ယခုအခ်ိန္ေတြမွာ website ေတြ အဟက္ခံရတယ္။ တစ္ခုၿပီးတစ္ခုပါပဲ။ ဒါေတြက
website တစ္ခု အဟက္ခံရလုိ႔ အဲ႔ site တစ္ခုတည္းထိတာမဟုတ္ပါဘူး။
ဟက္ကာေတာ္ေတာ္မ်ားမ်ားက site တစ္ခုကုိရသြားရင္ defacement
တစ္ခုလုပ္တာကလြဲရင္ က်န္တာဘာမွမလုပ္ပါဘူး။ ဒီအတြက္
လာေရာက္လည္ပတ္တဲ႔သူကုိလည္း မထိခုိက္ပါဘူး။ ဒါေပမဲ႔ အႏၱရယ္ရွိတာက Mailicous
Code ေတြ ထည့္သြားမ့ဲ Hacker ေတြကုိေတာ့ အလြန္ကုိေၾကာက္စရာေကာင္းတယ္ဆုိတာ
သိေစခ်င္လုိ႔ ဒီ Post ကုိ Korea Information Security Agency နဲ႔
ကၽြန္ေတာ့္ မိတ္ေဆြ bot hacker (တရုတ္ၿပည္မွ Game Password Hacker)
တစ္ေယာက္ တုိ႔အား ကုိးကားၿပီးေရးထားတာပါ။
Malicious Codes မ်ား ထည့္သြင္းမႈအတြက္ ဟက္ကာေတြ တုိက္ခုိက္ရာတြင္
၁. တုိက္ခုိက္ေရးသမားေတြက မိမိတုိ႔ရဲ႕ Target ကြန္ပ်ဴတာ၊ အဖြဲ႕အစည္း၊ Website ေတြထဲကုိ SQL Injection ေတြနဲ႔ ၀င္ေရာက္ၾကပါတယ္။ SQL Injection ေတြတစ္ခုတည္းလားဆုိေတာ့လည္း ဒီတစ္ခုတည္းေတာ့မဟုတ္ပါဘူး။ တစ္ၿခားတုိက္ခုိက္လုိ႔ရတဲ႔ နည္းလမ္းေတြအမ်ားၾကီးရွိပါတယ္။ ဘယ္လုိပင္ ၿဖစ္ပါေစ သူတုိ႔ လုိခ်င္တဲ႔အပုိင္းကေတာ့ user ေတြ အမ်ားအၿပား ၀င္ေရာက္လည္ပတ္တတ္တဲ႔ ေနရာေတြပါ။ ဒီလူေတြဆီကေန Cookies ေတြခုိးမယ္။ IP ေတြယူမယ္ စသည္ၿဖင့္ေပါ႔။
၂။ တုိက္ခုိက္ေရးသမားေတြက Vulnerability Website ေတြထဲမွာ ၄င္းတုိ႔ရဲ႕ Malicious Code ေတြ ထည့္သြင္းထားေသာ Attacker ရဲ႕ Web Link ေတြ ခ်ိတ္ဆက္ေပးပါတယ္။ ဒီလုိခ်ိတ္ဆက္တဲ႔ေနရာမွာ iframe ဆုိတာနဲ႔သုံးၾကပါတယ္။
iframe ဆုိတာ webpage element တစ္ခုၿဖစ္ၿပီး တစ္ၿခား web page ေတြကုိ ၄င္းရဲ႕ သတ္မွတ္ထားတဲ႔ ေဘာင္အတြင္းမွာ အလုပ္လုပ္ရန္အတြက္ အသုံးၿပဳၾကပါတယ္။ ....
ဥပမာ . . Planet Myanmar Website မွာ Iframe ကုိထည့္သြင္းထားပုံကုိၾကည့္ပါ။
ဆုိတာကုိၾကည့္ပါ။
၃. အဲ႔အခ်ိန္မွာ အင္တာနက္ အသုံးၿပဳသူေတြက Attacker (Hacker) ေတြ ဟက္လုပ္ထားတဲ႔ Website ေတြကုိ ၀င္ေရာက္လည္ပတ္ပါတယ္။
၄. အကယ္၍ အင္တာနက္ အသုံးၿပဳရဲ႕ ကြန္ပ်ဴတာက လုံၿခံဳေရးမရွိၿခင္း၊ Up to Date မၿဖစ္ေနတဲ႔ Internet Security or Antivirus မရွိဘူးဆုိရင္ ထုိကဲ႔သုိ႔ေသာ Website မွေန အလြယ္တကူ မိမိရဲ႕ ကြန္ပ်ဴတာကုိ Trojan ေတြ၀င္ေရာက္လာပါလိမ့္မယ္။
၅. ၿပီးရင္ မိမိရဲ႕ Information ေတြ၊ user ID, Password ေတြကုိ သတ္မွတ္ထားတဲ႔ လမ္းေၾကာင္းလိပ္စာအတုိင္း ၿပန္လည္ခုိးယူပုိ႔ေပးပါလိမ့္မယ္။
ဒီလုိတုိက္ခုိက္မႈမ်ိဳးက ယေန႔ေခတ္မွာေတာ္ေတာ္ေလးကုိ ေတြ႔ရၿပီး Porn / Unsecure site ေတြကုိ ၀င္ေရာက္လည္ပတ္က Antivirus အသြင္၀င္ေရာက္လာတတ္တဲ႔ Malware ေတြနဲ႔ ဆင္တူပါတယ္။ ဒါေပမဲ႔ဒီေကာင္က နဲနဲအဆင့္ပုိၿမင့္သြားတယ္။ ဒီလုိပုံစံေတြက Website ေတာ္ေတာ္မ်ားမ်ားမွာ ၿဖစ္ၾကၿပီးေတာ့ ၿဖစ္လုိက္တဲ႔ Website ေတြရဲ႕ ၉၀ ရာခုိင္းႏႈန္းကေတာ့ SQL Injection vulnerability မွေန ဟက္ကာေတြ ၀င္ေရာက္ကာ malicious codes ေတြ ထည့္သြင္းသြားၿခင္းၿဖစ္ပါတယ္။
ေနာက္တစ္ခုကေတာ့ Upload Vulnerability ပါ.. သူကေတာ့ WebBoard ေတြမွာ user ေတြအတြက္ image upload ေတြေပးထားတာကေနၿဖစ္တာပါ။
i. ထုိ Web Board က extension ဖုိင္ စီစစ္မႈကုိမထားၿခင္း။ ( Webmaster ေတြသတိၿပဳရမွာက ထုိကဲ႔သုိ႔ေသာ Upload setting မွာ extension filtering ကုိစစ္ဖုိ႔လုိပါတယ္)
ii. Upload လုပ္ထားေသာ file ၏ လမ္းေၾကာင္းကုိ user ႏွင့္ Attacker မွ အလြယ္တစ္ကူ ရယူသိရွိႏုိင္ၿခင္း။
iii. Upload လုပ္ထားေသာ file မ်ားရွိ folder အား execute လုပ္ခြင့္ ခြင့္ၿပဳခ်က္ေပးထားၿခင္းေၾကာင္းၿဖစ္သည္။
ဒီေတာ့ Trojan File ေတြနဲ႔ user ေတြကုိ ဘယ္လုိ တုိက္ခုိက္လဲဆုိတာကုိ အနည္းငယ္ ထပ္ၿပီးရွင္းပါမယ္..
Ice Fox Prodigal Web Trojan Generator ဒါက Website ေတြကုိ တုိက္ခုိက္တဲ႔ေနရာမွာ အလြယ္တကူ အသုံးၿပဳႏုိင္တဲ႔ Virus Creator တစ္ခုပါပဲ။ (ဟက္ကာေတာ္ေတာ္မ်ားမ်ားကေတာ့ သူတုိ႔ကုိယ္တုိင္ Code လုပ္တာမ်ားပါတယ္။)
၄င္းအထဲမွာ iframe ကုိ width=0 ဆုိၿပီး ၿမွဳပ္ထားပါတယ္။ ၿပီးရင္ icyfox.htm ဆုိတာက icyfox.js ပါတဲ႔ Backdoor/Trojan ဖုိင္ေတြကုိ ဆြဲယူသုံးတဲ႔သူေတြပါ။ တစ္နည္းအားၿဖင့္ ၄င္း .js အထဲမွာ Hacker ေရးဆြဲထားတဲ႔ လမ္းေၾကာင္းအတုိင္းကုိ လုပ္ေဆာင္မယ့္ Code ေတြရွိပါတယ္။
Malicious Code ေတြကုိထည့္တာကေတာ့ ဒါပဲ... ဒီအထဲမွာ Malicious Website ကုိ လာေရာက္လည္ပတ္တဲ႔သူေတြရဲ႕ Computer တုိင္းလုိလုိမွာ Trojan ေတြထည့္လုိက္တယ္။ ၿပီးရင္ ၄င္း ကြန္ပ်ဴတာေတြထဲကေန File / Folder ေတြကုိ ခုိးယူလုိ႔ရေအာင္ Remote Access သုံးလုိ႔ရေအာင္ အသုံးၿပဳတဲ႔ Web Base UI Program ေတြနဲ႔ Internet User ေတြရဲ႕ ကြန္ပ်ဴတာကုိ လုိအပ္သလုိ ထိန္းခ်ဴပ္တယ္။ ဒီအတုိင္းနဲ႔ 2005 ေလာက္က တရုတ္ၿပည္မွာ oct 16 ကေန oct 17 အထိ ၃၄ နာရီအတြင္းကုိ ၁၂၁၆ ေယာက္ေလာက္ ထိသြားတယ္။
Web Adminstrator တစ္ေယာက္အေနနဲ႔ မိမိ website ရဲ႕ ReWrite Rule ေတြကုိသိထားရမယ္။ Security Holes ေတြကုိ အၿမဲစစ္ၾကည့္ေနရမယ္။ user ေတြဘက္ကေန script uploading နဲ႔ execution ေတြကုိ block လုပ္ထားရမယ္။ Attacker တစ္ေယာက္ malicious script တစ္ခု run တာနဲ႔ site တစ္ခုတည္းမဟုတ္ဘူး server ရဲ႕ root ထဲအထိကုိေရာက္ႏုိင္တယ္။ web board ေတြမွာ image uploading module ေတြကုိ သတိထားရတယ္။
Malicious Codes မ်ား ထည့္သြင္းမႈအတြက္ ဟက္ကာေတြ တုိက္ခုိက္ရာတြင္
၁. တုိက္ခုိက္ေရးသမားေတြက မိမိတုိ႔ရဲ႕ Target ကြန္ပ်ဴတာ၊ အဖြဲ႕အစည္း၊ Website ေတြထဲကုိ SQL Injection ေတြနဲ႔ ၀င္ေရာက္ၾကပါတယ္။ SQL Injection ေတြတစ္ခုတည္းလားဆုိေတာ့လည္း ဒီတစ္ခုတည္းေတာ့မဟုတ္ပါဘူး။ တစ္ၿခားတုိက္ခုိက္လုိ႔ရတဲ႔ နည္းလမ္းေတြအမ်ားၾကီးရွိပါတယ္။ ဘယ္လုိပင္ ၿဖစ္ပါေစ သူတုိ႔ လုိခ်င္တဲ႔အပုိင္းကေတာ့ user ေတြ အမ်ားအၿပား ၀င္ေရာက္လည္ပတ္တတ္တဲ႔ ေနရာေတြပါ။ ဒီလူေတြဆီကေန Cookies ေတြခုိးမယ္။ IP ေတြယူမယ္ စသည္ၿဖင့္ေပါ႔။
၂။ တုိက္ခုိက္ေရးသမားေတြက Vulnerability Website ေတြထဲမွာ ၄င္းတုိ႔ရဲ႕ Malicious Code ေတြ ထည့္သြင္းထားေသာ Attacker ရဲ႕ Web Link ေတြ ခ်ိတ္ဆက္ေပးပါတယ္။ ဒီလုိခ်ိတ္ဆက္တဲ႔ေနရာမွာ iframe ဆုိတာနဲ႔သုံးၾကပါတယ္။
iframe ဆုိတာ webpage element တစ္ခုၿဖစ္ၿပီး တစ္ၿခား web page ေတြကုိ ၄င္းရဲ႕ သတ္မွတ္ထားတဲ႔ ေဘာင္အတြင္းမွာ အလုပ္လုပ္ရန္အတြက္ အသုံးၿပဳၾကပါတယ္။ ....
ဥပမာ . . Planet Myanmar Website မွာ Iframe ကုိထည့္သြင္းထားပုံကုိၾကည့္ပါ။
ဆုိတာကုိၾကည့္ပါ။
၃. အဲ႔အခ်ိန္မွာ အင္တာနက္ အသုံးၿပဳသူေတြက Attacker (Hacker) ေတြ ဟက္လုပ္ထားတဲ႔ Website ေတြကုိ ၀င္ေရာက္လည္ပတ္ပါတယ္။
၄. အကယ္၍ အင္တာနက္ အသုံးၿပဳရဲ႕ ကြန္ပ်ဴတာက လုံၿခံဳေရးမရွိၿခင္း၊ Up to Date မၿဖစ္ေနတဲ႔ Internet Security or Antivirus မရွိဘူးဆုိရင္ ထုိကဲ႔သုိ႔ေသာ Website မွေန အလြယ္တကူ မိမိရဲ႕ ကြန္ပ်ဴတာကုိ Trojan ေတြ၀င္ေရာက္လာပါလိမ့္မယ္။
၅. ၿပီးရင္ မိမိရဲ႕ Information ေတြ၊ user ID, Password ေတြကုိ သတ္မွတ္ထားတဲ႔ လမ္းေၾကာင္းလိပ္စာအတုိင္း ၿပန္လည္ခုိးယူပုိ႔ေပးပါလိမ့္မယ္။
ဒီလုိတုိက္ခုိက္မႈမ်ိဳးက ယေန႔ေခတ္မွာေတာ္ေတာ္ေလးကုိ ေတြ႔ရၿပီး Porn / Unsecure site ေတြကုိ ၀င္ေရာက္လည္ပတ္က Antivirus အသြင္၀င္ေရာက္လာတတ္တဲ႔ Malware ေတြနဲ႔ ဆင္တူပါတယ္။ ဒါေပမဲ႔ဒီေကာင္က နဲနဲအဆင့္ပုိၿမင့္သြားတယ္။ ဒီလုိပုံစံေတြက Website ေတာ္ေတာ္မ်ားမ်ားမွာ ၿဖစ္ၾကၿပီးေတာ့ ၿဖစ္လုိက္တဲ႔ Website ေတြရဲ႕ ၉၀ ရာခုိင္းႏႈန္းကေတာ့ SQL Injection vulnerability မွေန ဟက္ကာေတြ ၀င္ေရာက္ကာ malicious codes ေတြ ထည့္သြင္းသြားၿခင္းၿဖစ္ပါတယ္။
ေနာက္တစ္ခုကေတာ့ Upload Vulnerability ပါ.. သူကေတာ့ WebBoard ေတြမွာ user ေတြအတြက္ image upload ေတြေပးထားတာကေနၿဖစ္တာပါ။
i. ထုိ Web Board က extension ဖုိင္ စီစစ္မႈကုိမထားၿခင္း။ ( Webmaster ေတြသတိၿပဳရမွာက ထုိကဲ႔သုိ႔ေသာ Upload setting မွာ extension filtering ကုိစစ္ဖုိ႔လုိပါတယ္)
ii. Upload လုပ္ထားေသာ file ၏ လမ္းေၾကာင္းကုိ user ႏွင့္ Attacker မွ အလြယ္တစ္ကူ ရယူသိရွိႏုိင္ၿခင္း။
iii. Upload လုပ္ထားေသာ file မ်ားရွိ folder အား execute လုပ္ခြင့္ ခြင့္ၿပဳခ်က္ေပးထားၿခင္းေၾကာင္းၿဖစ္သည္။
ဒီေတာ့ Trojan File ေတြနဲ႔ user ေတြကုိ ဘယ္လုိ တုိက္ခုိက္လဲဆုိတာကုိ အနည္းငယ္ ထပ္ၿပီးရွင္းပါမယ္..
Ice Fox Prodigal Web Trojan Generator ဒါက Website ေတြကုိ တုိက္ခုိက္တဲ႔ေနရာမွာ အလြယ္တကူ အသုံးၿပဳႏုိင္တဲ႔ Virus Creator တစ္ခုပါပဲ။ (ဟက္ကာေတာ္ေတာ္မ်ားမ်ားကေတာ့ သူတုိ႔ကုိယ္တုိင္ Code လုပ္တာမ်ားပါတယ္။)
၄င္းအထဲမွာ iframe ကုိ width=0 ဆုိၿပီး ၿမွဳပ္ထားပါတယ္။ ၿပီးရင္ icyfox.htm ဆုိတာက icyfox.js ပါတဲ႔ Backdoor/Trojan ဖုိင္ေတြကုိ ဆြဲယူသုံးတဲ႔သူေတြပါ။ တစ္နည္းအားၿဖင့္ ၄င္း .js အထဲမွာ Hacker ေရးဆြဲထားတဲ႔ လမ္းေၾကာင္းအတုိင္းကုိ လုပ္ေဆာင္မယ့္ Code ေတြရွိပါတယ္။
Malicious Code ေတြကုိထည့္တာကေတာ့ ဒါပဲ... ဒီအထဲမွာ Malicious Website ကုိ လာေရာက္လည္ပတ္တဲ႔သူေတြရဲ႕ Computer တုိင္းလုိလုိမွာ Trojan ေတြထည့္လုိက္တယ္။ ၿပီးရင္ ၄င္း ကြန္ပ်ဴတာေတြထဲကေန File / Folder ေတြကုိ ခုိးယူလုိ႔ရေအာင္ Remote Access သုံးလုိ႔ရေအာင္ အသုံးၿပဳတဲ႔ Web Base UI Program ေတြနဲ႔ Internet User ေတြရဲ႕ ကြန္ပ်ဴတာကုိ လုိအပ္သလုိ ထိန္းခ်ဴပ္တယ္။ ဒီအတုိင္းနဲ႔ 2005 ေလာက္က တရုတ္ၿပည္မွာ oct 16 ကေန oct 17 အထိ ၃၄ နာရီအတြင္းကုိ ၁၂၁၆ ေယာက္ေလာက္ ထိသြားတယ္။
Web Adminstrator တစ္ေယာက္အေနနဲ႔ မိမိ website ရဲ႕ ReWrite Rule ေတြကုိသိထားရမယ္။ Security Holes ေတြကုိ အၿမဲစစ္ၾကည့္ေနရမယ္။ user ေတြဘက္ကေန script uploading နဲ႔ execution ေတြကုိ block လုပ္ထားရမယ္။ Attacker တစ္ေယာက္ malicious script တစ္ခု run တာနဲ႔ site တစ္ခုတည္းမဟုတ္ဘူး server ရဲ႕ root ထဲအထိကုိေရာက္ႏုိင္တယ္။ web board ေတြမွာ image uploading module ေတြကုိ သတိထားရတယ္။
No comments:
Post a Comment