Post on 01-Jun-2020
การศกษาการเชอมตอสวนควบคมของบอทเนต Study of Botnet Command and Control Connection
จรวฒน สมจรง
สารนพนธนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต
สาขาวชาวศวกรรมเครอขายและความมนคงปลอดภยสารสนเทศ คณะวทยาการและเทคโนโลยสารสนเทศ
มหาวทยาลยเทคโนโลยมหานคร ปการศกษา 2560
I
หวขอ การศกษาการเชอมตอสวนควบคมของบอทเนต Study of Botnet Command and Control Connection ชอนกศกษา จรวฒน สมจรง รหสนกศกษา 5917810012 หลกสตร วทยาศาสตรมหาบณฑต สาขาวศวกรรมเครอขายและความมนคง ปลอดภยสารสนเทศ ปการศกษา 2560 อาจารยทปรกษา ดร.นนทา จนทรพทกษ
บทคดยอ
โครงงานนเปนการน าเสนอ แนวทางในการน าระบบบรหารจดการขอมลและเหตการณ
ทางดานความมนคงปลอดภยสารสนเทศ (Security Information and Event Management :SIEM) ทเปนโอเพนซอรส มาประยกตใชเพอการตรวจสอบหาการเชอมตอไปยงสวนควบคม ของเครองคอมพวเตอรในเครอขายทตดตงซอฟตแวรประเภทบอทเนต ซงบอทเนตถอเปนภยคกคามทางไซเบอรอกรปแบบหนงทมการระบาดอยางกวางขวางยงมเครองบอทในเครอขายมากเทาไรการโจมตทสงออกมากจะยงรนแรงตามไปดวย ในโครงงานนผจดท ามงหวงทจะพฒนาระบบตรวจสอบหาความพยายามในการเชอมตอไปยงสวนควบคมของบอทเนตเพอแจงเตอนใหผดแลระบบทราบและหาทางแกไขกอนทเครองบอทจะถกควบคมและสงงานจาก ผไมหวงดและใชเปนเครองมอในการโจมตทางไซเบอรตอไป
ผพฒนาหวงเปนอยางยงวาระบบตรวจสอบและแจงเตอนการเชอมตอสวนควบคม ของบอทเนตทพฒนาขนจะสามารถชวยใหผดแลระบบสามารถมองเหนภาพของภยคกคามจากบอทเนตทเกดขนและสามารถหาทางรบมอไดอยางทนถวงทและจะสงผลใหจ านวนเครองบอทในเครอขายของผไมหวงดลดลงไปดวย
II
กตตกรรมประกาศ
ผจดท าขอขอบพระคณอาจารย ดร.นนทา จนทรพทกษ ทไดเสยสละเวลาอนมคายงเพอใหค าปรกษาและตรวจสอบความถกตองของเนอหา และขอขอบพระคณอาจารย ดร. ภากร จเหลง ทกรณาใหค าปรกษาเพมเตมในยามทผมหาทางออกของปญหาไมไดทานกจะมค าแนะน าดๆ ใหเสมอ ขอขอบพระคณอาจารย ดร.สรณพร ภมวฒสาร ทคอยใหก าลงใจและใหโอกาศผม ไดเขารบการศกษาตอทมหาลยอนทรงคณคาแหงน ขอขอบพระคณอาจารยและผสอนประจ าภาควชาวศวกรรมเครอขายและความมนคงทกทานทรวมกนถายทอดความรอยางเตมท และสดทายทจะขาดมไดตองขอขอบคณเพอนๆ รวมภาควชาทกทานทคอยชวยเหลอและแบงปนประสบการณการเรยนและการท างานยงผลใหการศกษาผานไปไดอยางราบรน
จรวฒน สมจรง
1 ก.ค. 2561
III
สารบญ
หนา
บทคดยอ ................................................................................................................................ I
กตตกรรมประกาศ ................................................................................................................. II
สารบญ................................................................................................................................. III
สารบญรป ............................................................................................................................ VI
สารบญตาราง ...................................................................................................................... VII
บทท 1 .................................................................................................................................. 1
1.1 ปญหาและแรงจงใจ .................................................................................................... 1 1.2 แนวทางการแกปญหา ................................................................................................ 1 1.3 วตถประสงค .............................................................................................................. 1 1.4 ภาพรวมของการศกษาคนควา.................................................................................... 2 1.5 ขอบเขตของการศกษาคนควา .................................................................................... 2 1.6 โครงสรางของสารนพนธ ............................................................................................ 4 1.7 แผนการด าเนนงาน .................................................................................................... 6
บทท 2 .................................................................................................................................. 8
2.1 ภยคกคามทางไซเบอร (CYBER THREAT) .................................................................... 8 2.1.1 มลแวร (Malware) ............................................................................................. 8 2.1.2 บอทเนต (Botnet) ............................................................................................. 8
2.2 ระบบตรวจสอบภยคกคามทางไซเบอร (CYBER THREAT DETECTION SYSTEM) ............. 8 2.2.1 ซอฟตแวรปองกนไวรส (Antivirus Software) ..................................................... 8 2.2.2 ระบบตรวจสอบการบกรก (Intrusion Detection System: IDS) .......................... 9 2.2.3 ระบบปองกนการบกรก (Intrusion Prevention System: IPS) .......................... 11
2.3 ระบบบรหารจดการขอมลและเหตการณทางดานความมนคงปลอดภยสารสนเทศ (SECURITY INFORMATION AND EVENT MANAGEMENT: SIEM) .......................................... 12 2.4 รปแบบการเชอมตอสวนควบคมของบอทเนต ........................................................... 12 2.5 ระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบน ..... 12
IV
สารบญ (ตอ)
หนา
บทท 3 ................................................................................................................................ 14
3.1 โครงสรางและองคประกอบของระบบ ........................................................................ 14 3.2 รายละเอยดโครงสรางและองคประกอบของระบบ ...................................................... 14 3.3 รายละเอยดของบอทเนตทน ามาทดสอบ ................................................................... 16
3.3.1 เอเรส (ARES) ................................................................................................ 17 3.3.2 นวทรโน (Neutrino) ........................................................................................ 17 3.3.3 แอทโมสบอทเนต (Atmos) .............................................................................. 17 3.3.4 รเวสทซพ (Reverse TCP) .............................................................................. 18
3.4 การตรวจสอบการเชอมตอสวนควบคมของบอทเนต .................................................. 18 3.4.1 การตรวจสอบการเชอมตอสวนควบคมและสงการของเอเรสบอท ...................... 18 3.4.2 การตรวจสอบการเชอมตอสวนควบคมและสงการของนวทรโนบอทเนต ............ 19 3.4.3 การตรวจสอบการเชอมตอสวนควบคมและสงการของแอทโมสบอทเนต ............ 19 3.4.4 การตรวจสอบการเชอมตอกลบสวนควบคมแบบรเวสทซพ ............................... 19
3.5 สรป ......................................................................................................................... 19
บทท 4 ................................................................................................................................ 20
4.1 การเตรยมระบบบอทเนต ......................................................................................... 21 4.1.1 การเตรยมระบบแอเรสบอทเนต ....................................................................... 21 4.1.2 การเตรยมระบบนวทรโนบอทเนต .................................................................... 22 4.1.3 การเตรยมระบบแอทโมสบอทเนต .................................................................... 24 4.1.4 การเตรยมระบบส าหรบรเวสทซพ ..................................................................... 25 4.2 การตดตามพฤตกรรมทางเครอขาย .......................................................................... 26 4.3 การเขยนเงอนไขตรวจสอบการเชอมตอสวนควบคม ................................................. 29 4.4 ผลการตรวจจบการเชอมตอสวนควบคมของบอทเนต ............................................... 30 4.5 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต .................................................... 33 4.6 เปรยบเทยบเงอนไขการตรวจสอบ ............................................................................ 33 4.7 วเคราะหผลการทดลอง ............................................................................................ 34
V
สารบญ (ตอ)
หนา
บทท 5 ................................................................................................................................ 35
5.1 สรปผล .................................................................................................................... 35 5.2 ประโยชนทไดรบ ...................................................................................................... 35 5.3 ขอแนะน า ................................................................................................................ 35 5.4 ปญหา ..................................................................................................................... 36 5.5 แนวทางในการแกปญหา .......................................................................................... 36
เอกสารอางอง...................................................................................................................... 37
ภาคผนวก ก การตดตงโอเอสซม ......................................................................................... 38
ภาคผนวก ข การตดตงแอเรสบอทเนต ................................................................................ 48
ภาคผนวก ค การตดตงนวทรโนบอทเนต ............................................................................. 53
VI
สารบญรป
หนา
รปท 2.1 ตวอยางการใชงาน NIDS ........................................................................................ 9
รปท 2.2 ตวอยางการใชงาน HIDS ...................................................................................... 10
รปท 2.3 การใชงาน IPS ในเครอขาย................................................................................... 11
รปท 2.4 ตวอยางการใชงานสนอรท ..................................................................................... 12
รปท 3.1 โครงสรางการท างานของระบบ .............................................................................. 14
รปท 3.2 ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ .......................................... 15
รปท 3.3 ตวอยางแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XFORCE .................................................................................................................... 16
รปท 3.4 ตวอยางการใชงานเอเสรบอทเนต .......................................................................... 16
รปท 3.5 ตวอยางสวนควบคมและสงการนวทรโนบอทเนต ................................................... 17
รปท 3.6 ตวอยางสวนควบคมและสงการแอทโมสบอทเนต ................................................... 18
รปท 4.1 ผงการเชอมตอแอเรสบอทเนต ............................................................................... 21
รปท 4.2 ผงการเชอมตอนวทรโนบอทเนต ........................................................................... 22
รปท 4.3 ผงการเชอมตอแอทโมสบอทเนต ........................................................................... 24
รปท 4.4 ผงการเชอมตอรเวสทซพ ....................................................................................... 25
รปท 4.5 การเชอมตอไปยงสวนควบคมของแอเรสบอทเนต .................................................. 26
รปท 4.6 การเชอมตอไปยงสวนควบคมของ NEUTRINO บอทเนต ...................................... 27
รปท 4.7 การเชอมตอไปยงสวนควบคมของ ATMOS บอทเนต ............................................ 28
รปท 4.8 การเชอมตอไปยงสวนควบคมแบบรเวสทซพ ......................................................... 28
รปท 4.9 แสดงเงอนไขการตรวจสอบแอเรสบอทเนตมาตฐานบนโอเอสซม ............................ 30
รปท 4.10 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนต ........ 31
รปท 4.11 แสดงเงอนไขการตรวจสอบนวทรโนบอทเนตมาตฐานบนโอเอสซม ....................... 31
รปท 4.12 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนต..... 32
VII
สารบญตาราง
หนา
ตารางท 1.1 แผนการด าเนนงานโครงงาน 1 ........................................................................... 6
ตารางท 1.2 แผนการด าเนนงานโครงงาน 2 ........................................................................... 7
ตารางท 2.1 เปรยบเทยบ IDS กบ โอเอสซม ....................................................................... 13
ตารางท 3.1 ค าสงสรางเพยโหลดดวย MSFVENOM ............................................................ 18
ตารางท 4.1 รายละเอยดอปกรณส าหรบแอเรสบอทเนต ....................................................... 21
ตารางท 4.2 รายละเอยดอปกรณส าหรบนวทรโนบอทเนต .................................................... 23
ตารางท 4.3 รายละเอยดอปกรณส าหรบแอทโมสบอทเนต .................................................... 24
ตารางท 4.4 รายละเอยดอปกรณส าหรบรเวสทซพ ............................................................... 25
ตารางท 4.5 รปแบบการเชอมตอสวนควบคมของแอเรสบอทเนต.......................................... 26
ตารางท 4.6 รปแบบการเชอมตอสวนควบคมของนวทรโนบอทเนต ...................................... 27
ตารางท 4.7 รปแบบการเชอมตอสวนควบคมของแอทโมสบอทเนต ...................................... 27
ตารางท 4.8 รปแบบการเชอมตอสวนควบคมแบบรเวสทซพ ................................................ 28
ตามรางท 4.9 เงอนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต ............. 29
ตารางท 4.10 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต .......... 29
ตารางท 4.11 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนต .......... 30
ตารางท 4.12 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ .................... 30
ตารางท 4.13 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต .......................................... 33
ตารางท 4.14 เปรยบเทยบเงอนไขการตรวจสอบของโอเอสซม ............................................. 33
ตารางท 4.15 เง อนไขทใชตรวจสอบของแอเรสบอทเนตทมากบระบบโอเอสซม .................... 34
บทท 1
บทน า 1.1 ปญหาและแรงจงใจ
ปจจบนภยคกคามทางไซเบอรทวความรนแรงและสงผลกระทบกบทกภาคสวนอยางกวางขวางโดยเฉพาะอยางยงการโจมตเครองผใชงานจากแฮกเกอร (Hackers) และแปรสภาพเครองเหลานนเปนบอท (Bot) หรอซอมบ (Zombie) สงผลใหแฮกเกอรสามารถควบคมและ ใชประโยชนเครองบอทเหลานไดจากระยะไกลผานสวนควบคมและสงการ (Command and Control) สงผลใหเครองบอทมประสทธภาพการท างานลดลงและเสยงทจะถกน าไปใช เปนเครองมอในการกระท าความผดทางไซเบอร การปองกนผใชงานตดตงโปรแกรมอนตรายนน อาจจะชวยปองกนไดในระดบหนงแตดวยเทคนคการโจมตทแนบเนยรและสบซอนของแฮกเกอรในปจจบนท าใหยากทจะปองกนได ดงนนในระดบผดแลเครอขายจงจ าเปนตองตรวจสอบใหพบและยงยงความเสยหายทจะเกดขน จงเปนทมาของโครงงานการศกษาการเชอมตอสวนควบคมของบอทเนต (Study of Botnet Command and Control Connection)
1.2 แนวทางการแกปญหา
เพอใหขอมลในการตรวจสอบครบถวนเพยงพอผดแลระบบจ าเปนตองใชงานซอฟตแวรประเภทบรหารจดการขอมลและเหตการณดานความมนคงปลอดภย (Security Information and Event Management :SIEM) ซงเปนซอฟตแวรทมความสามารถทหลากหลายสามารถเกบรวบรวม ประมวลผล และตรวจสอบขอมลจราจรคอมพวเตอร (Logs) เพอหาความสมพนธและเชอมโยงของเหตการณทสนใจได นอกจากนนแลว ยงมความสามารถทส าคญอกอยางคอความสามารถในการตรวจสอบการบกรก (Intrusion Detection System :IDS) สามารถตรวจสอบการบกรกโดยใชการเปรยบเทยบเอกลกษณ (Signature base) ของขอมลทสอสาร ในเครอขายวามการโจมตแฝงมาดวยหรอไม ซงในทนเลอกใชซอฟตแวรชอโอเอสซมเปนตวจดการหลกและโอเอสซมมซอฟตแวรตรวจสอบการบกรกชอซรคาตะ (Suricata) ซงมความสามารถในการตรวจสอบการเชอมตอสวนควบคมของบอทเนตได
1.3 วตถประสงค
1.3.1 เพอศกษารปแบบและวธการเชอมตอสวนควบคมของบอทเนต 1.3.2 เพอศกษาการท างานของซอฟตแวรประเภทบอท 1.3.3 เพอศกษาการท างานของซอฟตแวรโอเอสซมและสามารถน ามาประยกตใชงานไดอยางเหมาะสม
2
1.3.4 เพอศกษาการเขยนเงอนไขในการตรวจสอบการท างานของบอทเนตทใชในการศกษาดวยซอฟตแวรประเภท IDS 1.3.5 เพอเปรยบเทยบการเชอมตอสวนควบคมของบอทเนตแตละชนด 1.3.6 เพอทดสอบความสามารถในการตรวจจบการเชอมตอสวนควบคมของบอทเนตของ IDS พนฐานเทยบกบ IDS ททมเง อนไขเฉพาะการตรวจสอบบอทเนต 1.3.7 เพอเพมประสทธภาพในการรกษาความปลอดภยสารสนเทศโดยใช IDS (Suricata) ตรวจสอบการเชอมตอสวนควบคมของบอทเนต
1.4 ภาพรวมของการศกษาคนควา
การศกษาคนควาในโครงงานนจะเปนการจ าลองระบบแบบปดโดยใชซอฟตแวรประเภท จ าลองเสมอนซงประกอบไปดวยเครองผใชงานทวไปซงจะใชเปนระบบปฎบตการวนโดวสเอกซพจ าลองเปนเครองของผใชงานทตดตงซอฟตแวรบอทมซอฟตแวรโอเอสซมตรวจสอบหาพฤตกรรมการเชอมตอไปยงสวนควบคมของบอทเนตทพบในปจจบนและแจงเตอนใหผดแลระบบทราบ ไดโดยน าเอาพฤตกรรม รปแบบ วธการท างานซงเปนเอกลกษณเฉพาะของบอทเนตแตละตวมาเขยนเปนเงอนไขในการตรวจสอบหาการเชอมตอสวนควบคมของบอทเนตทแฝงมากบการสอสารปกต จากนนน าผลลพธทไดจากการตรวจสอบมาเปรยบเทยบความยากงายในการตรวจสอบพบบอทเนตแตละตวเพอน ามาซงตนแบบของ เงอนไขกลางในการตรวจสอบหาบอทเนตในปจจบนโดยใช IDS
1.5 ขอบเขตของการศกษาคนควา
1.5.1 เครองมอทใชในการศกษาการท างานของบอทเนต 1) เครองแมขาย : ตดตง Virtual Box เวอรชน 5.2 เพอท าหนาเปนเครองแม
ขายจกรกลเสมอนและมเครองจ าลองภายในดงน (1) เครองแมขายตดตงซอฟตแวรโอเอสเอสซมเวอรช น 5.4 (2) วนโดวเซเวน 32 บตเปนเครองจ าลองบอท (3) สวตชเสมอนใน Virtual Box 2) โปรแกรมไวรชารคเวอรช น 2.2.6 ส าหรบชวยวเคราหขอมลบนเครองบอท 3) โปรแกรมซรคาตะเวอรช น 4.0.3 ส าหรบท าหนาทเปนสวนตรวจสอบบอทเนต 1.5.2 ซอฟตแวรบอททใชในการศกษา 1) ซอฟตแวรแอเรสบอทเนต 2) ซอฟตแวรนวทรโนบอทเนต 1.5.3 หวขอการศกษา 1) ศกษาวธการตดตงแพรกระจายของบอท 2) ศกษาพฤตกรรมทางเครอขายของบอทเนต
3
3) ศกษารปแบบการเขยนเงอนไขเพอตรวจสอบทราฟฟกทางการสอสารดวยโปรแกรมซรคาตะ
4) ศกษาค าสง และรปแบบทางการสอสารทบอทเนตใชตดตอกบสวนควบคม 5) เปรยบเทยบความแตกตางจากการใชซอฟตแวรซรคาตะแบบทวไปกบ
ซอฟตแวรซรคาตะทออกแบบมาส าหรบตรวจจบบอทเนตโดยเฉพาะ 6) ศกษาการน าโอเอสซมมาประยกตใชในการตรวจสอบการเชอมตอของบอท
เนตและแจงเตอน 1.5.4 สโคบการท าโครงงาน 1) โครงงาน 1 (1) เสนอหวขอโครงงาน (2) ศกษาขอมลการท างานของซอฟตแวรโอเอสซม และบอทเนตท
ท าการศกษา - การตดตงใชงานซอฟตแวรโอเอสซม - ความสามารถ การท างานของซอฟตแวรโอเอสซม - การท างานของซอฟตแวรซรคาตะ - แนวทางการตรวจสอบหาบอทเนตของซอฟตแวรซรคาตะ - การท างานของบอทเนต - รปแบบการเชอมตอสวนควบคมของบอทเนต - แนวทางในการดกจบขอมลการสอสารเพอหาการเชอมตอ
สวนควบคมของบอทเนต (3) ออกแบบโครงสรางแลปทจะใชศกษาบอทและท าการทดสอบการ
ท างาน (4) น าเสนอโครงงาน 1 ตอคณะกรรมการ น าเสนอปญกา แนวคด
ทมา และการลดความรนแรงของปญหา (5) ทดลองใชงานซอฟตแวรทใชในการวเคราะหการท างานของบอท 2) โครงงาน 2 (1) ตดตงแลปเพอใชในการศกษาจรง - Virtual Box เวอรช น 5.2 - ซอฟตแวรโอเอสซมเวอรช น 5.4 - วนโดวเซเวน 32 บตเปนเครองจ าลองบอท - สวตชเสมอนใน Virtual Box - โปรแกรมไวรชารคเวอรช น 2.2.6 (2) ตดตงโปรแกรมบอทในแลป - ตดตงซอฟตแวรแอเรสบอทเนต
4
- เกบตวอยางการสอสารท เขา -ออกจากเครองบอทดวยซอฟตแวรไวรชารค
- สรปผลทไดจากการตดตามพฤตกรรมของซอฟตแวรแอเรส บอทเนต
- ตดตงซอฟตแวรนวทรโนบอทเนต - เกบตวอยางการสอสารท เขา -ออกจากเครองบอทดวย
ซอฟตแวรไวรชารค - สรปผลทไดจากการตดตามพฤตกรรมของซอฟตแวร
ซอฟตแวรนวทรโนบอทเนต (3) น าสรปผลจากการตดตามพฤตกรรมของซอฟตแวรบอทเนตมา
เขยนเปนเงอนไขในการตรวจสอบ - เขยนเงอนไขของซอฟตแวรซรคาตะเพอตรวจสอบการ
เชอมตอสวนควบคมของซอฟตแวรแอรเสบอทเนต - ทดสอบผลการตรวจสอบ - น าผลจากการตรวจสอบดวยซอฟตแวรซรคาตะมาเขยน
ระบบแจงเตอนผดแลระบบผานซอฟตแวรโอเอสซม - เขยนเงอนไขของซอฟตแวรซรคาตะเพอตรวจสอบการ
เชอมตอสวนควบคมของซอฟตแวรนวทรโนบอทเนต - ทดสอบผลการตรวจสอบ - น าผลจากการตรวจสอบดวยซอฟตแวรซรคาตะมาเขยน
ระบบแจงเตอนผดแลระบบผานซอฟตแวรโอเอสซม (4) ท าสรปผล - เปรยบเทยบการเชอมตอสวนควบคมของบอทเนตทใชใน
การศกษา - เปรยบเทยบการตรวจสอบดวยซอฟตแวรซรคาตะทวไปกบ
แบบทมเงอนไขเฉพาะการตรวจสอบบอทเนต (5) น าเสนอ โครงงาน 2 น าเสนอในรปแบบการสาธตการแจงเตอนจาก
ซอฟตแวรโอเอสซม
1.6 โครงสรางของสารนพนธ
ในการศกษาคนควาโครงงานนแบงเนอหาออกเปน 2 สวนดงน 1.6.1 วทยานพนธ 1 จะเปนการรวบรวมทฤษฏทใชในการท าโครงงานทงหมดอาทเชน
การท างานและความสามารถของซอฟตแวรโอเอสซมความสามารถในการตรวจสอบการเชอมตอสวนควบคมบอทเนตของซรคาตะ ชนดและประเภทของชองทางการสอสารทบอทเนต
5
ใชในการเชอมตอไปยงสวนควบคม เอกลกษณหรอรปแบบการสง – รบค าสงของบอทเนต การเลอกบอทเนตทเหมาะสมเพอน ามาเปนกรณศกษา
1.6.2 วทยานพนธ 2 จะเปนการวเคราะหขอมลทผานเขา – ออกจากเครองทตดตงบอทเพอน ามาท าเปนตนแบบเพอใชในการเปรยบเทยบ การแกใขกฏทใชในการตรวจสอบหาการเชอมตอสวนควบคมเพอใหสามารถท างานไดอยางถกตองแมนย า
6
1.7 แผนการด าเนนงาน
ตารางท 1.1 แผนการด าเนนงานโครงงาน 1
แผนการท างาน แตละสปดาห
กนยายน ตลาคม พฤษจกายน ธนวาคม 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. เสนอหวขอโครงงาน 2. ศกษาขอมลการท างานของซอฟตแวรโอเอสซม และบอทเนตทท าการศกษา
3. ออกแบบโครงสรางแลปทจะใชศกษาบอทและท าการทดสอบการท างาน
4. ทดลองใชงานซอฟตแวรทใชในการวเคราะหการท างานของบอท
5. สอบโครงงาน 1
7
ตารางท 1.2 แผนการด าเนนงานโครงงาน 2 แผนการท างาน แตละสปดาห
มกราคม กมพาพนธ มนาคม เมษายน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ตดตงแลปเพอใชในการศกษาจรง
2. ตดตงโปรแกรมบอทในแลป
3. น าสรปผลจากการตดตามพฤตกรรมของซอฟตแวรบอทเนตมาเขยนเปนเงอนไขในการตรวจสอบ
4. ท าสรปผล 5. สอบโครงงาน 2
8
บทท 2
พนฐานและทฤษฎทเกยวของ
2.1 ภยคกคามทางไซเบอร (Cyber Threat)
2.1.1 มลแวร (Malware) มลแวร (Malware) ยอมาจากค าวา Malicious Software ซงหมายถงโปรแกรม
ประสงครายตางๆ ท างานในลกษณะทเปนการโจมตระบบ การท าใหระบบเสยหาย รวมไปถงการโจรกรรมขอมล มลแวรแบงออกไดหลากหลายประเภท อาทเชน ไวรสคอมพวเตอร เวรม โทรจน คยลอกเกอร ตลอดจนโปรแกรมประเภทขโมยขอมลคกก การตดมลแวรนนสามารถเกดขนไดจากหลายชองทาง อาทเชน การดาวนโหลด และตดตง ซอฟตแวรจากแหลงทไมนาเชอถอ การเขาเวบไซต ทฝงซอรสโคดอนตรายไว หรอแมกระทงจากการเปดลงค (หรอไฟลแนบในจดหมายอเลกทรอนกส) ซงไดผลลพธทดมากหากผใชงานโดยทวไปขาดการตระหนกรทางไซเบอร
2.1.2 บอทเนต (Botnet) บอทเนตเปนชอเรยกกลมของคอมพวเตอรทตดตงซอฟตแวรประเภทบอทและ
เชอมตอไปยงสวนควบคมและสงการ สงผลใหผไมหวงดสามารถหาประโยชนจากการใชทรพยากรณบนระบบของเครองบอทได และผไมหวงดจะพยายามเพมจ านวนของบอท ใหไดมากทสดเพอเพมประสทธภาพของบอทเนตใหมากยงขน ตวอยางการใชประโยชน จากบอทเนต อาทเชน การโจมตระบบแบบ (DDOS) โดยสงใหเครองบอทเรยกไปทเวบไซตเปาหมายพรอมกนเปนจ านวนมากสงผลใหระบบของเปาหมายไมสามารถใหบรการได คยลอกเกอร หรอแมกระทงการเกบภาพหนาจอปจจบน เปนตน
2.2 ระบบตรวจสอบภยคกคามทางไซเบอร (Cyber threat detection system)
2.2.1 ซอฟตแวรปองกนไวรส (Antivirus Software) ภยคกคามทางไซเบอรในปจจบนมความซบซอนมากยงขนซอฟตแวรปองกน
ไวรสจงถอเปนซอฟตแวรทจ าเปนของทกระบบอยางหลกเลยงไมได ซอฟตแวรประเภทนปจจบนมผพฒนาอยหลายคายตางกมเทคนคและกลไกในการตรวจสอบทแตกตางกน แตโดยพนฐานคอสามารถตรวจจบ และปองกนไวรสคอมพวเตอรไดกอนทไวรสคอมพวเตอร จะท างาน รปแบบในการตรวจสอบไวรสคอมพวเตอรเชน การเทยบกบรปแบบของไวรสทเคยพบ การตรวจสอบโดยสงไฟลตองสงสยใหเครองแมขายชวยท าการวเคราะห เมอพบไวรสคอมพวเตอรกท าการก าจดและแจงผลใหผใชงานทราบตวอยางซอฟตแวรปองกนไวรส อาทเชน Nod32, BitDefender, Kaspersky เปนตน
9
2.2.2 ระบบตรวจสอบการบกรก (Intrusion Detection System: IDS) ระบบตรวจสอบการบกรกเปนเครองมอทใชในการเฝาระวงภยคกคาม ในเครอขายและแจงเตอนใหผดแลระบบทราบเมอพบสงผดปกตเกดขนพรอมทงเกบขอมล ไวตรวจสอบยอนหลง ขอ จ ากดของ IDS คอสามารถตรวจหาการบ กรกไดเท าน น ไมมความสามารถในการยบยงการบกรกทเกดขนได IDS สามารถแบงออกเปน 2 ประเภท ดงน
รปท 2.1 ตวอยางการใชงาน NIDS 2.2.2.1 Network Based Intrusion Detection System (NIDS) เ ป น IDS ทตดตงเปนสวนหนงของอปกรณเครอขายเพอตรวจสอบหาการบกรกทเกดขนในเครอขาย วามลกษณะเขาขายวาเปนอนตรายตอเครองคอมพวเตอรหรออปกรณตางๆ ในระบบเครอขายหรอไม หากใชกจะแจงเตอนผดแลระบบพรอมกบบนทกจดเกบการท างานไวเพอเปนหลกฐานภายหลง NIDS จะมทงแบบเปนซอฟตแวรทใชในการตดตงลงไปในเครองแมขาย เชน ซรคาตะ, สนอรท เปนตน และแบบทเปนฮารดแวรส าเรจรปสามารถน าไปเชอมตอเขาในเครอขายไดทน เชน Sourcefire, FireEye ตวอยางการน าไปใชงานในเครอขายดงในรปท 2.1 เทคนคท NIDS ใชในการตรวจสอบการบกรกหรอการโจมตโดยทวไปจะมอย 3 วธไดแก 2.2.2.1.1 Signature Detection คอ การต รวจห ารป แบบผดปกต ในเนอขอมลของแพกเกตในระบบเครอขายโดยเปรยบเทยบกบฐานขอมลทม อยหากพบวาตรงกนกจะสงสญญาณหรอแจงเตอน วธนเรยกอกอยางหนงวา Pattern Matching ขอดของวธนกคอผดแลสามารถทราบวาก าลงถกบกรกหรอโจมตโดยรปแบบหรอวธการใดอยท าใหสามารถเตรยมหาวธปองกนแกไขไดทนท
10
2.2.2.1.2 Behavioral Anomaly Detection คอการตรวจหาพฤตกรรมการใชงานทมลกษณะผดแผกแตกตางจากการใชงานปกตประจ าวน ตวอยางเชน ในระบบเครอขายขององคกรปกตในวนหยดสดสปดาหมกจะไมมการใชงานหรอมกนอย ดงนนหากพบวาวนหยดใดมการใชงานระบบเครอขายปรมาณสงกถอวาผดปกตได 2.2.2.1.3 Protocol Anomaly Detection คอการตรวจแพกเกตทผานเขาออกระบบเครอขาย ในระดบโครงสรางของแพกเกตพรอมทงล าดบขนตอนการสอสารของโปรโตคอลชนดตางๆ เชน SMTP, POP3, IMAP, NetBIOS, RPC, DNS, FTP, HTTP วาเปนไปตามขอก าหนดมาตรฐานของโปรโตคอลนนๆ หรอไม
รปท 2.2 ตวอยางการใชงาน HIDS 2.2.2.2 Host Based Intrusion Detection System (HIDS) ค อ ซ อ ฟ ต แ ว ร
ทตดตงไวในเครองท าหนาทในการตรวจสอบหาความผดปกตทเกดขนกบระบบปฏบตการและ
ไฟลส าคญของระบบ โดยท าการตรวจสอบรวมกบอเวนทลอก ตวอยางซอฟตแวรประเภท
HIDS เชน Mcafee, Trend micro เปนตน ตวอยางการน าไปใชงานในเครอขายดงในรปท 2.2 การ
ท างานโดยทวไปของ HIDS สามารถ แบงออกไดเปน 3 ประเภทไดแก
2.2.2.2.1 File System Monitor จ ะต รว จส อ บก ารเป ล ย น แป ล ง
ทเกยวกบไฟลส าคญของระบบ เชน การเปลยนแปลงสทธในการเขาใชไฟลและโฟลเดอร
ชอเจาของไฟลและโฟลเดอร ขนาดของไฟล และคาพารามเตอรตางๆ ทเกยวของกบระบบไฟล
การเปลยนแปลงแกไขคอนฟกกเลชนตางๆ ของตวระบบปฏบตการ
11
2.2.2.2.2 System Logs Analysis จะตรวจสอบซสเตมลอกของตว
ระบบปฏบตการและท าการวเคราะหวามการใชงานทมลกษณะผดปกตและเปนอนตรายต อ
ระบบปฏบตการหรอไม เชน มความพยายามเขาใชงานทใสรหสผานผดตดตอกนหลายครง
มการเปลยนแปลงแกไขสทธของผใชตางๆ ใหสงขนหรอเทยบเทาระดบผดแลระบบ มการเพมลบ
หรอแกไขรหสผใชหรอรหสผาน มการเปดปดบรการตางๆ ในเครอง
2.2.2.2.3 Connection Analysis จะตรวจสอบการเชอมตอทไมไดรบ
อนญาตหรอแพกเกตผดปกตทมาจากเครองแปลกปลอม ตรวจสอบการถกแสกนพอรต เปนตน
รปท 2.3 การใชงาน IPS ในเครอขาย 2.2.3 ระบบปองกนการบกรก (Intrusion Prevention System: IPS) เปนเครองมอทมการท างานคลายกบ IDS แตมความสามารถในการยบยง
การบกรกทตรวจพบไดทนทกอนทจะมความเสยหายเกดขน IPS ตวอยางการน าไปใชงาน
ในเครอขายดงในรปท 2.3 สามารถแบงออกไดเปน 2 ประเภท ไดแก
2.2.3.1 Network Based Intrusion Prevention System (NIPS) คอเครองมอ
ทตดตงไวเปนสวนหนงของระบบเครอขายเพอใชหยดหรอสกดการบกรกจากเครอขายภายนอก
หรอภายในโดยอตโนมตทนทการตดตงโดยทวไปมงจะวางขวางการไหลของขอมลในเครอขายซงจะ
สงผลใหสามารวเคราะหขอมลทว งผานเขา-ออกทงหมดไดวาเปนความพยายามในการบกรกหรอไม
2.2.3.2 Host Based Intrusion Prevention System (HIPS) คอซอฟตแวรทใช
ตดตงในเครองเซรฟเวอรตางๆ เชน เวบเซรฟเวอร หรอ ดาตาเบสเซฟเวอร หรอแมกระทง
เครองระดบเดสกทอป เพอท าหนาทปกปองเครองใหปลอดภยจากการบกรกหรอโจมต
ทงทผานเขามาทางระบบเครอขายหรอจากโปรแกรมแปลกปลอมภายในเครอง
12
2.3 ระบบบรหารจดการขอมลและเหตการณทางดานความมนคงปลอดภยสารสนเทศ (Security Information and Event Management: SIEM)
SIEM เปนเทคโนโลยทถกน ามาบรหารจดการดานความมนคงปลอดภยในปจ จบน มากยงขนสบเนองมาจากภยคกคามในปจจบนไมสามารถตรวจสอบไดจากอปกรณเพยงล าพงตวเดยวได ในการแสดงใหผดแลระบบทราบถงชองทางการโจมตระบบทเกดขนอยางครบถวนจ าเปนตองใชการวเคราะหขอมลรวมกนของอปกรณเครอขายทงหมดทมในระบบประกอบกน และเนองจากอปกรณเครอขายแตละตวกจะมลอกทแยกกนรปแบบกแตกตางกนดวยจงท าใหเกดแนวคดของการบรณาการลอกของอปกรณเครอขายรวมกน โดยม SIEM เปนตวกลางในการบรหารจดการ มความสามารถในการน าลอกและเหตการณของอปกรณแตละตวในระบบ มาเชอมโยงความสมพนธรวมกนเพอหาตนเหตของภยคกคามทเกดขนได
2.4 รปแบบการเชอมตอสวนควบคมของบอทเนต
ในการเชอมตอไปยงสวนควบคมของบอทเนตนนสามารถกระท าไดหลากหลายชองทางโดยทวไปจะใชการควบคมผานโปรโตคอล IRC (Internet Relay Chat) และ HTTP (Hypertext Transfer Protocol) ซงทง 2 โปรโตคอลนเปดใหใชงานไดในทกเครอขายอยแลว การรบ – สงขอมลใชทรพยากรณของระบบนอยมากท าใหสามารถรองรบการเชอมตอจากเครองบอทไดเปนจ านวนมาก
2.5 ระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบน
รปท 2.4 ตวอยางการใชงานสนอรท 2.5.1 ตวอยางของระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบนทเปนทนยมมอย 2 ตวไดแกสนอรท และซรคาตะ ซงทง 2 ตวน ตางกเปนซอฟตแวรประเภท IDS ทงคมความสามารถในการตรวจจบภยคกคาม การเชอมตอผดปกตเกดจากเครองทตดตงซอฟตแวรบอทไดแตจะอยในรปแบบของลอกไฟลซงยากตอการตความหรอเขาใจไดโดยงาย ดงรปท 2.4 เปนตวอยางการใชงานสนอรทตรวจจบการเชอมตอไปยงหมายเลขไอพทเปนแบลคลสซงผลทไดจากการตรวจสอบเปนเพยงลอกออกมาเทานน
13
2.5.2 เปรยบเทยบการใช IDS ทวไปกบการใชโอเอสซมในการตรวจจบการเชอมตอ C&C ของบอทเนต
ตารางท 2.1 เปรยบเทยบ IDS กบ โอเอสซม IDS โอเอสซม
แสดงผลเปนลอกยากตอการเขาใจ มสวนจดการดงเอาลอกมาแสดงผลใหงายตอการเขาใจ
ท าไดแคตรวจสอบและแสดงผลลอกเทานน สามารถน าผลทไดไปตอยอดท าอยางอนได เชน ท ารายงานดสถตยอนหลง หรอสงออกไปเปนกฏของไฟรวอลลได
การใชงานเปนแบบคอมมานไลน รองรบการเขาใชงานผานเวบบราวเซอร สนอรท และซรคาตะ เปนซอฟตแวรประเภท IDS
โอเอสซมเปนซอฟตแวรประเภท SIEM สามารถท างานไดหลากหลาย
14
บทท 3
ระบบทน าเสนอ / การด าเนนงาน
3.1 โครงสรางและองคประกอบของระบบ
รปท 3.1 โครงสรางการท างานของระบบ ในการศกษาการตรวจสอบการเชอมตอสวนควบคมของบอทเนตจะเปนการทดสอบใน
เครอขายปดโดยจ าลองระบบประกอบดวยเครองไคลแอนตทตดตงโปรแกรมบอทเนตตอเขากบ สวตชและอนญาตใหโอเอสซมสามารถเหนทราฟฟกทวงผานสวตชได ซงโอเอสซมเปดใชงาน IDS เพอตรวจสอบการท างานของบอทเนตโดยเฉพาะ IDS ทโอเอสซมเลอกใชชอวาซรคาตะพฒนาดวยภาษาลว ซงมขอดทสามารถท างานไดอยางรวดเรว โครงสรางการท างานของระบบ ดงรปท 3.1
3.2 รายละเอยดโครงสรางและองคประกอบของระบบ
การเตรยมระบบ IDS เพอตรวจสอบหาการเชอมตอ C&C เลอกใชเงอนไขของซรคาตะ ทไดจากการรวบรวมของนกวจยบอทเนตซงไดตดตามและอพเดทอยางเปนระยะ ตวอยางเงอนไขทใชเชน การตรวจสอบหมายเลขไอพปลายทางการสอสารวาอยในแบลคลสหรออยในกลมของไอพเสยงหรอไม การตรวจสอบลงคทไคลแอนตเรยกใชงานอยในกลมของแบลกลสหรอไมเปนตน ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ ทนกวจยตางๆ ไดรวบรวมไวดงรปท 3.2
15
รปท 3.2 ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ การท างานของระบบตรวจสอบบอทเนตทจะท าการศกษานประกอบดวยการตรวจสอบ
หาการเชอมตอไปยงปลายทางทมแนวโนมและไดรบการเปดเผยแลววาเปน C&C ซงมทมนกวจยไดขนบญชปลายทางตองสงสยเหลานไวและเปดเผยใหบคคลทวไปสามารถน าไปใชประโยชนตอได ตวอยางดงรปท 3.3 จะเปนแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XForce
16
รปท 3.3 ตวอยางแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XForce
3.3 รายละเอยดของบอทเนตทน ามาทดสอบ
รปท 3.4 ตวอยางการใชงานเอเสรบอทเนต
17
3.3.1 เอเรส (ARES) เอเรสเปนบอทเนตทพฒนามาจากภาษาไพธอนประกอบดวย 2 สวนการท างานไดแก สวนทเปนสวนควบคมและสงการบอท และสวนทเปนตวตดตงบอทส าหรบเครองไคลแอนต สาเหตทเลอกใชบอทเนตตวน เนองจากมการเปดเผยซอรสโคดและพฒนาโดยภาษาไพธอน ซงเปนภาษาทเปนทนยมสามารถหาคมอไดงาย เอเรสบอทมความสามารถโดยรวมดงน สามารถรนค าสงของเซลลวนโดวสได, สามารถดาวนโหลดและอพโหลดไฟลได , สามารถ เกบภาพหนาจอได, สามารถรนค าสงของไพธอนได และรองรบการตดตงบอทแบบถาวรได สวนควบคมและสงการบอทสามารถท างานไดบนเวบเซอรเวอรไดแตตองรองรบการใชงานภาษา ไพธอน ตวอยางสวนควบคมและสงการบอท ดงรปท 3.4 วธการสรางเอเรสบอทเรมจากการเตรยมสวนควบคมและสงการบอทโดยการตดตง เวบเซอรเวอรทรองรบการใชงานภาษาไพธอนและทดสอบเรยกใชงาน จากนนน าขอมล การเขาใชงานสวนควบคมและจดการบอทมาสรางโปรแกรมตดตงบอทเพอน าไปตดตงลงบนเครองบอทตอไป 3.3.2 นวทรโน (Neutrino)
รปท 3.5 ตวอยางสวนควบคมและสงการนวทรโนบอทเนต นวทรโนเปนบอทเนตทถกซอขายผานตลาดมด ชดของซอฟตแวรบอทประกอบดวย 3 สวนไดแก ตวตดตงบอทเนต (Malicious Payload) ส าหรบไวตดตงบนเครองเปาหมาย ตวบวเดอร (Builder) พฒนาดวย Visual studio 2013 ส าหรบไวสรางตวตดตงบอทเนต และสวนควบคม (Control Panel) พฒนาดวย PHP ส าหรบไวควบคม สงการบอทเนต นวทรโนบอทเนต ถกน ามาใชเปนเครองมอในการโจมตแบบ DDOS เน องจากมฟงกชนการโจมต DDOS ทหลากหลายรปแบบ ตวอยางสวนควบคม ดงรปท 3.5 3.3.3 แอทโมสบอทเนต (Atmos) แอทโมสบอทเนตประกอบดวย 3 สวนไดแก ตวตดตงบอทเนต (Malicious Payload) ส าหรบไวตดตงบนเครองเปาหมาย ตวบวเดอร (Builder) พฒนาดวย Visual studio 2013
18
ส าหรบไวสรางตวตดตงบอทเนต และสวนควบคม (Control Panel) พฒนาดวย PHP และ MySQL ส าหรบไวควบคม สงการบอทเนต
รปท 3.6 ตวอยางสวนควบคมและสงการแอทโมสบอทเนต 3.3.4 รเวสทซพ (Reverse TCP) รเวสทซพเปนเทคนคทใชในการทดสอบระบบซงเปนการเชอมตอกลบมายงสวนควบคมของเครองไคลแอนต เมอเปดเพยโหลด ตวไคลแอนตสรางข นมาจากซอฟแวร msfvenom ทอย ในระบบปฏบตการกาลลนกซ (Kali) โดยเพยโหลดทน ามาศกษาก าหนด ใหเครองเปาหมายเชอมตอกลบมาทเครองควบคมหมายเลขไอพ 192.168.56.201 ดวยพอรทหมายเลข 9851 มรปแบบค าสงเพอสรางเพยโหลดดงน
ตารางท 3.1 ค าสงสรางเพยโหลดดวย msfvenom msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.56.201 LPORT=9851 -f exe > malware2.exe
3.4 การตรวจสอบการเชอมตอสวนควบคมของบอทเนต
3.4.1 การตรวจสอบการเชอมตอสวนควบคมและสงการของเอเรสบอท เนองจากเอเรสพฒนาดวยภาษาไพธอนและการเชอมตอสวนควบคมและสงการท าผานโปรโตคอลเอชททพเปนหลกดงนนเราจะเลอกใชการตรวจสอบโดยการเปรยบเทยบเพยโหลดของเอชททพวามค าสง หรอสงผดปกตหรอไมเชน พบค าสง cd, dir, อยในเพยโหลดเอชททพ ทผานอออกไปเปนตน
19
3.4.2 การตรวจสอบการเชอมตอสวนควบคมและสงการของนวทรโนบอทเนต เนองจากนวทรโนบอทเนตไดเขารหสเพยโหลดของโปรโตคอลเอชททพไว ท าใหไมสามารถเปดดหรอตรวจสอบขอมลทสอสารกนไดดงนนจงเลอกใชการตรวจสอบ ใน Header ของ HTTP ทสอสารกนเปนหลก 3.4.3 การตรวจสอบการเชอมตอสวนควบคมและสงการของแอทโมสบอทเนต เนองจากแอทโมสบอทเนตจะแพรกระจายตวเองผานเครองขายแลนโดยใชโปรโตคอลเนตไบออสในการส ารวจเครอขาย และมความพยายามทจะคนหาเครองทมชอวา www.hosting.cn โดยการสง netbios query broadcast ออกไปในเครอขาย 3.4.4 การตรวจสอบการเชอมตอกลบสวนควบคมแบบรเวสทซพ เนองจากการเชอมตอกลบสวนควบคมแบบรเวสทซพจากซอฟแวร msvenom เขารหสแบบ base64 และมรปแบบค าสงทหลากหลาย จงใชการตรวจสอบหมายเลขพอรท เพอตรวจสอบการเชอมตอกลบสวนควบคม
3.5 สรป
ในบทน เปนการกลาวถงโครงสรางของระบบในการทดสอบระบบตรวจสอบและแจงเตอนการเชอมตอสวนควบคมบอทเนต รวมถงระบบบอทเนตทจะใชในการทดสอบซงมการเปดเผยซอรสโคดใหสามารถน ามาใชศกษาได และในบทตอไปเปนบทท 4 จะกลาวถงผลการตรวจสอบและแจงเตอนในกรณทมการเชอมตอไปยง C&C ของ botnet ตอไป
20
บทท 4
ผลการทดลอง
การทดลองเพอตรวจจบการเชอมตอสวนควบคมของบอทเนต เปนการน าซอฟตแวรประเภทบอทเนตจ านวน 2 ตวมาศกษาพฤตกรรมทางเครอขายและน าไปเขยนเปนเงอนไขใหกบระบบตรวจจบตอไป สามารถ แบงขนตอนการทดลองได ดงน 1. ตดตงระบบบอทเนตประกอบดวย สวนควบคมและตวบอทเนต 2. ตดตงซอฟตแวรบอทเนตบนเครองเปาหมายจ าลองและตดตามพฤตกรรมทางเครอขายดวยซอฟตแวร Wire Shark เพอหารปแบบในการเชอมตอกลบไปยงสวนควบคม 3. น ารปแบบการเชอมตอสวนควบคมทไดมาไปออกแบบเงอนไขในการตรวจสอบ 4. น าเง อนไขทไดไปใชงานใน โอเอสซม และทดสอบการท างาน
21
4.1 การเตรยมระบบบอทเนต
4.1.1 การเตรยมระบบแอเรสบอทเนต (รายละเอยดขนตอนการตดตงในภาคผนวก) มผงการเชอมตอ ดงน
รปท 4.1 ผงการเชอมตอแอเรสบอทเนต
ตารางท 4.1 รายละเอยดอปกรณส าหรบแอเรสบอทเนต อปกรณ รายละเอยด
Ares C&C - สวนควบคม สงการ Ares บอทเนต - ระบบปฏบตการ Kali Linux 2.0.1 - ไพทอนเวอรช น 2.7 - IP 192.168.56.201 - Port 8080 - promiscuous mode
Ares bot - เครองจ าลองเปาหมาย - ระบบปฏบตการ Windows 7 32 bit - ไพทอนเวอรช น 2.7
22
- IP 192.168.56.103 - promiscuous mode
โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode
Switch - virtual Box host only - promiscuous mode
4.1.2 การเตรยมระบบนวทรโนบอทเนต (รายละเอยดขนตอนการตดตงในภาคผนวก) มผงการเชอมตอ ดงน
รปท 4.2 ผงการเชอมตอนวทรโนบอทเนต
23
ตารางท 4.2 รายละเอยดอปกรณส าหรบนวทรโนบอทเนต อปกรณ รายละเอยด
Neutrino C&C - สวนควบคม สงการ Neutrino บอทเนต - ระบบปฏบตการ Kali Linux 2.0.1 - Apache เวอรช น 2.4.29 - IP 192.168.56.101 - promiscuous mode
Neutrino bot - เครองจ าลองเปาหมาย - ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.103 - promiscuous mode
โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode
Switch - virtual Box host only - promiscuous mode
24
4.1.3 การเตรยมระบบแอทโมสบอทเนต มผงการเชอมตอดงน
รปท 4.3 ผงการเชอมตอแอทโมสบอทเนต
ตารางท 4.3 รายละเอยดอปกรณส าหรบแอทโมสบอทเนต อปกรณ รายละเอยด
Atmos C&C www.hosting.cn (dummy) Atmos bot - เครองจ าลองเปาหมาย
- ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.102 - promiscuous mode
โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode
Switch - virtual Box host only - promiscuous mode
Atmos botnet
25
4.1.4 การเตรยมระบบส าหรบรเวสทซพ มผงการเชอมตอดงน
รปท 4.4 ผงการเชอมตอรเวสทซพ
ตารางท 4.4 รายละเอยดอปกรณส าหรบรเวสทซพ อปกรณ รายละเอยด
Kali Linux 192.168.56.201 Reverse TCP - เครองจ าลองเปาหมาย
- ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.102 - promiscuous mode
โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode
Switch - virtual Box host only - promiscuous mode
26
4.2 การตดตามพฤตกรรมทางเครอขาย
4.2.1 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรแอเรสบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน
ตารางท 4.5 รปแบบการเชอมตอสวนควบคมของแอเรสบอทเนต หวขอ รายละเอยด
Port 8080 Protocol HTTP HTTP Method POST URI http://192.168.56.201:8080/api/zombie_8796753825073/hello Content application/json
member key : username, platform, hostname
รปท 4.5 การเชอมตอไปยงสวนควบคมของแอเรสบอทเนต 4.2.2 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรนวทรโนบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน
27
ตารางท 4.6 รปแบบการเชอมตอสวนควบคมของนวทรโนบอทเนต หวขอ รายละเอยด
Port 80 Protocol HTTP HTTP Method POST URI http://192.168.56.101/panel/tasks.php อนๆ application/x-www-form-urlencoded
Cookie: auth=bc00595440e801f8a5d2a2ad13b9791b
รปท 4.6 การเชอมตอไปยงสวนควบคมของ Neutrino บอทเนต 4.2.3 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรแอทโมสบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล UDP มรปแบบทเปนเอกลกษณ ดงน
ตารางท 4.7 รปแบบการเชอมตอสวนควบคมของแอทโมสบอทเนต หวขอ รายละเอยด
Port 137 Protocol UDP (netbios) Query www.hosting.cn
28
รปท 4.7 การเชอมตอไปยงสวนควบคมของ Atmos บอทเนต 4.2.4 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงรเวสทซพลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน
ตารางท 4.8 รปแบบการเชอมตอสวนควบคมแบบรเวสทซพ หวขอ รายละเอยด
Port 9851 Protocol TCP
รปท 4.8 การเชอมตอไปยงสวนควบคมแบบรเวสทซพ
29
4.3 การเขยนเงอนไขตรวจสอบการเชอมตอสวนควบคม
4.3.1 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต จากรปแบบการเชอมตอสวนควบคมทผานมาจะพบวาแอเรสบอทเนตแมวาจะม Port เปน 8080 ทแตสวนนสามารถเปลยนแปลงไดภายหลงจงไมสามารถน ามาใชได และจะพบวามรปแบบเฉพาะตวตรงสวนของ PAYLOAD ของ HTTP ทสงออกมาประกอบดวยขอมล username, platform และ hostname และม HTTP_METHOD เปน POST จงสามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน
ตามรางท 4.9 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต
4.3.2 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต ใชการเชอมตอดวย HTTP ทหมายเลข Port 80 ซงเปนการใชงานปกต ทเปนรปแบบเฉพาะจะอยท HTTP_URI ทจะเรยกไปทไฟล task.php และม PAYLOAD เปน “application/x-www-form-urlencoded” และสงขอมลคกก “Cookie: auth=” ไปดวยเสมอ แตขอมลท รบ – สงกนนนไดถกเขารหสลบไวจงท าใหไมสามารถดขอมลทสอสารกนได สามารถน ามาเขยนเงอนไข เพอตรวจสอบได ดงน
ตารางท 4.10 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต
4.3.3 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนตจะเหนวาแอทโมสบอทเนตท าการเชอมตอไปยงสวนควบคมดวยโปรโตคอล UDP ดวยหมายเลขพอรท 137 ซงเปนพอรททใหบรการ netbios สามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน
alert tcp $HOME_NET any -> any any (msg:"CnC Connection Attemp Ares bot"; content:"POST"; http_method; content:"application/json"; nocase; http_header; content:"username"; content:"platform"; content:"hostname"; classtype:trojan-activity; sid:5000001; rev:3;)
alert tcp $HOME_NET any -> any any (msg:"CnC Connection Attemp Neutrino bot"; content:"POST"; http_method; content:"application/x-www-form-urlencoded"; nocase; http_header; content:"tasks.php"; content:"auth="; nocase; http_uri; classtype:trojan-activity; sid:5000002; rev:1;)
30
ตารางท 4.11 เงอนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนต
4.3.4 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ พบวาท าการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP ดวยหมายเลขพอรท 9851 ซงเปนพอรททก าหนดไวเมอตอนสรางรเวสทซพข นมา สามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน
ตารางท 4.12 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ
4.4 ผลการตรวจจบการเชอมตอสวนควบคมของบอทเนต
4.4.1 ทดลองตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตดวยเงอนไข การตรวจสอบมาตฐานทตดมากบโอเอสซมหลงจากทเปดใชงานแอเรสบอทเนตบนเครองจ าลองเปาหมายเปนเวลา 30 นาท ระบบไมไดแจงเตอนความผดปกตใด ทงทบนโอเอสซมเองมเงอนไขมาตฐานในการตรวจจบแอเรสบอทเนตอยแลว ดงรปท 4.9
รปท 4.9 แสดงเงอนไขการตรวจสอบแอเรสบอทเนตมาตฐานบนโอเอสซม 4.4.2 ทดลองตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตดวยเงอนไขทไดเขยนขนใหม พบวาระบบไดแจงเตอนพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนตจรง ดงรปท 4.10
alert tcp $HOME_NET any -> any 137 (msg:"CnC Connection Attemp Atmos bot"; content:"www.hosting.cn"; nocase; http_uri; classtype:trojan-activity; sid:5000003; rev:5;) alert tcp $HOME_NET any -> any 137 (msg:"CnC Connection Attemp Atmos bot"; content:"HFHFHCOE"; nocase; http_uri; classtype:trojan-activity; sid:5000004; rev:5;)
alert tcp $HOME_NET any -> any 9851 (msg:"Reverse TCP Connection Attemp."; classtype:trojan-activity; sid:5000008; rev:1;)
31
รปท 4.10 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนต 4.4.3 ทดลองตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนตดวยเงอนไข การตรวจสอบมาตฐานทตดมากบโอเอสซม หลงจากทเปดใชงานนวทรโนบอทเนตบนเครองจ าลองเปาหมายเปนเวลา 30 นาท ระบบไมไดแจงเตอนความผดปกตใด ทงทบน โอเอสซม เองมเงอนไขมาตฐานในการตรวจจบนวทรโนบอทเนตอยแลว ดงรปท 4.11
รปท 4.11 แสดงเงอนไขการตรวจสอบนวทรโนบอทเนตมาตฐานบนโอเอสซม
32
4.4.4 ทดลองตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนตดวยเงอนไขทไดเขยนขนใหม พบวาระบบไดแจงเตอนพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนตจรง ดงรปท 4.12
รปท 4.12 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนต
33
4.5 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต
จากการศกษาเทคนคและลกษณะการเชอมตอสวนควบคมของบอทเนตสามารถพจารณาขอแตกตางได ดงน
ตารางท 4.13 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต หวขอพจารณา แอเรสบอทเนต นวทรโนบอทเนต
หมายเลขพอรททใชในการเชอมตอ
เปลยนแปลงไดอสระ 80
โปรโตคอลทใช HTTP HTTP HTTP Method POST POST URI ทใชเชอมตอ มเอกลกษณเฉพาะตว เชน
http://192.168.56.201:8080/api/zombie_8796753825073/hello
มเอกลกษณเฉพาะตว เชน http://192.168.56.101/panel/tasks.php
HTTP Header มเอกลกษณเฉพาะตว เชน application/json member key : username, platform, hostname
มเอกลกษณเฉพาะตว เชน application/x-www-form-urlencoded Cookie: auth=bc00595440e801f8a5d2a2ad13b9791b
ความสามารถในการพลางตว
สามารถด payload ทสงได มการเขารหส payload ทสงท าใหยากตอการตรวจสอบ
ความถในการเชอมตอสวนควบคม
ทกๆ 20 วนาท ท าใหตรวจอบไดงาย
มการทงชวงเวลาแบบสมท าใหยากตอการตรวจสอบ
4.6 เปรยบเทยบเงอนไขการตรวจสอบ
จากการทดลองเปรยบเทยบระบบตรวจสอบมาตรฐานทตดตงมากบระบบโอเอสซมกบแบบทเขยนเงอนไขเพมเตมสามารถพจารณาได ดงน
ตารางท 4.14 เปรยบเทยบเงอนไขการตรวจสอบของโอเอสซมกบแบบทเขยนเงอนไขเพมเตม บอทเนตททดสอบ โอเอสซม เขยนเพมเตม
แอเรสบอทเนต มแตไมสามารถตรวจสอบได สามารถตรวจสอบได นวทรโนบอทเนต มแตไมสามารถตรวจสอบได สามารถตรวจสอบได
34
4.7 วเคราะหผลการทดลอง
จากการทดลองทผานมาจะเหนไดวาระบบตรวจจบการเชอมตอสวนควบคมของบอทเนตทตดตงมากบโอเอสซมแบบดงเดมแมวาจะมเงอนไขในการตรวจสอบบอทเนตทน ามาทดลองอยแตกยงไมสามารถตรวจจบการเชอมตอสวนควบคมได เนองมาจากเงอนไขทมากบระบบโอเอสซมนนยงไมครอบคลมเพยงพอ ดงในตารางท 4.9 เปนเงอนไขทใชตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตทมากบระบบโอเอสซม จะเหนวาโอเอสซมใชการตรวจสอบ HTTP Header โดยดท user-agent เทานน แตจากทไดตดตามพฤตกรรมการเชอมตอสวนควบคมของแอเรสบอทเนตทน ามาทดลองจะเหนไดวาสวนของ Header ไมตรงตามเงอนไขทมในโอเอสซมจงสงผลใหไมสามารถตรวจสอบได
ตารางท 4.15 เง อนไขทใชตรวจสอบของแอเรสบอทเนตทมากบระบบโอเอสซม
สวนนวทรโนบอทเนตนนแมวาจะใชการเชอมตอสวนควบคมดวยโปรโตคอล HTTP แตกไมสามารถจบ PAYLOAD ทบอทเนตใชสอสานกบสวนควบคมได เนองจากมการเขารหสลบไว จงท าไดเพยงตรวจสอบสวนของ Header และ URL ทบอทเนตท าการเชอมตอไปยงสวนควบคมเทานน ซงในสถานการจรงหากท าการแกไขซอรสโคดเปลยน URL กสามารถหลบการตรวจจบไดแลว สวนตวบอทเนตทน ามาศกษาพฤตกรรมการเชอมตอสวนควบคมนน พบวาใชโปรโตคอล HTTP ในการเชอมตอสวนควบคมเปนหลก อาจจะแตกตางในรายละเอยดของ Header และ URL แตกไดแสดงใหเหนวาโปรโตคอล HTTP ถกน ามาใชในการควบคมสงการบอทเนตอย เหตผลสวนหนงมาจากเปนโปรโตคอลและพอรทพนฐานททกเครอขายอนญาต ใหเชอมตอออกไปขางนอก และใชงานไดทวไป จงท าใหมความเปนไปไดสงทเครองบอทเนต จะสามารถเชอมตอสวนควบคมไดส าเรจ
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET P2P Ares traffic"; flow:established,to_server; content:"|0d 0a|User-Agent|3a| Ares"; reference:url,www.aresgalaxy.org; reference:url,doc.emergingthreats.net/bin/view/Main/2001059; classtype:policy-violation; sid:2001059; rev:9;)
35
บทท 5
สรปผลการด าเนนงาน
5.1 สรปผล
จากผลการศกษารปแบบการเชอมตอสวนควบคมของบอทเนตจะพบวาโปรโตคอล HTTP ถกน ามาใชในการเชอมตอสวนควบคมของบอทเนต ประกอบกบโปรโตคอล HTTP กเปนโปรโตคอลหลกทอนญาตใหใชงานไดในทกเครอขายจงเปนเหตใหมความเปนไปไดสงยงขนทบอทเนตจะสามารถเชอมตอกลบไปยงสวนควบคม ได ส า เร จ ห าก ระบ บ ต ร ว จส อ บ ไมเพยงพอ จากตวอยางของบอทเนตทน ามาศกษาเปนบอทเนตทไดรบการเปดเผยซอรสโคดใหสามารถน าไปพฒนาตอจนท าใหการตรวจสอบเปนไปไดยากยงขน แตจากการศกษาทผานมาท าใหเราไดทราบถงรปแบบและแนวทางในการตรวจสอบสงผดปกตในเครอขาย การเฝาสงเกตพฤตกรรมทางเครอขายทผดปกตจนน าไปสการตรวจสอบและออกแบบระบบตรวจสอบพฤตกรรมไมพงประสงคทเกดขน และแจงเตอนใหผดแลระบบทราบและแกไขไดทนทวงท สงทส าคญทสดในการรบมอกบภยคกคามทางไซเบอรกคอการเหนถงภยคกคามทเกดขน ในเครอขายไดรวดเรวทสด ซงจากการศกษาการเชอมตอสวนควบคมของบอทเนตในครงน กเปนอกแนวทางหนงในการไดมาซงการมองเหนถงภยคกคามในเครอขายไดเปนอยางด
5.2 ประโยชนทไดรบ
การศกษาการเชอมตอสวนควบคมของบอทเนตเปนตวอยางทดในการปองกนเชงรก ทผดแลระบบขนาดเลก – กลาง สามารถน าไปเปนแนวทางได และเงอนไขในการตรวจสอบบอทเนตทไดมากยนยนแลววาสามารถตรวจจบการเชอมตอสวนควบคมของบอทเนตไดจรง และการน าซอฟตแวรโอเอสซมมาใชเพอเปนเครองมอในการบรหารความมนคงปลอดภย ในเครอขายกสามารถตอบสนองการใชงานไดเปนอยางด และภายในระบบของโอเอสซมกยงมเครองมออนๆ รองรบการใชงานอยางเพยงพอ
5.3 ขอแนะน า
5.3.1 จากการใชงานซอฟตแวรโอเอสซมในสวนของการตรวจสอบภยค กคาม ทางเครอขายโดยใชซรคาตะพบวาซอฟตแวรทงสองสามารถท างานรวมกนไดเปนอยางดสามารถแจงผลไดอยางรวดเรวหลงจากทพบเหตการณตรงตามเงอนไข 5.3.2 ในการน าระบบการตรวจสอบดวยโอเอสซมนไปใชงานจรงนอกจากการอพเดทเงอนไขการตรวจสอบจากผพฒนาอาจจะไมเพยงพอ โดยจะเหนไดจากเงอนไขของโอเอสซมแบบดงเดมนนไมสามารถตรวจจบบอทเนตททดลองได 5.3.3 ซอฟตแวรโอเอสซมมจดเดนอกเรองในสวนของการแลกเปลยนขอมลระหวางกน ท าใหสามารถแลกเปลยนขอมลภยคกคามรวมกนได
36
5.4 ปญหา
5.4.1 ขอจ ากดและความเขากนไดของซอฟตแวรกบฮารดแวร ในชวงของการปฏบตชวงแรกพบปญหาเรองซอฟตแวรอเอสเอกซไอไมสามารถตดตงลงบนเครองคอมพวเตอรทม ได จงไดน าซอฟตแวร Vmware Player มาทดลองใชกพบขอจ ากด เรอ งของการท า Promiscuous mode สงผลใหไมสามารถจบ Network Traffic ได 5.4.2 บอทเนตทจะใชในการศกษาอยในรปแบบทไมพรอมใชงาน มเงอนไขในการน าไปใชทซบซอนจงท าใหเปนอปสรรคในการเตรยมระบบเพอทดลอง 5.4.3 ระบบโอเอสซมตองการทรพยากรณในการท างานทสง
5.5 แนวทางในการแกปญหา
5.5.1 ตองมตวเลอกในการใชซอฟตแวรไวอยางหลากหลายและตองหาขอมลขอจ ากดของซอฟตแวรแตละตวเอาไวเพอประกอบการพจารณา 5.5.2 เลอกใชบอทเนตทเปนทนยมจะท าใหมแหลงขอมลทหลากหลาย 5.5.3 น าเทคโนโลยคลาวดมาใชงานเพอแกปญหาดานฮารดแวร
37
เอกสารอางอง
[1] จตชย แพงจนทร, Master in Security 3rd Edition, Infopress [2] AlienVault. OSSIM The Open Source SIEM. [Online]. Available: https://www.alienvault.com/products/ossim [3] AlienVault. Botnet C&C servers issue commands in many ways. [Online]. Available: https://www.alienvault.com/blogs/security-essentials/command-and-control-server-detection-methods-best-practices [4] Ben Rossi Ben Rossi. (2018, Jan 1). How to detect and remove botnets from your network: a best practice guide. [Online]. Available: http://www.information-age.com/how-detect-and-remove-botnets-your-network-best-practice-guide-123460613/ [5] Suricata with OSSIM. [Online]. Available: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_with_OSSIM [6] sweetsoftware. [Online]. Available: https://github.com/sweetsoftware/Ares [7] Neutrino HTTP Botnet v5.1. (2018, Jan 1). [Online]. Available: http://freebotnet.blogspot.com/2017/04/neutrino-http-botnet-v51.html [8] Prawez Samani. (2018, Jan 1). Ares : Python Botnet and Backdoor. [Online]. Available: https://www.linkedin.com/pulse/ares-python-botnet-backdoor-samani-looking-for-new-opportunity- [9] Suricata Rules. [Online]. Available: https://suricata.readthedocs.io/en/latest/rules/index.html [10] Security Fluxver 1.21. (2018, Jan 1). Adding custom snort signatures to OSSIM. [Online]. Available: http://www.securityflux.com/?p=83 [11] Inside Neutrino botnet builder. [Online]. Available: https://blog.malwarebytes.com/threat-analysis/2015/08/inside-neutrino-botnet-builder/
38
ภาคผนวก ก
การตดตงโอเอสซม โอเอสซมเปนซอฟตแวรประเภท SIEM แบบ Open Source ภายใตระบบปฎบตการ เดเบยนของบรษท AlienVault โอเอสซมรวมเครองมอ Open Source ตางๆทเกยวกบระบบ Security และ Monitoring เขาไวดวยกน โดยโอเอสซมสามารถท าการ Correlation Logs และประมวลผลเพอหาภยคกคามได โดยรบ Logs ตางๆ จาก Sensor ซงตว Sensor กเปนเสมอน Log Collector Server ท รวมฟ งกชน การท างานจากอปกรณ Open Source ต างๆ เชน Arpwatch, OpenVAS, Snort, Suricata, Tcptrack, Ntop, Nagios และ OSSEC เปนตน สงทตองเตรยมกอนตดตงโอเอสซม 1. ไฟล ISO ของโอเอสซม ปจจบน เปนเวอรชน 5.4 สามารถดาวน โหลดไดท https://www.alienvault.com/products/ossim/download 2. ซ อ ฟ ต แ ว ร Virtual Box ป จ จ บ น เว ร ช น 5.2 ส าม ารถ ด าว น โห ลด ได ท https://www.virtualbox.org/wiki/Downloads ขนตอนการตดตงโอเอสซม 1. เปดซอฟตแวร Virtual Box เลอกไปท New เพอสรางเครองใหม ตงชอเรยกเครองโดยก าหนด Type เปน Linux ก าหนด version เปน Debian 64 bit
รปท ก.1 สรางเครองโอเอสซมใหม
39
2. ก าหนด Memory size ไวท 8192 MB ก าหนด Hard disk ขนาด 16 GB จากนนกด Create
รปท ก.2 ก าหนด Memory size
3. เลอกไปท Setting –> Storage -> Controller IDE จากนนเลอกไปยงไฟล ISO ของโอเอสซมทไดดาวนโหลดมา ทหวขอ Network -> Adapter1 เลอกเปน Host only Adapter จากนนกด OK
รปท ก.3 การตงคา Network และ Storage
40
4. เลอกไปท Start เพอเปดเครองเลอกไปท Install AlianVault OSSIM 5.4
รปท ก.4 เลอกตดตงโอเอสซม
5. ตงคาภาษา ประเทศ และแปนพมพ จากนนกด Continuous
รปท ก.5 การตงคาภาษา
41
6. ตงคาเครอขายแลวกด Continuous
รปท ก.6 การตงคาเครอขาย
7. ก าหนดรหสผาน ตงคาเวลา Hard disk แลวกด Continue จะเปนการเรมตดตงโอเอสซม และเรมระบบใหมอกครง จากนนใหเขาใชงานดวย user root และรหสผานทใสไวตอนตดตง
รปท ก.7 ก าหนดรหสผาน
42
8. เมอ login เขาระบบโอเอสซมไดแลวใหเขาไปตงคาเครอขายโดยไปท System preference -> Configure Network -> Setup Network Interface เล อ ก interface ท เรา ใช งาน และต งค าหมายเลขไอพ
รปท ก.8 ก าหนดหมายเลขไอพใหกบโอเอสซม
9. ตอไปใหเลอกวาจะเอา Interface ใดเปนตวจดการระบบ โดยเขาไปท System preference -> Configure Network -> Setup Management Network
รปท ก.9 ตงคา Management Interface
43
10. Apply การตงคาทงหมดใหกบโอเอสซมโดยไปท AlienVault Setup แลวเลอก Apply All Change กดยนยนด าเนนการ ถงข นตอนนเราสามารถเขาใชงานโอเอสซมผานหนาเวบไดแลว
รปท ก.10 Apply การตงคาทงหมดใหกบโอเอสซม
11. เขาใชงานโอเอสซมผานหนาเวบโดยเรยกไปท https://192.168.56.200 ในการเขาใชงานผานหนาเวบครงแรกจ าเปนตองสราง admin กอนโดยการใสชอ รหสผาน และ email ในหนาสมครใชงาน
รปท ก.11 หนาสมครใชงานโอเอสซม
44
12. ตอไปจะเปนหนา login เขาใชงานโอเอสซมใหเขาใชงานดวย user admin รหสผานเดยวกนกบ root ทเขาผานหนาเครอง หลงจากนนจะพบกบหนา Getting Start Wizard ใหกดขามไปเลยเพราะเราจะก าหนดคาเองภายหลง
รปท ก.12 หนา login เขาใชงานโอเอสซม
รปท ก.13 หนาแรกของโอเอสซม
45
13. ตงคา Sensor ของโอเอสซมโดยเขาไปท Configuration -> Deployment ดบเบลคลกทตว Sensor จากนนไปท Sensor Configuration -> Detection จากนนใหใสหมายเลขไอพของเครอขายทตองการ Monitor ในชอง Monitored Networks จากนนกด Apply Change
รปท ก.14 การตงคา Monitored Network ของ Sensor โอเอสซม
14. จากนนทแทป Collection เปนการก าหนดวาจะใหโอเอสซมใชเงอนไขใดบางในการตรวจสอบภยคกคามใหเลอกเงอนไขทมมาใหทงหมด
รปท ก.15 ก าหนดเงอนไขในการตรวจสอบใหกบโอเอสซม
การใสเงอนไขในการตรวจสอบเพมเตมใหกบโอเอสซม เราสามารถใสเงอนไขเพอใหซรคาตะทท าหนาทเปน IDS บนตวโอเอสซมตรวจสอบเพมเตมไดโดยหาร remote เขาไปทระบบโอเอสซม มข นตอนดงน 1. เปดโปรแกรม Putty แลว shell ไปทระบบโอเอสซม ซงในทนก าหนดใหเปนไอพ 192.168.56.200 จากนนเลอกไปทหวขอ Jailbreak System จากนนยนยนอกครง
46
รปท ก.16 เขาใชงานโอเอสซมดวยโปรแกรม Putty
2. จากนนเขาไปท path ของซรคาตะ IDS ดวยค าสง ตารางท ก.1 ค าสงเขาไปยง path ของซรคาตะ
รปท ก.17 สวนจดเกบเงอนไขในการตรวจสอบดวยซรคาตะทงหมด
3. เงอนไขทเราจะใสเขาไปเพมนนสามารถเพมไดทไฟล local.rules เทานน เพราะจะไมถกเขยนทบจากระบบเมอมการอพเดท การแกไขใหเราใชค าสงดงน ตารางท ก.2 ค าสงแกไขเง อนไขของซรคาตะ
รปท ก.18 ตวอยางการแกไขไฟล local.rules
4. แกไขไฟลแลวท าการบนทกคาใหเรยบรอย หลงจากนนให restart service ซรคาตะ เพอใหเรมอานเงอนไขใหมทเราใสไป ดวยค าสงดงน ตารางท ก.3 ค าสงเรมท างานใหมของซรคาตะ
cd /etc/suricata/rules/
vi local.rules
47
5. ตอนนซรคาตะไดดงเงอนไขใหมทใสใหไปท างานแลว แตสวนจดการของโอเอศซมยงไมรจกเงอนไขนเราจงตองท าการอพเดทฐานขอมลของโอเอสซมกอน โดยการรนสครปต ดงน ตารางท ก.4 ค าสงเพมเงอนไขการตรวจสอบในฐานขอมลใหระบบโอเอสซม
6. ตรวจสอบเงอนไขทเราใสเขาไปในระบบโอเอสซมโดยไปท Configuration -> Threat Intelligence -> Data Source -> AlienVault NIDS คลกทเครองหมายรปแวนขยาย จะพบเงอนไขทเราใสเขาไปใหมโดยสงเกตทคอรม Event ID
รปท ก.19 ตรวจสอบเงอนไขใหมทเพมใหกบซรคาตะ
การใชงานโอเอสซมในการตรวจจบการเชอมตอสวนควบคมบอทเนต หลงจากทเราไดเพมความสามารถในการตรวจจบการเชอมตอสวนควบคมของบอทเนตใหกบซรคาตะซงเปน IDS หลกของโอเอสซมแลว และระบบโอเอศซมกรจกเงอนไขใหมทเราใสเขาไปแลวตอมากเปนการเฝาตดตามระบบวาจะตรวจสอบพบสงผดปกตหรอไปโดยเขาไปดแบบ real time ไดท Analysis -> Security Events (SIEM) -> Real-Time
รปท ก.20 ตดตามการตรวจจบสงผดปกตแบบ Real-Time
/etc/init.d/suricata restart
perl /usr/share/ossim/scripts/create_sidmap.pl /etc/suricata/rules/
48
ภาคผนวก ข การตดตงแอเรสบอทเนต
แอเรสบอทเนตจ าเปนตองตดตงบนระบบทรองรบไพธอนเวอรช น 2.7 ประกอบดวย 2 สวนไดแกสวนควบคม และสวนบอทเนต โดยสวนควบคมจะตดตงลงบนระบบปฎบตการ Kali Linux เวอรช น 2016.1 และสวนบอทเนตจะตดตงลงบนเครองวนโดวเซเวน 32 บต สงทตองเตรยมกอนการตดตงแอเรสบอทเนต 1.เครอง Kali Linux 2016.1 เปดใชงาน Promiscuous mode 2. เครองวนโดวเซเวน 32 บต ทรองรบไพธอนเวอรช น 2.7 Promiscuous mode 3. ซอฟตแวร Virtual Box 4. ไฟลตดตงแอเรสบอทเนตสามารถดาวนโหลดไดท https://github.com/sweetsoftware/Ares ขนตอนการตดตงแอเรสบอทเนต 1. น าไฟลตดตงไปไวในเครอง Kali Linux จากนนท าการแตกไฟลออกมาแลวเขาไปทไดเรกทรอร ares ตดตง package ไพธอนทแอเรสตองการดวยค าสง ตารางท ข.1 แสดงค าสงตดตงไพธอน package ส าหรบแอเรสบอทเนต
รปท ข.1 ค าสงตดตงไพธอน package ส าหรบแอเรสบอทเนต
2. เขาไปทไดเรกทรอร server เตรยมฐานขอมลส าหรบแอเรสบอทเนตดวยค าสง ตารางท ข.2 แสดงค าสงเตรยมฐานขอมลส าหรบแอเรสบอทเนต
# pip install –r requirements.txt
49
รปท ข.2 ค าสงเตรยมฐานขอมลส าหรบแอเรสบอทเนต
3. เปดใชงานสวนควบคมของแอเรสบอทเนตดวยค าสง ตารางท ข.3 แสดงค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต
รปท ข.3 ค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต
Server # ./ares.db initdb
Server # ./ares.db initdb
50
4. ทดลองเรยกใชงานดวย Web browser เปดไปท http://localhost:8080 เมอเขามาครงแรกจะตองตงรหสผานกอน
รปท ข.4 เรยกใชงานสวนควบคมแอเรสบอทเนต
5. เมอเขาใชงานไดส าเรจจะพบกบหนาควบคมบอทเนต
รปท ข.5 สวนควบคมแอเรสบอทเนต
6. ค าสงทสวนควบคมสามารถสงงานแอเรสบอทเนตใหท าตามไดแกค าสง Screenshot เปนการถายภาพหนาจอปจจบนบนเครองบอทเนตแลวสงมายงสวนควบคม Zip เปนการสงใหเครองบอทเนตบบอดไฟล Upload สงใหเครองแอเรสบอทเนตอพโหลดไฟลทตองการมาทสวนควบคมโดยไฟล ทงหมดจะถกเกบไวทไดเรกทรอร uploads ของบอทเนตแตละเครอง นอกจากนยงสามารถรนค าสงของระบบปฏบตการได เชน dir, cd เปนตน
51
รปท ข.6 ตวอยางการสงใหเครองบอทเนตรนค าสง dir
รปท ข.7 ตวอยางไฟลทไดมาจากแอเรสบอทเนต
7. น าไฟลทงหมดในไดเรกทรอร agent ไปไวบนเครองบอทเนตทเปนวนโดวเซเวน จากนนเปด command prompt แลวเขาไปยงไดเรกทรอร agent เปดใชงานบอทเนตดวยค าสง ตารางท ข.4 แสดงค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต
Python agent.py
52
รปท ข.8 ตวอยางการเปดใชงานแอเรสบอทเนต
53
ภาคผนวก ค การตดตงนวทรโนบอทเนต
การตดตงนวทรโนบอทเนต นวทรโนบอทเนตพฒนาดวยประกอบดวย 3 สวนดวยกนไดแก สวนควบคมพฒนาดวยภาษา PHP สามารถรนไดบนเวบเซอรเวอรทรองรบ PHP ชดโปรแกรม builder ส าหรบใชสรางบอสเนตไปตดตงบนเครองเปาหมายพฒนาดวย vs2013 และสวนทเปน pay load ท าหรบไปตดตงบนเครองเปาหมายเปนไฟล .exe สงทตองเตรยมกอนการตดตงนวทรโนบอทเนต 1. เครอง Kali Linux ทรองรบ PHP Mysql และ Apache 2. เครองวนโดวเซเวนทรองรบ visual studio 2013 3. ซอรสโคดของนวทรโนบอทเนตสามารถดาวโหลดไดท http://freebotnet.blogspot.com/2017/04/neutrino-http-botnet-v51.html ขนตอนการตดตงนวทรโนบอทเนต 1. แตกไฟลซอรสโคดของนวทรโนออกและน าไดเรกทรอรชอ panel ไปใสใน document root บนเครอง Kali Linux ในทนคอ /var/www/html
รปท ค.1 ไฟลส าหรบรนสวนควบคมของนวทรโนบอทเนตอยใน panel
2. สราง Database ส าหรบใชงานกบสวนควบคมบนเครองเวบเซอรเวอร ในทนตงชอ Database วา nue
54
รปท ค.2 สราง Database ชอ nue ส าหรบใชงานในสวนควบคม
3. ตดตงนวทรโนบอทเนตโดยเรยกไปท http://localhost/panel//install.php จากนนใสขอมลเพอก าหนดสวนของ admin และใสขอมลการเชอมตอ Database จากนนกดตดตง หากตดตงส าเรจระบบจะแจง url ส าหรบเขาใชงานครงแรกซงจะมคา authkey มาดวย ใหเรยกใชงานอกครงดวย url ทไดมา
รปท ค.3 ก าหนดคาเพอตดตงสวนควบคมของนวทรโนบอทเนต
55
4. เมอเจอหนา login ใหขอมล admin ในขนตอนตดตงลงไป หาก login ส าเรจจะพบกบหนาควบคมดงรป
รปท ค.4 หนาสวนควบคมหลก
5. น าซอฟตแวรสวนของ builder มาสราง payload ส าหรบตดตงบนเครองเปาหมาย โดยเปดไฟล Neutrino Builder.exe ตวโปรแกรมจะใหใสขอมลของสวนควบคมใหใสเปน http://192.168.56.101/panel/tasks.php ก าหนด bin ID เปนตวเลข 999 หลงจากนนจะไดไฟลชอ payload.exe เพอสงไปใหเครองเปาหมายตดตง
รปท ค.5 การสราง pay load ส าหรบตดตงบอทเนต
6. น าไฟล payload.exe ไปตดตงบนเครองเปาหมาย และเขาไปตรวจสอบทสวนควบคมจะพบวามการเชอมตอเขามายงสวนควบคมจากเครองทตดตง payload.exe กอนหนาน
รปท ค.6 เครองนวทรโนบอทเนตเชอมตอมายงสวนควบคมไดส าเรจ