปรแกรม Browser
35. CYBER THREATS 2013 35
Plugin ที่ติดตั้งอยู่จะเรียกใช้งาน
โปรแกรม Game updater และ
เรียกใช้งานโปรแกรม Game
ตามลำ� ดับ ตัวอย่างหน้าจอการ
เข้าเล่นเกมเป็นดังรูปที่ 1
รูปที่ 1 ตัวอย่างหน้าจอการเข้า
เล่นเกม Battlefield
Play4Free
สาเหตุของ
ช่องโหว่ เกิดจาก
การที่ระบบ
Game updater
รับค่าตัวแปรจากภายนอกเข้ามาประมวลผล
ก่อนที่จะเรียกใช้งานโปรแกรม Game โดยไม่ได้มีการตรวจสอบ
ความถูกต้องของตัวแปรที่ได้รับเข้ามา ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงค่าของ
ตัวแปรดังกล่าวให้เป็นคำ� สั่งอันตรายใดๆ ก็ได้ [2]
ทางบริษัท ReVuln ได้เผยแพร่วิดีโอสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว โดยได้จำ� ลองหน้า
เว็บไซต์ที่มีโค้ดสำ� หรับโจมตีช่องโหว่ เมื่อผู้ใช้เปิดเว็บเบราว์เซอร์ที่ติดตั้งปลั๊กอินของเกม Battlefield
Play4Free เข้าไปยังเว็บไซต์ดังกล่าว จะมีการเรียกใช้งานโปรแกรม Game updater และประมวล
ผลคำ� สั่งอันตรายทันที ซึ่งผลลัพธ์ของการโจมตีคือสามารถติดตั้งไฟล์ที่เปิดช่องทางให้ผู้ไม่หวังดีเข้ามา
ควบคุมเครื่องของเหยื่อได้ [3]
อย่างไรก็ตาม ช่องโหว่ดังกล่าวนี้สามารถทำ� งานได้เฉพาะใน Windows XP และ Windows
Server 2003 เท่านั้น และทางบริษัท ReVuln ยังไม่ได้เผยแพร่ตัวอย่างโค้ดที่ใช้สำ� หรับการโจมตีผ่าน
ช่องโหว่ดังกล่าวออกสู่สาธารณะ มีเพียงการเผยแพร่ข้อมูลรายละเอียดของช่องโหว่และตัวอย่างวิดีโอ
สาธิตการโจมตีเท่านั้น
ผลกระทบ
ผู้ที่ติดตั้งเกม Battlefile Play4Free อาจถูกผู้ไม่หวังดีติดตั้งโปรแกรมเพื่อใช้ในการเชื่อมต่อ
เข้ามาควบคุมการทำ� งานของเครื่องคอมพิวเตอร์
ระบบที่ได้รับผลกระทบ
ผู้ใช้งานระบบปฏิบัติการ Windows XP หรือ Windows Server 2003 ที่ติดตั้งเกม
Battlefield Play4Free
36. 36 บทความแจ้งเตือนและข้อแนะนำ�
ข้อแนะนำ� ในการป้องกันและแก้ไข
ยังไม่มีข้อมูลรายละเอียดความเสียหาย หรือวิธีการแก้ไขจากบริษัท EA ในเรื่องของช่องโหว่นี้
ผู้ที่ติดตั้งโปรแกรม Battlefiled Play4Free อาจจำ� เป็นต้องปิดการทำ� งานของปลั๊กอิน
Battlefield Play4Free ในเว็บเบราว์เซอร์ และเปิดใช้งานในกรณีที่ต้องการเล่นเกมเท่านั้น ดังรูปที่ 2
รูปที่ 2 การปิดใช้งานปลั๊กอิน Battlefield Play4Free
อ้างอิง
1. http://battlefield.play4free.com/en/forum/showthread.php?tid=115716
2. http://revuln.com/files/ReVuln_Battlefield_play4free.pdf
3. http://vimeo.com/61364094
38. 38 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย ช่องโหว่ใน
แอปVIBERผู้ไม่หวังดี
สามารถผ่าน LOCK SCREEN
และเข้าถึงข้อมูลในมือถือ
ระบบปฏิบัติการ ANDROID
วันที่ประกาศ : 30 เมษายน 2556
ปรับปรุงล่าสุด : 30 เมษายน 2556
เรื่อง : ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง
ข้อมูลในมือถือระบบปฏิบัติการ Android
ประเภทภัยคุกคาม : Intrusion
ข้อมูลทั่วไป
เมื่อวันที่ 23 เมษายน 2556 Viber เป็นโปรแกรมแชทบนมือถือที่มีความสามารถส่งข้อความ
หรือโทรศัพท์ฟรี คล้ายกับแอปพลิเคชัน LINE ที่ได้รับความนิยมสูง โดยมีผู้ใช้มากกว่า
50,000,000 คน และสามารถติดตั้งบนระบบปฏิบัติการที่ได้รับความนิยมอย่าง Android, iOS
และ Windows Phone [1]
บริษัท Bkav ได้ค้นพบช่องโหว่ในแอปพลิเคชัน Viber รุ่นที่ใช้งานกับระบบปฏิบัติการ
Andriod ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีผ่านการป้องกัน lock screen และสามารถเข้าถึงข้อมูล
ในมือถือบนระบบปฏิบัติการ Android โดยมีการเผยแพร่รายละเอียดของช่องโหว่ผ่านเว็บไซต์ของ
บริษัท ในการเข้าถึงข้อมูลมือถือผ่านช่องโหว่นี้ ผู้ไม่หวังดีต้องสามารถเข้าถึงเครื่องมือถือของเหยื่อ
ทางกายภาพ เช่น เหยื่ออาจจะลืมมือถือไว้บนโต๊ะ ซึ่งระบบปฏิบัติการบนมือถือนั้นต้องเป็น Android
และมีการติดตั้งแอปพลิเคชัน Viber และผู้ไม่หวังดีต้องรู้เบอร์มือถือของเหยื่อเพื่อที่จะส่งข้อความไปยัง
Viber บนเครื่องของเหยื่อ โดยเครื่องของเหยื่อไม่จำ� เป็นต้องมี contact ของผู้ไม่หวังดีใน contact
list แต่อย่างใด จากนั้นผู้ไม่หวังดีอาศัยความผิดพลาดของแอปพลิเคชันในส่วนของการแจ้งเตือน เมื่อ
ได้รับข้อความ ซึ่งปกติจะมีลักษณะดังรูปที่ 1 ทำ� ให้สามารถผ่าน lock screen ได้โดยอาศัยเงื่อนไข
บางประการ ดังรายละเอียดที่ระบุในเว็บไซต์ของผู้ค้นพบช่องโหว่นี้ [2]
39. CYBER THREATS 2013 39
ผลกระทบ
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง
ข้อมูลบนมือถือระบบปฏิบัติการ Android ได้
ระบบที่ได้รับผลกระทบ
ผู้ใช้งานมือถือระบบปฏิบัติการ Android ที่ติดตั้ง
แอปพลิเคชัน Viber
ข้อแนะนำ� ในการป้องกันและแก้ไข
ยังไม่มีวิธีการแก้ไขจาก Viber ในเรื่องของช่องโหว่
นี้ ผู้ที่ติดตั้ง Viber ควรเก็บมือถือไว้กับตัว และไม่ควร
ให้คนอื่นยืม และทำ� การอัพเดต Viber เพื่อปิดช่องโหว่
เมื่อมีการปล่อยอัพเดตในอนาคต
อ้างอิง
1. http://www.viber.com
2. http://www.bkav.com/top-news/-/view_
content/content/46264/critical-flaw-in-viber-allows-
full-access-to-android-smartphones-bypassing-
lock-screen
รูปที่ 1 แสดงการแจ้งเตือน
เมื่อได้รับข้อความของ Viber
40. 40 บทความแจ้งเตือนและข้อแนะนำ�
ระวังภัย
มัลแวร์ใน ANDROID
ในรูปแบบของแอนตี้ไวรัส
AVG ปลอม
วันที่ประกาศ : 12 มิถุนายน 2556
ปรับปรุงล่าสุด : 17 มิถุนายน 2556
เรื่อง : ระวังภัย มัลแวร์ใน
Android ในรูปแบบของ
แอนตี้ไวรัส AVG ปลอม
ประเภทภัยคุกคาม : Malicious Code
ข้อมูลทั่วไป
เมื่อเดือนมิถุนายน ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำ� งานบนระบบปฏิบัติการ Android
เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์
ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด
รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี แอปพลิเคชัน
ดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG
และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว
• http://avg.<สงวนข้อมูล>.mobi/avg.apk
• File Name: avg.apk
• File size: 279,115 bytes
• MD5: d232f20d95f97147c36ec246c8a140a6
• SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a
ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆ ของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse
Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1
41. CYBER THREATS 2013 41
ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนด
คุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนดสิทธิ์
(Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบ
ว่าแอปพลิเคชันดังกล่าวมีความสามารถในการอ่าน เขียน
และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิ์
ในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2
รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk
รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xml
เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข
โทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3
รูปที่ 3 แสดงฟังก์ชันที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS
ไปยังหมายเลข +447624803598
42. 42 บทความแจ้งเตือนและข้อแนะนำ�
เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรม
โทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android
พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus
ดังรูปที่ 4
เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบ
หน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็น
ช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด
“777390927” แต่จากการตรวจสอบพบว่าเป็น
เพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำ� อะไร
ได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะ
ปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์
ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการ
ซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบู๊ต
หรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการ
อำ� พรางการทำ� งานของแอปพลิเคชันดังกล่าว
จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตพบ
ความสามารถในการสั่งการและตอบสนองการสั่ง
การจากเครื่องที่เป็น C&C (Command &
Control) โดยทำ� ผ่าน SMS ตัวอย่างหน้าจอการ
โต้ตอบกับ C&C เป็นดังรูปที่ 6 ซึ่งสามารถ
อธิบายการทำ� งานได้ดังนี้
1. เครื่องที่เป็น C&C คือเครื่อง iPhone
มีหมายเลขโทรศัพท์คือ +66819xxxxxx
2. เครื่องที่ตกเป็นเหยื่อ คือเครื่อง
Android มีหมายเลขโทรศัพท์คือ
083xxxxxxx
3. เครื่อง C&C ส่ง SMS ไปที่เครื่องเหยื่อ โดย
มีข้อความว่า “set admin
+66819xxxxxx” เพื่อกำ� หนดให้เครื่องของ
เหยื่อรับคำ� สั่งจากเครื่องที่มีหมายเลข
โทรศัพท์ +66819xxxxxx
4. เครื่องของเหยื่อตอบกลับมาด้วยข้อความ
“yes we are”
รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง
รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอม
ของแอนตี้ไวรัส
43. CYBER THREATS 2013 43
5. เครื่อง C&C ส่งคำ� สั่ง “On” ไปเพื่อบอกว่า ให้เครื่องของเหยื่อส่งต่อ SMS ทุกอย่างที่ได้
รับมาที่เครื่องของ C&C
6. หลังจากที่เครื่องของเหยื่อได้รับคำ� สั่ง จะส่ง SMS ตอบกลับมาว่า “Oh ok”
7. หลังจากนั้น ไม่ว่าจะมี SMS อะไรส่งเข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่
เครื่องของ C&C และหลังจากที่ส่งต่อ SMS นั้นมาที่เครื่องของ C&C แล้ว เครื่องของ
เหยื่อจะลบ SMS ต้นฉบับทิ้งเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ
8. จากรูปจะพบว่าเมื่อเครื่องที่มีหมายเลขโทรศัพท์คือ +66815xxxxxx ส่งข้อความว่า
“message test 1234.” เข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่อง
C&C พร้อมทั้งระบุหมายเลขโทรศัพท์ของผู้ส่ง
9. หากเครื่อง C&C ส่งคำ� สั่งมาว่า “off” เครื่องของเหยื่อจะหยุดการส่ง SMS มาที่เครื่อง
ของ C&C พร้อมกับส่งข้อความว่า “Eh no”
ผลกระทบ
ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมย
ข้อมูลสำ� คัญจาก SMS เช่น ข้อมูลรหัส OTP
สำ� หรับเข้าทำ� ธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจ
ถูกนำ� ไปใช้โดยผู้ไม่ประสงค์ดีและนำ� ไปสู่การขโมยเงิน
จากบัญชีธนาคารภายหลังได้
ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการ Android ที่ติดตั้ง
แอปพลิเคชันแอนตี้ไวรัส AVG ปลอม
ข้อแนะนำ� ในการป้องกันและแก้ไข
จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่
ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอก
ลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์
บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชัน
นั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และ
เป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์
ภายนอกที่ไม่ใช่ Google Play Store และเมื่อใช้
งานแอปพลิเคชันแอนตี้ไวรัส AVG ที่ดาวน์โหลดจาก
Google Play Store มาทดสอบ พบว่าสามารถ
ตรวจจับการทำ� งานที่เป็นอันตราย
รูปที่ 6 ตัวอย่างหน้าจอการโต้ตอบกับ C&C
ของเครื่องที่ติดแอนตี้ไวรัสปลอม
44. 44 บทความแจ้งเตือนและข้อแนะนำ�
ของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 7 รวมถึงเมื่อนำ�
ไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com
แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความ
สามารถในการขโมยข้อมูล SMS เป็นหลัก
การป้องกันตัวไม่ให้ตกเป็นเหยื่อ
จากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้
งานควรพิจารณาแอปพลิเคชันที่จะ
ติดตั้งลงในโทรศัพท์มือถืออย่าง
รอบคอบ ไม่ควรติดตั้งแอปพลิเคชัน
ที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจ
สอบการร้องขอสิทธิ์ (Permission) ของ
แอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่
อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติ
การ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคย
นำ� เสนอวิธีการตรวจสอบ และป้องกันปัญหา
มัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้
ปลอดภัย
รูปที่ 7 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้
ไวรัส AVG ที่ดาวโหลดจาก Google Play
Store และสามารถตรวจจับพฤติกรรมอันตราย
ของแอปพลิเคชันปลอมดังกล่าวได้
ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ
• แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3]
อ้างอิง
1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html