การศกษาการเชอมตอสวนควบคมของบอทเนต Study of Botnet Command and Control Connection

จรวฒน สมจรง

สารนพนธนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาวศวกรรมเครอขายและความมนคงปลอดภยสารสนเทศ คณะวทยาการและเทคโนโลยสารสนเทศ

มหาวทยาลยเทคโนโลยมหานคร ปการศกษา 2560

I

หวขอ การศกษาการเชอมตอสวนควบคมของบอทเนต Study of Botnet Command and Control Connection ชอนกศกษา จรวฒน สมจรง รหสนกศกษา 5917810012 หลกสตร วทยาศาสตรมหาบณฑต สาขาวศวกรรมเครอขายและความมนคง ปลอดภยสารสนเทศ ปการศกษา 2560 อาจารยทปรกษา ดร.นนทา จนทรพทกษ

บทคดยอ

โครงงานนเปนการน าเสนอ แนวทางในการน าระบบบรหารจดการขอมลและเหตการณ

ทางดานความมนคงปลอดภยสารสนเทศ (Security Information and Event Management :SIEM) ทเปนโอเพนซอรส มาประยกตใชเพอการตรวจสอบหาการเชอมตอไปยงสวนควบคม ของเครองคอมพวเตอรในเครอขายทตดตงซอฟตแวรประเภทบอทเนต ซงบอทเนตถอเปนภยคกคามทางไซเบอรอกรปแบบหนงทมการระบาดอยางกวางขวางยงมเครองบอทในเครอขายมากเทาไรการโจมตทสงออกมากจะยงรนแรงตามไปดวย ในโครงงานนผจดท ามงหวงทจะพฒนาระบบตรวจสอบหาความพยายามในการเชอมตอไปยงสวนควบคมของบอทเนตเพอแจงเตอนใหผดแลระบบทราบและหาทางแกไขกอนทเครองบอทจะถกควบคมและสงงานจาก ผไมหวงดและใชเปนเครองมอในการโจมตทางไซเบอรตอไป

ผพฒนาหวงเปนอยางยงวาระบบตรวจสอบและแจงเตอนการเชอมตอสวนควบคม ของบอทเนตทพฒนาขนจะสามารถชวยใหผดแลระบบสามารถมองเหนภาพของภยคกคามจากบอทเนตทเกดขนและสามารถหาทางรบมอไดอยางทนถวงทและจะสงผลใหจ านวนเครองบอทในเครอขายของผไมหวงดลดลงไปดวย

II

กตตกรรมประกาศ

ผจดท าขอขอบพระคณอาจารย ดร.นนทา จนทรพทกษ ทไดเสยสละเวลาอนมคายงเพอใหค าปรกษาและตรวจสอบความถกตองของเนอหา และขอขอบพระคณอาจารย ดร. ภากร จเหลง ทกรณาใหค าปรกษาเพมเตมในยามทผมหาทางออกของปญหาไมไดทานกจะมค าแนะน าดๆ ใหเสมอ ขอขอบพระคณอาจารย ดร.สรณพร ภมวฒสาร ทคอยใหก าลงใจและใหโอกาศผม ไดเขารบการศกษาตอทมหาลยอนทรงคณคาแหงน ขอขอบพระคณอาจารยและผสอนประจ าภาควชาวศวกรรมเครอขายและความมนคงทกทานทรวมกนถายทอดความรอยางเตมท และสดทายทจะขาดมไดตองขอขอบคณเพอนๆ รวมภาควชาทกทานทคอยชวยเหลอและแบงปนประสบการณการเรยนและการท างานยงผลใหการศกษาผานไปไดอยางราบรน

จรวฒน สมจรง

1 ก.ค. 2561

III

สารบญ

หนา

บทคดยอ ................................................................................................................................ I

กตตกรรมประกาศ ................................................................................................................. II

สารบญ................................................................................................................................. III

สารบญรป ............................................................................................................................ VI

สารบญตาราง ...................................................................................................................... VII

บทท 1 .................................................................................................................................. 1

1.1 ปญหาและแรงจงใจ .................................................................................................... 1 1.2 แนวทางการแกปญหา ................................................................................................ 1 1.3 วตถประสงค .............................................................................................................. 1 1.4 ภาพรวมของการศกษาคนควา.................................................................................... 2 1.5 ขอบเขตของการศกษาคนควา .................................................................................... 2 1.6 โครงสรางของสารนพนธ ............................................................................................ 4 1.7 แผนการด าเนนงาน .................................................................................................... 6

บทท 2 .................................................................................................................................. 8

2.1 ภยคกคามทางไซเบอร (CYBER THREAT) .................................................................... 8 2.1.1 มลแวร (Malware) ............................................................................................. 8 2.1.2 บอทเนต (Botnet) ............................................................................................. 8

2.2 ระบบตรวจสอบภยคกคามทางไซเบอร (CYBER THREAT DETECTION SYSTEM) ............. 8 2.2.1 ซอฟตแวรปองกนไวรส (Antivirus Software) ..................................................... 8 2.2.2 ระบบตรวจสอบการบกรก (Intrusion Detection System: IDS) .......................... 9 2.2.3 ระบบปองกนการบกรก (Intrusion Prevention System: IPS) .......................... 11

2.3 ระบบบรหารจดการขอมลและเหตการณทางดานความมนคงปลอดภยสารสนเทศ (SECURITY INFORMATION AND EVENT MANAGEMENT: SIEM) .......................................... 12 2.4 รปแบบการเชอมตอสวนควบคมของบอทเนต ........................................................... 12 2.5 ระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบน ..... 12

IV

สารบญ (ตอ)

หนา

บทท 3 ................................................................................................................................ 14

3.1 โครงสรางและองคประกอบของระบบ ........................................................................ 14 3.2 รายละเอยดโครงสรางและองคประกอบของระบบ ...................................................... 14 3.3 รายละเอยดของบอทเนตทน ามาทดสอบ ................................................................... 16

3.3.1 เอเรส (ARES) ................................................................................................ 17 3.3.2 นวทรโน (Neutrino) ........................................................................................ 17 3.3.3 แอทโมสบอทเนต (Atmos) .............................................................................. 17 3.3.4 รเวสทซพ (Reverse TCP) .............................................................................. 18

3.4 การตรวจสอบการเชอมตอสวนควบคมของบอทเนต .................................................. 18 3.4.1 การตรวจสอบการเชอมตอสวนควบคมและสงการของเอเรสบอท ...................... 18 3.4.2 การตรวจสอบการเชอมตอสวนควบคมและสงการของนวทรโนบอทเนต ............ 19 3.4.3 การตรวจสอบการเชอมตอสวนควบคมและสงการของแอทโมสบอทเนต ............ 19 3.4.4 การตรวจสอบการเชอมตอกลบสวนควบคมแบบรเวสทซพ ............................... 19

3.5 สรป ......................................................................................................................... 19

บทท 4 ................................................................................................................................ 20

4.1 การเตรยมระบบบอทเนต ......................................................................................... 21 4.1.1 การเตรยมระบบแอเรสบอทเนต ....................................................................... 21 4.1.2 การเตรยมระบบนวทรโนบอทเนต .................................................................... 22 4.1.3 การเตรยมระบบแอทโมสบอทเนต .................................................................... 24 4.1.4 การเตรยมระบบส าหรบรเวสทซพ ..................................................................... 25 4.2 การตดตามพฤตกรรมทางเครอขาย .......................................................................... 26 4.3 การเขยนเงอนไขตรวจสอบการเชอมตอสวนควบคม ................................................. 29 4.4 ผลการตรวจจบการเชอมตอสวนควบคมของบอทเนต ............................................... 30 4.5 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต .................................................... 33 4.6 เปรยบเทยบเงอนไขการตรวจสอบ ............................................................................ 33 4.7 วเคราะหผลการทดลอง ............................................................................................ 34

V

สารบญ (ตอ)

หนา

บทท 5 ................................................................................................................................ 35

5.1 สรปผล .................................................................................................................... 35 5.2 ประโยชนทไดรบ ...................................................................................................... 35 5.3 ขอแนะน า ................................................................................................................ 35 5.4 ปญหา ..................................................................................................................... 36 5.5 แนวทางในการแกปญหา .......................................................................................... 36

เอกสารอางอง...................................................................................................................... 37

ภาคผนวก ก การตดตงโอเอสซม ......................................................................................... 38

ภาคผนวก ข การตดตงแอเรสบอทเนต ................................................................................ 48

ภาคผนวก ค การตดตงนวทรโนบอทเนต ............................................................................. 53

VI

สารบญรป

หนา

รปท 2.1 ตวอยางการใชงาน NIDS ........................................................................................ 9

รปท 2.2 ตวอยางการใชงาน HIDS ...................................................................................... 10

รปท 2.3 การใชงาน IPS ในเครอขาย................................................................................... 11

รปท 2.4 ตวอยางการใชงานสนอรท ..................................................................................... 12

รปท 3.1 โครงสรางการท างานของระบบ .............................................................................. 14

รปท 3.2 ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ .......................................... 15

รปท 3.3 ตวอยางแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XFORCE .................................................................................................................... 16

รปท 3.4 ตวอยางการใชงานเอเสรบอทเนต .......................................................................... 16

รปท 3.5 ตวอยางสวนควบคมและสงการนวทรโนบอทเนต ................................................... 17

รปท 3.6 ตวอยางสวนควบคมและสงการแอทโมสบอทเนต ................................................... 18

รปท 4.1 ผงการเชอมตอแอเรสบอทเนต ............................................................................... 21

รปท 4.2 ผงการเชอมตอนวทรโนบอทเนต ........................................................................... 22

รปท 4.3 ผงการเชอมตอแอทโมสบอทเนต ........................................................................... 24

รปท 4.4 ผงการเชอมตอรเวสทซพ ....................................................................................... 25

รปท 4.5 การเชอมตอไปยงสวนควบคมของแอเรสบอทเนต .................................................. 26

รปท 4.6 การเชอมตอไปยงสวนควบคมของ NEUTRINO บอทเนต ...................................... 27

รปท 4.7 การเชอมตอไปยงสวนควบคมของ ATMOS บอทเนต ............................................ 28

รปท 4.8 การเชอมตอไปยงสวนควบคมแบบรเวสทซพ ......................................................... 28

รปท 4.9 แสดงเงอนไขการตรวจสอบแอเรสบอทเนตมาตฐานบนโอเอสซม ............................ 30

รปท 4.10 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนต ........ 31

รปท 4.11 แสดงเงอนไขการตรวจสอบนวทรโนบอทเนตมาตฐานบนโอเอสซม ....................... 31

รปท 4.12 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนต..... 32

VII

สารบญตาราง

หนา

ตารางท 1.1 แผนการด าเนนงานโครงงาน 1 ........................................................................... 6

ตารางท 1.2 แผนการด าเนนงานโครงงาน 2 ........................................................................... 7

ตารางท 2.1 เปรยบเทยบ IDS กบ โอเอสซม ....................................................................... 13

ตารางท 3.1 ค าสงสรางเพยโหลดดวย MSFVENOM ............................................................ 18

ตารางท 4.1 รายละเอยดอปกรณส าหรบแอเรสบอทเนต ....................................................... 21

ตารางท 4.2 รายละเอยดอปกรณส าหรบนวทรโนบอทเนต .................................................... 23

ตารางท 4.3 รายละเอยดอปกรณส าหรบแอทโมสบอทเนต .................................................... 24

ตารางท 4.4 รายละเอยดอปกรณส าหรบรเวสทซพ ............................................................... 25

ตารางท 4.5 รปแบบการเชอมตอสวนควบคมของแอเรสบอทเนต.......................................... 26

ตารางท 4.6 รปแบบการเชอมตอสวนควบคมของนวทรโนบอทเนต ...................................... 27

ตารางท 4.7 รปแบบการเชอมตอสวนควบคมของแอทโมสบอทเนต ...................................... 27

ตารางท 4.8 รปแบบการเชอมตอสวนควบคมแบบรเวสทซพ ................................................ 28

ตามรางท 4.9 เงอนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต ............. 29

ตารางท 4.10 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต .......... 29

ตารางท 4.11 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนต .......... 30

ตารางท 4.12 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ .................... 30

ตารางท 4.13 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต .......................................... 33

ตารางท 4.14 เปรยบเทยบเงอนไขการตรวจสอบของโอเอสซม ............................................. 33

ตารางท 4.15 เง อนไขทใชตรวจสอบของแอเรสบอทเนตทมากบระบบโอเอสซม .................... 34

บทท 1

บทน า 1.1 ปญหาและแรงจงใจ

ปจจบนภยคกคามทางไซเบอรทวความรนแรงและสงผลกระทบกบทกภาคสวนอยางกวางขวางโดยเฉพาะอยางยงการโจมตเครองผใชงานจากแฮกเกอร (Hackers) และแปรสภาพเครองเหลานนเปนบอท (Bot) หรอซอมบ (Zombie) สงผลใหแฮกเกอรสามารถควบคมและ ใชประโยชนเครองบอทเหลานไดจากระยะไกลผานสวนควบคมและสงการ (Command and Control) สงผลใหเครองบอทมประสทธภาพการท างานลดลงและเสยงทจะถกน าไปใช เปนเครองมอในการกระท าความผดทางไซเบอร การปองกนผใชงานตดตงโปรแกรมอนตรายนน อาจจะชวยปองกนไดในระดบหนงแตดวยเทคนคการโจมตทแนบเนยรและสบซอนของแฮกเกอรในปจจบนท าใหยากทจะปองกนได ดงนนในระดบผดแลเครอขายจงจ าเปนตองตรวจสอบใหพบและยงยงความเสยหายทจะเกดขน จงเปนทมาของโครงงานการศกษาการเชอมตอสวนควบคมของบอทเนต (Study of Botnet Command and Control Connection)

1.2 แนวทางการแกปญหา

เพอใหขอมลในการตรวจสอบครบถวนเพยงพอผดแลระบบจ าเปนตองใชงานซอฟตแวรประเภทบรหารจดการขอมลและเหตการณดานความมนคงปลอดภย (Security Information and Event Management :SIEM) ซงเปนซอฟตแวรทมความสามารถทหลากหลายสามารถเกบรวบรวม ประมวลผล และตรวจสอบขอมลจราจรคอมพวเตอร (Logs) เพอหาความสมพนธและเชอมโยงของเหตการณทสนใจได นอกจากนนแลว ยงมความสามารถทส าคญอกอยางคอความสามารถในการตรวจสอบการบกรก (Intrusion Detection System :IDS) สามารถตรวจสอบการบกรกโดยใชการเปรยบเทยบเอกลกษณ (Signature base) ของขอมลทสอสาร ในเครอขายวามการโจมตแฝงมาดวยหรอไม ซงในทนเลอกใชซอฟตแวรชอโอเอสซมเปนตวจดการหลกและโอเอสซมมซอฟตแวรตรวจสอบการบกรกชอซรคาตะ (Suricata) ซงมความสามารถในการตรวจสอบการเชอมตอสวนควบคมของบอทเนตได

1.3 วตถประสงค

1.3.1 เพอศกษารปแบบและวธการเชอมตอสวนควบคมของบอทเนต 1.3.2 เพอศกษาการท างานของซอฟตแวรประเภทบอท 1.3.3 เพอศกษาการท างานของซอฟตแวรโอเอสซมและสามารถน ามาประยกตใชงานไดอยางเหมาะสม

2

1.3.4 เพอศกษาการเขยนเงอนไขในการตรวจสอบการท างานของบอทเนตทใชในการศกษาดวยซอฟตแวรประเภท IDS 1.3.5 เพอเปรยบเทยบการเชอมตอสวนควบคมของบอทเนตแตละชนด 1.3.6 เพอทดสอบความสามารถในการตรวจจบการเชอมตอสวนควบคมของบอทเนตของ IDS พนฐานเทยบกบ IDS ททมเง อนไขเฉพาะการตรวจสอบบอทเนต 1.3.7 เพอเพมประสทธภาพในการรกษาความปลอดภยสารสนเทศโดยใช IDS (Suricata) ตรวจสอบการเชอมตอสวนควบคมของบอทเนต

1.4 ภาพรวมของการศกษาคนควา

การศกษาคนควาในโครงงานนจะเปนการจ าลองระบบแบบปดโดยใชซอฟตแวรประเภท จ าลองเสมอนซงประกอบไปดวยเครองผใชงานทวไปซงจะใชเปนระบบปฎบตการวนโดวสเอกซพจ าลองเปนเครองของผใชงานทตดตงซอฟตแวรบอทมซอฟตแวรโอเอสซมตรวจสอบหาพฤตกรรมการเชอมตอไปยงสวนควบคมของบอทเนตทพบในปจจบนและแจงเตอนใหผดแลระบบทราบ ไดโดยน าเอาพฤตกรรม รปแบบ วธการท างานซงเปนเอกลกษณเฉพาะของบอทเนตแตละตวมาเขยนเปนเงอนไขในการตรวจสอบหาการเชอมตอสวนควบคมของบอทเนตทแฝงมากบการสอสารปกต จากนนน าผลลพธทไดจากการตรวจสอบมาเปรยบเทยบความยากงายในการตรวจสอบพบบอทเนตแตละตวเพอน ามาซงตนแบบของ เงอนไขกลางในการตรวจสอบหาบอทเนตในปจจบนโดยใช IDS

1.5 ขอบเขตของการศกษาคนควา

1.5.1 เครองมอทใชในการศกษาการท างานของบอทเนต 1) เครองแมขาย : ตดตง Virtual Box เวอรชน 5.2 เพอท าหนาเปนเครองแม

ขายจกรกลเสมอนและมเครองจ าลองภายในดงน (1) เครองแมขายตดตงซอฟตแวรโอเอสเอสซมเวอรช น 5.4 (2) วนโดวเซเวน 32 บตเปนเครองจ าลองบอท (3) สวตชเสมอนใน Virtual Box 2) โปรแกรมไวรชารคเวอรช น 2.2.6 ส าหรบชวยวเคราหขอมลบนเครองบอท 3) โปรแกรมซรคาตะเวอรช น 4.0.3 ส าหรบท าหนาทเปนสวนตรวจสอบบอทเนต 1.5.2 ซอฟตแวรบอททใชในการศกษา 1) ซอฟตแวรแอเรสบอทเนต 2) ซอฟตแวรนวทรโนบอทเนต 1.5.3 หวขอการศกษา 1) ศกษาวธการตดตงแพรกระจายของบอท 2) ศกษาพฤตกรรมทางเครอขายของบอทเนต

3

3) ศกษารปแบบการเขยนเงอนไขเพอตรวจสอบทราฟฟกทางการสอสารดวยโปรแกรมซรคาตะ

4) ศกษาค าสง และรปแบบทางการสอสารทบอทเนตใชตดตอกบสวนควบคม 5) เปรยบเทยบความแตกตางจากการใชซอฟตแวรซรคาตะแบบทวไปกบ

ซอฟตแวรซรคาตะทออกแบบมาส าหรบตรวจจบบอทเนตโดยเฉพาะ 6) ศกษาการน าโอเอสซมมาประยกตใชในการตรวจสอบการเชอมตอของบอท

เนตและแจงเตอน 1.5.4 สโคบการท าโครงงาน 1) โครงงาน 1 (1) เสนอหวขอโครงงาน (2) ศกษาขอมลการท างานของซอฟตแวรโอเอสซม และบอทเนตท

ท าการศกษา - การตดตงใชงานซอฟตแวรโอเอสซม - ความสามารถ การท างานของซอฟตแวรโอเอสซม - การท างานของซอฟตแวรซรคาตะ - แนวทางการตรวจสอบหาบอทเนตของซอฟตแวรซรคาตะ - การท างานของบอทเนต - รปแบบการเชอมตอสวนควบคมของบอทเนต - แนวทางในการดกจบขอมลการสอสารเพอหาการเชอมตอ

สวนควบคมของบอทเนต (3) ออกแบบโครงสรางแลปทจะใชศกษาบอทและท าการทดสอบการ

ท างาน (4) น าเสนอโครงงาน 1 ตอคณะกรรมการ น าเสนอปญกา แนวคด

ทมา และการลดความรนแรงของปญหา (5) ทดลองใชงานซอฟตแวรทใชในการวเคราะหการท างานของบอท 2) โครงงาน 2 (1) ตดตงแลปเพอใชในการศกษาจรง - Virtual Box เวอรช น 5.2 - ซอฟตแวรโอเอสซมเวอรช น 5.4 - วนโดวเซเวน 32 บตเปนเครองจ าลองบอท - สวตชเสมอนใน Virtual Box - โปรแกรมไวรชารคเวอรช น 2.2.6 (2) ตดตงโปรแกรมบอทในแลป - ตดตงซอฟตแวรแอเรสบอทเนต

4

- เกบตวอยางการสอสารท เขา -ออกจากเครองบอทดวยซอฟตแวรไวรชารค

- สรปผลทไดจากการตดตามพฤตกรรมของซอฟตแวรแอเรส บอทเนต

- ตดตงซอฟตแวรนวทรโนบอทเนต - เกบตวอยางการสอสารท เขา -ออกจากเครองบอทดวย

ซอฟตแวรไวรชารค - สรปผลทไดจากการตดตามพฤตกรรมของซอฟตแวร

ซอฟตแวรนวทรโนบอทเนต (3) น าสรปผลจากการตดตามพฤตกรรมของซอฟตแวรบอทเนตมา

เขยนเปนเงอนไขในการตรวจสอบ - เขยนเงอนไขของซอฟตแวรซรคาตะเพอตรวจสอบการ

เชอมตอสวนควบคมของซอฟตแวรแอรเสบอทเนต - ทดสอบผลการตรวจสอบ - น าผลจากการตรวจสอบดวยซอฟตแวรซรคาตะมาเขยน

ระบบแจงเตอนผดแลระบบผานซอฟตแวรโอเอสซม - เขยนเงอนไขของซอฟตแวรซรคาตะเพอตรวจสอบการ

เชอมตอสวนควบคมของซอฟตแวรนวทรโนบอทเนต - ทดสอบผลการตรวจสอบ - น าผลจากการตรวจสอบดวยซอฟตแวรซรคาตะมาเขยน

ระบบแจงเตอนผดแลระบบผานซอฟตแวรโอเอสซม (4) ท าสรปผล - เปรยบเทยบการเชอมตอสวนควบคมของบอทเนตทใชใน

การศกษา - เปรยบเทยบการตรวจสอบดวยซอฟตแวรซรคาตะทวไปกบ

แบบทมเงอนไขเฉพาะการตรวจสอบบอทเนต (5) น าเสนอ โครงงาน 2 น าเสนอในรปแบบการสาธตการแจงเตอนจาก

ซอฟตแวรโอเอสซม

1.6 โครงสรางของสารนพนธ

ในการศกษาคนควาโครงงานนแบงเนอหาออกเปน 2 สวนดงน 1.6.1 วทยานพนธ 1 จะเปนการรวบรวมทฤษฏทใชในการท าโครงงานทงหมดอาทเชน

การท างานและความสามารถของซอฟตแวรโอเอสซมความสามารถในการตรวจสอบการเชอมตอสวนควบคมบอทเนตของซรคาตะ ชนดและประเภทของชองทางการสอสารทบอทเนต

5

ใชในการเชอมตอไปยงสวนควบคม เอกลกษณหรอรปแบบการสง – รบค าสงของบอทเนต การเลอกบอทเนตทเหมาะสมเพอน ามาเปนกรณศกษา

1.6.2 วทยานพนธ 2 จะเปนการวเคราะหขอมลทผานเขา – ออกจากเครองทตดตงบอทเพอน ามาท าเปนตนแบบเพอใชในการเปรยบเทยบ การแกใขกฏทใชในการตรวจสอบหาการเชอมตอสวนควบคมเพอใหสามารถท างานไดอยางถกตองแมนย า

6

1.7 แผนการด าเนนงาน

ตารางท 1.1 แผนการด าเนนงานโครงงาน 1

แผนการท างาน แตละสปดาห

กนยายน ตลาคม พฤษจกายน ธนวาคม 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. เสนอหวขอโครงงาน 2. ศกษาขอมลการท างานของซอฟตแวรโอเอสซม และบอทเนตทท าการศกษา

3. ออกแบบโครงสรางแลปทจะใชศกษาบอทและท าการทดสอบการท างาน

4. ทดลองใชงานซอฟตแวรทใชในการวเคราะหการท างานของบอท

5. สอบโครงงาน 1

7

ตารางท 1.2 แผนการด าเนนงานโครงงาน 2 แผนการท างาน แตละสปดาห

มกราคม กมพาพนธ มนาคม เมษายน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ตดตงแลปเพอใชในการศกษาจรง

2. ตดตงโปรแกรมบอทในแลป

3. น าสรปผลจากการตดตามพฤตกรรมของซอฟตแวรบอทเนตมาเขยนเปนเงอนไขในการตรวจสอบ

4. ท าสรปผล 5. สอบโครงงาน 2

8

บทท 2

พนฐานและทฤษฎทเกยวของ

2.1 ภยคกคามทางไซเบอร (Cyber Threat)

2.1.1 มลแวร (Malware) มลแวร (Malware) ยอมาจากค าวา Malicious Software ซงหมายถงโปรแกรม

ประสงครายตางๆ ท างานในลกษณะทเปนการโจมตระบบ การท าใหระบบเสยหาย รวมไปถงการโจรกรรมขอมล มลแวรแบงออกไดหลากหลายประเภท อาทเชน ไวรสคอมพวเตอร เวรม โทรจน คยลอกเกอร ตลอดจนโปรแกรมประเภทขโมยขอมลคกก การตดมลแวรนนสามารถเกดขนไดจากหลายชองทาง อาทเชน การดาวนโหลด และตดตง ซอฟตแวรจากแหลงทไมนาเชอถอ การเขาเวบไซต ทฝงซอรสโคดอนตรายไว หรอแมกระทงจากการเปดลงค (หรอไฟลแนบในจดหมายอเลกทรอนกส) ซงไดผลลพธทดมากหากผใชงานโดยทวไปขาดการตระหนกรทางไซเบอร

2.1.2 บอทเนต (Botnet) บอทเนตเปนชอเรยกกลมของคอมพวเตอรทตดตงซอฟตแวรประเภทบอทและ

เชอมตอไปยงสวนควบคมและสงการ สงผลใหผไมหวงดสามารถหาประโยชนจากการใชทรพยากรณบนระบบของเครองบอทได และผไมหวงดจะพยายามเพมจ านวนของบอท ใหไดมากทสดเพอเพมประสทธภาพของบอทเนตใหมากยงขน ตวอยางการใชประโยชน จากบอทเนต อาทเชน การโจมตระบบแบบ (DDOS) โดยสงใหเครองบอทเรยกไปทเวบไซตเปาหมายพรอมกนเปนจ านวนมากสงผลใหระบบของเปาหมายไมสามารถใหบรการได คยลอกเกอร หรอแมกระทงการเกบภาพหนาจอปจจบน เปนตน

2.2 ระบบตรวจสอบภยคกคามทางไซเบอร (Cyber threat detection system)

2.2.1 ซอฟตแวรปองกนไวรส (Antivirus Software) ภยคกคามทางไซเบอรในปจจบนมความซบซอนมากยงขนซอฟตแวรปองกน

ไวรสจงถอเปนซอฟตแวรทจ าเปนของทกระบบอยางหลกเลยงไมได ซอฟตแวรประเภทนปจจบนมผพฒนาอยหลายคายตางกมเทคนคและกลไกในการตรวจสอบทแตกตางกน แตโดยพนฐานคอสามารถตรวจจบ และปองกนไวรสคอมพวเตอรไดกอนทไวรสคอมพวเตอร จะท างาน รปแบบในการตรวจสอบไวรสคอมพวเตอรเชน การเทยบกบรปแบบของไวรสทเคยพบ การตรวจสอบโดยสงไฟลตองสงสยใหเครองแมขายชวยท าการวเคราะห เมอพบไวรสคอมพวเตอรกท าการก าจดและแจงผลใหผใชงานทราบตวอยางซอฟตแวรปองกนไวรส อาทเชน Nod32, BitDefender, Kaspersky เปนตน

9

2.2.2 ระบบตรวจสอบการบกรก (Intrusion Detection System: IDS) ระบบตรวจสอบการบกรกเปนเครองมอทใชในการเฝาระวงภยคกคาม ในเครอขายและแจงเตอนใหผดแลระบบทราบเมอพบสงผดปกตเกดขนพรอมทงเกบขอมล ไวตรวจสอบยอนหลง ขอ จ ากดของ IDS คอสามารถตรวจหาการบ กรกไดเท าน น ไมมความสามารถในการยบยงการบกรกทเกดขนได IDS สามารถแบงออกเปน 2 ประเภท ดงน

รปท 2.1 ตวอยางการใชงาน NIDS 2.2.2.1 Network Based Intrusion Detection System (NIDS) เ ป น IDS ทตดตงเปนสวนหนงของอปกรณเครอขายเพอตรวจสอบหาการบกรกทเกดขนในเครอขาย วามลกษณะเขาขายวาเปนอนตรายตอเครองคอมพวเตอรหรออปกรณตางๆ ในระบบเครอขายหรอไม หากใชกจะแจงเตอนผดแลระบบพรอมกบบนทกจดเกบการท างานไวเพอเปนหลกฐานภายหลง NIDS จะมทงแบบเปนซอฟตแวรทใชในการตดตงลงไปในเครองแมขาย เชน ซรคาตะ, สนอรท เปนตน และแบบทเปนฮารดแวรส าเรจรปสามารถน าไปเชอมตอเขาในเครอขายไดทน เชน Sourcefire, FireEye ตวอยางการน าไปใชงานในเครอขายดงในรปท 2.1 เทคนคท NIDS ใชในการตรวจสอบการบกรกหรอการโจมตโดยทวไปจะมอย 3 วธไดแก 2.2.2.1.1 Signature Detection คอ การต รวจห ารป แบบผดปกต ในเนอขอมลของแพกเกตในระบบเครอขายโดยเปรยบเทยบกบฐานขอมลทม อยหากพบวาตรงกนกจะสงสญญาณหรอแจงเตอน วธนเรยกอกอยางหนงวา Pattern Matching ขอดของวธนกคอผดแลสามารถทราบวาก าลงถกบกรกหรอโจมตโดยรปแบบหรอวธการใดอยท าใหสามารถเตรยมหาวธปองกนแกไขไดทนท

10

2.2.2.1.2 Behavioral Anomaly Detection คอการตรวจหาพฤตกรรมการใชงานทมลกษณะผดแผกแตกตางจากการใชงานปกตประจ าวน ตวอยางเชน ในระบบเครอขายขององคกรปกตในวนหยดสดสปดาหมกจะไมมการใชงานหรอมกนอย ดงนนหากพบวาวนหยดใดมการใชงานระบบเครอขายปรมาณสงกถอวาผดปกตได 2.2.2.1.3 Protocol Anomaly Detection คอการตรวจแพกเกตทผานเขาออกระบบเครอขาย ในระดบโครงสรางของแพกเกตพรอมทงล าดบขนตอนการสอสารของโปรโตคอลชนดตางๆ เชน SMTP, POP3, IMAP, NetBIOS, RPC, DNS, FTP, HTTP วาเปนไปตามขอก าหนดมาตรฐานของโปรโตคอลนนๆ หรอไม

รปท 2.2 ตวอยางการใชงาน HIDS 2.2.2.2 Host Based Intrusion Detection System (HIDS) ค อ ซ อ ฟ ต แ ว ร

ทตดตงไวในเครองท าหนาทในการตรวจสอบหาความผดปกตทเกดขนกบระบบปฏบตการและ

ไฟลส าคญของระบบ โดยท าการตรวจสอบรวมกบอเวนทลอก ตวอยางซอฟตแวรประเภท

HIDS เชน Mcafee, Trend micro เปนตน ตวอยางการน าไปใชงานในเครอขายดงในรปท 2.2 การ

ท างานโดยทวไปของ HIDS สามารถ แบงออกไดเปน 3 ประเภทไดแก

2.2.2.2.1 File System Monitor จ ะต รว จส อ บก ารเป ล ย น แป ล ง

ทเกยวกบไฟลส าคญของระบบ เชน การเปลยนแปลงสทธในการเขาใชไฟลและโฟลเดอร

ชอเจาของไฟลและโฟลเดอร ขนาดของไฟล และคาพารามเตอรตางๆ ทเกยวของกบระบบไฟล

การเปลยนแปลงแกไขคอนฟกกเลชนตางๆ ของตวระบบปฏบตการ

11

2.2.2.2.2 System Logs Analysis จะตรวจสอบซสเตมลอกของตว

ระบบปฏบตการและท าการวเคราะหวามการใชงานทมลกษณะผดปกตและเปนอนตรายต อ

ระบบปฏบตการหรอไม เชน มความพยายามเขาใชงานทใสรหสผานผดตดตอกนหลายครง

มการเปลยนแปลงแกไขสทธของผใชตางๆ ใหสงขนหรอเทยบเทาระดบผดแลระบบ มการเพมลบ

หรอแกไขรหสผใชหรอรหสผาน มการเปดปดบรการตางๆ ในเครอง

2.2.2.2.3 Connection Analysis จะตรวจสอบการเชอมตอทไมไดรบ

อนญาตหรอแพกเกตผดปกตทมาจากเครองแปลกปลอม ตรวจสอบการถกแสกนพอรต เปนตน

รปท 2.3 การใชงาน IPS ในเครอขาย 2.2.3 ระบบปองกนการบกรก (Intrusion Prevention System: IPS) เปนเครองมอทมการท างานคลายกบ IDS แตมความสามารถในการยบยง

การบกรกทตรวจพบไดทนทกอนทจะมความเสยหายเกดขน IPS ตวอยางการน าไปใชงาน

ในเครอขายดงในรปท 2.3 สามารถแบงออกไดเปน 2 ประเภท ไดแก

2.2.3.1 Network Based Intrusion Prevention System (NIPS) คอเครองมอ

ทตดตงไวเปนสวนหนงของระบบเครอขายเพอใชหยดหรอสกดการบกรกจากเครอขายภายนอก

หรอภายในโดยอตโนมตทนทการตดตงโดยทวไปมงจะวางขวางการไหลของขอมลในเครอขายซงจะ

สงผลใหสามารวเคราะหขอมลทว งผานเขา-ออกทงหมดไดวาเปนความพยายามในการบกรกหรอไม

2.2.3.2 Host Based Intrusion Prevention System (HIPS) คอซอฟตแวรทใช

ตดตงในเครองเซรฟเวอรตางๆ เชน เวบเซรฟเวอร หรอ ดาตาเบสเซฟเวอร หรอแมกระทง

เครองระดบเดสกทอป เพอท าหนาทปกปองเครองใหปลอดภยจากการบกรกหรอโจมต

ทงทผานเขามาทางระบบเครอขายหรอจากโปรแกรมแปลกปลอมภายในเครอง

12

2.3 ระบบบรหารจดการขอมลและเหตการณทางดานความมนคงปลอดภยสารสนเทศ (Security Information and Event Management: SIEM)

SIEM เปนเทคโนโลยทถกน ามาบรหารจดการดานความมนคงปลอดภยในปจ จบน มากยงขนสบเนองมาจากภยคกคามในปจจบนไมสามารถตรวจสอบไดจากอปกรณเพยงล าพงตวเดยวได ในการแสดงใหผดแลระบบทราบถงชองทางการโจมตระบบทเกดขนอยางครบถวนจ าเปนตองใชการวเคราะหขอมลรวมกนของอปกรณเครอขายทงหมดทมในระบบประกอบกน และเนองจากอปกรณเครอขายแตละตวกจะมลอกทแยกกนรปแบบกแตกตางกนดวยจงท าใหเกดแนวคดของการบรณาการลอกของอปกรณเครอขายรวมกน โดยม SIEM เปนตวกลางในการบรหารจดการ มความสามารถในการน าลอกและเหตการณของอปกรณแตละตวในระบบ มาเชอมโยงความสมพนธรวมกนเพอหาตนเหตของภยคกคามทเกดขนได

2.4 รปแบบการเชอมตอสวนควบคมของบอทเนต

ในการเชอมตอไปยงสวนควบคมของบอทเนตนนสามารถกระท าไดหลากหลายชองทางโดยทวไปจะใชการควบคมผานโปรโตคอล IRC (Internet Relay Chat) และ HTTP (Hypertext Transfer Protocol) ซงทง 2 โปรโตคอลนเปดใหใชงานไดในทกเครอขายอยแลว การรบ – สงขอมลใชทรพยากรณของระบบนอยมากท าใหสามารถรองรบการเชอมตอจากเครองบอทไดเปนจ านวนมาก

2.5 ระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบน

รปท 2.4 ตวอยางการใชงานสนอรท 2.5.1 ตวอยางของระบบการตรวจสอบและแจงเตอนการเชอมตอสวนควบคมของบอทเนตในปจจบนทเปนทนยมมอย 2 ตวไดแกสนอรท และซรคาตะ ซงทง 2 ตวน ตางกเปนซอฟตแวรประเภท IDS ทงคมความสามารถในการตรวจจบภยคกคาม การเชอมตอผดปกตเกดจากเครองทตดตงซอฟตแวรบอทไดแตจะอยในรปแบบของลอกไฟลซงยากตอการตความหรอเขาใจไดโดยงาย ดงรปท 2.4 เปนตวอยางการใชงานสนอรทตรวจจบการเชอมตอไปยงหมายเลขไอพทเปนแบลคลสซงผลทไดจากการตรวจสอบเปนเพยงลอกออกมาเทานน

13

2.5.2 เปรยบเทยบการใช IDS ทวไปกบการใชโอเอสซมในการตรวจจบการเชอมตอ C&C ของบอทเนต

ตารางท 2.1 เปรยบเทยบ IDS กบ โอเอสซม IDS โอเอสซม

แสดงผลเปนลอกยากตอการเขาใจ มสวนจดการดงเอาลอกมาแสดงผลใหงายตอการเขาใจ

ท าไดแคตรวจสอบและแสดงผลลอกเทานน สามารถน าผลทไดไปตอยอดท าอยางอนได เชน ท ารายงานดสถตยอนหลง หรอสงออกไปเปนกฏของไฟรวอลลได

การใชงานเปนแบบคอมมานไลน รองรบการเขาใชงานผานเวบบราวเซอร สนอรท และซรคาตะ เปนซอฟตแวรประเภท IDS

โอเอสซมเปนซอฟตแวรประเภท SIEM สามารถท างานไดหลากหลาย

14

บทท 3

ระบบทน าเสนอ / การด าเนนงาน

3.1 โครงสรางและองคประกอบของระบบ

รปท 3.1 โครงสรางการท างานของระบบ ในการศกษาการตรวจสอบการเชอมตอสวนควบคมของบอทเนตจะเปนการทดสอบใน

เครอขายปดโดยจ าลองระบบประกอบดวยเครองไคลแอนตทตดตงโปรแกรมบอทเนตตอเขากบ สวตชและอนญาตใหโอเอสซมสามารถเหนทราฟฟกทวงผานสวตชได ซงโอเอสซมเปดใชงาน IDS เพอตรวจสอบการท างานของบอทเนตโดยเฉพาะ IDS ทโอเอสซมเลอกใชชอวาซรคาตะพฒนาดวยภาษาลว ซงมขอดทสามารถท างานไดอยางรวดเรว โครงสรางการท างานของระบบ ดงรปท 3.1

3.2 รายละเอยดโครงสรางและองคประกอบของระบบ

การเตรยมระบบ IDS เพอตรวจสอบหาการเชอมตอ C&C เลอกใชเงอนไขของซรคาตะ ทไดจากการรวบรวมของนกวจยบอทเนตซงไดตดตามและอพเดทอยางเปนระยะ ตวอยางเงอนไขทใชเชน การตรวจสอบหมายเลขไอพปลายทางการสอสารวาอยในแบลคลสหรออยในกลมของไอพเสยงหรอไม การตรวจสอบลงคทไคลแอนตเรยกใชงานอยในกลมของแบลกลสหรอไมเปนตน ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ ทนกวจยตางๆ ไดรวบรวมไวดงรปท 3.2

15

รปท 3.2 ตวอยางเงอนไขการตรวจสอบบอทเนตส าหรบซรคาตะ การท างานของระบบตรวจสอบบอทเนตทจะท าการศกษานประกอบดวยการตรวจสอบ

หาการเชอมตอไปยงปลายทางทมแนวโนมและไดรบการเปดเผยแลววาเปน C&C ซงมทมนกวจยไดขนบญชปลายทางตองสงสยเหลานไวและเปดเผยใหบคคลทวไปสามารถน าไปใชประโยชนตอได ตวอยางดงรปท 3.3 จะเปนแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XForce

16

รปท 3.3 ตวอยางแหลงขอมลหมายเลขไอพ C&C และลงคทรวบรวมโดยทมนกวจยของ IBM-XForce

3.3 รายละเอยดของบอทเนตทน ามาทดสอบ

รปท 3.4 ตวอยางการใชงานเอเสรบอทเนต

17

3.3.1 เอเรส (ARES) เอเรสเปนบอทเนตทพฒนามาจากภาษาไพธอนประกอบดวย 2 สวนการท างานไดแก สวนทเปนสวนควบคมและสงการบอท และสวนทเปนตวตดตงบอทส าหรบเครองไคลแอนต สาเหตทเลอกใชบอทเนตตวน เนองจากมการเปดเผยซอรสโคดและพฒนาโดยภาษาไพธอน ซงเปนภาษาทเปนทนยมสามารถหาคมอไดงาย เอเรสบอทมความสามารถโดยรวมดงน สามารถรนค าสงของเซลลวนโดวสได, สามารถดาวนโหลดและอพโหลดไฟลได , สามารถ เกบภาพหนาจอได, สามารถรนค าสงของไพธอนได และรองรบการตดตงบอทแบบถาวรได สวนควบคมและสงการบอทสามารถท างานไดบนเวบเซอรเวอรไดแตตองรองรบการใชงานภาษา ไพธอน ตวอยางสวนควบคมและสงการบอท ดงรปท 3.4 วธการสรางเอเรสบอทเรมจากการเตรยมสวนควบคมและสงการบอทโดยการตดตง เวบเซอรเวอรทรองรบการใชงานภาษาไพธอนและทดสอบเรยกใชงาน จากนนน าขอมล การเขาใชงานสวนควบคมและจดการบอทมาสรางโปรแกรมตดตงบอทเพอน าไปตดตงลงบนเครองบอทตอไป 3.3.2 นวทรโน (Neutrino)

รปท 3.5 ตวอยางสวนควบคมและสงการนวทรโนบอทเนต นวทรโนเปนบอทเนตทถกซอขายผานตลาดมด ชดของซอฟตแวรบอทประกอบดวย 3 สวนไดแก ตวตดตงบอทเนต (Malicious Payload) ส าหรบไวตดตงบนเครองเปาหมาย ตวบวเดอร (Builder) พฒนาดวย Visual studio 2013 ส าหรบไวสรางตวตดตงบอทเนต และสวนควบคม (Control Panel) พฒนาดวย PHP ส าหรบไวควบคม สงการบอทเนต นวทรโนบอทเนต ถกน ามาใชเปนเครองมอในการโจมตแบบ DDOS เน องจากมฟงกชนการโจมต DDOS ทหลากหลายรปแบบ ตวอยางสวนควบคม ดงรปท 3.5 3.3.3 แอทโมสบอทเนต (Atmos) แอทโมสบอทเนตประกอบดวย 3 สวนไดแก ตวตดตงบอทเนต (Malicious Payload) ส าหรบไวตดตงบนเครองเปาหมาย ตวบวเดอร (Builder) พฒนาดวย Visual studio 2013

18

ส าหรบไวสรางตวตดตงบอทเนต และสวนควบคม (Control Panel) พฒนาดวย PHP และ MySQL ส าหรบไวควบคม สงการบอทเนต

รปท 3.6 ตวอยางสวนควบคมและสงการแอทโมสบอทเนต 3.3.4 รเวสทซพ (Reverse TCP) รเวสทซพเปนเทคนคทใชในการทดสอบระบบซงเปนการเชอมตอกลบมายงสวนควบคมของเครองไคลแอนต เมอเปดเพยโหลด ตวไคลแอนตสรางข นมาจากซอฟแวร msfvenom ทอย ในระบบปฏบตการกาลลนกซ (Kali) โดยเพยโหลดทน ามาศกษาก าหนด ใหเครองเปาหมายเชอมตอกลบมาทเครองควบคมหมายเลขไอพ 192.168.56.201 ดวยพอรทหมายเลข 9851 มรปแบบค าสงเพอสรางเพยโหลดดงน

ตารางท 3.1 ค าสงสรางเพยโหลดดวย msfvenom msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.56.201 LPORT=9851 -f exe > malware2.exe

3.4 การตรวจสอบการเชอมตอสวนควบคมของบอทเนต

3.4.1 การตรวจสอบการเชอมตอสวนควบคมและสงการของเอเรสบอท เนองจากเอเรสพฒนาดวยภาษาไพธอนและการเชอมตอสวนควบคมและสงการท าผานโปรโตคอลเอชททพเปนหลกดงนนเราจะเลอกใชการตรวจสอบโดยการเปรยบเทยบเพยโหลดของเอชททพวามค าสง หรอสงผดปกตหรอไมเชน พบค าสง cd, dir, อยในเพยโหลดเอชททพ ทผานอออกไปเปนตน

19

3.4.2 การตรวจสอบการเชอมตอสวนควบคมและสงการของนวทรโนบอทเนต เนองจากนวทรโนบอทเนตไดเขารหสเพยโหลดของโปรโตคอลเอชททพไว ท าใหไมสามารถเปดดหรอตรวจสอบขอมลทสอสารกนไดดงนนจงเลอกใชการตรวจสอบ ใน Header ของ HTTP ทสอสารกนเปนหลก 3.4.3 การตรวจสอบการเชอมตอสวนควบคมและสงการของแอทโมสบอทเนต เนองจากแอทโมสบอทเนตจะแพรกระจายตวเองผานเครองขายแลนโดยใชโปรโตคอลเนตไบออสในการส ารวจเครอขาย และมความพยายามทจะคนหาเครองทมชอวา www.hosting.cn โดยการสง netbios query broadcast ออกไปในเครอขาย 3.4.4 การตรวจสอบการเชอมตอกลบสวนควบคมแบบรเวสทซพ เนองจากการเชอมตอกลบสวนควบคมแบบรเวสทซพจากซอฟแวร msvenom เขารหสแบบ base64 และมรปแบบค าสงทหลากหลาย จงใชการตรวจสอบหมายเลขพอรท เพอตรวจสอบการเชอมตอกลบสวนควบคม

3.5 สรป

ในบทน เปนการกลาวถงโครงสรางของระบบในการทดสอบระบบตรวจสอบและแจงเตอนการเชอมตอสวนควบคมบอทเนต รวมถงระบบบอทเนตทจะใชในการทดสอบซงมการเปดเผยซอรสโคดใหสามารถน ามาใชศกษาได และในบทตอไปเปนบทท 4 จะกลาวถงผลการตรวจสอบและแจงเตอนในกรณทมการเชอมตอไปยง C&C ของ botnet ตอไป

20

บทท 4

ผลการทดลอง

การทดลองเพอตรวจจบการเชอมตอสวนควบคมของบอทเนต เปนการน าซอฟตแวรประเภทบอทเนตจ านวน 2 ตวมาศกษาพฤตกรรมทางเครอขายและน าไปเขยนเปนเงอนไขใหกบระบบตรวจจบตอไป สามารถ แบงขนตอนการทดลองได ดงน 1. ตดตงระบบบอทเนตประกอบดวย สวนควบคมและตวบอทเนต 2. ตดตงซอฟตแวรบอทเนตบนเครองเปาหมายจ าลองและตดตามพฤตกรรมทางเครอขายดวยซอฟตแวร Wire Shark เพอหารปแบบในการเชอมตอกลบไปยงสวนควบคม 3. น ารปแบบการเชอมตอสวนควบคมทไดมาไปออกแบบเงอนไขในการตรวจสอบ 4. น าเง อนไขทไดไปใชงานใน โอเอสซม และทดสอบการท างาน

21

4.1 การเตรยมระบบบอทเนต

4.1.1 การเตรยมระบบแอเรสบอทเนต (รายละเอยดขนตอนการตดตงในภาคผนวก) มผงการเชอมตอ ดงน

รปท 4.1 ผงการเชอมตอแอเรสบอทเนต

ตารางท 4.1 รายละเอยดอปกรณส าหรบแอเรสบอทเนต อปกรณ รายละเอยด

Ares C&C - สวนควบคม สงการ Ares บอทเนต - ระบบปฏบตการ Kali Linux 2.0.1 - ไพทอนเวอรช น 2.7 - IP 192.168.56.201 - Port 8080 - promiscuous mode

Ares bot - เครองจ าลองเปาหมาย - ระบบปฏบตการ Windows 7 32 bit - ไพทอนเวอรช น 2.7

22

- IP 192.168.56.103 - promiscuous mode

โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode

Switch - virtual Box host only - promiscuous mode

4.1.2 การเตรยมระบบนวทรโนบอทเนต (รายละเอยดขนตอนการตดตงในภาคผนวก) มผงการเชอมตอ ดงน

รปท 4.2 ผงการเชอมตอนวทรโนบอทเนต

23

ตารางท 4.2 รายละเอยดอปกรณส าหรบนวทรโนบอทเนต อปกรณ รายละเอยด

Neutrino C&C - สวนควบคม สงการ Neutrino บอทเนต - ระบบปฏบตการ Kali Linux 2.0.1 - Apache เวอรช น 2.4.29 - IP 192.168.56.101 - promiscuous mode

Neutrino bot - เครองจ าลองเปาหมาย - ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.103 - promiscuous mode

โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode

Switch - virtual Box host only - promiscuous mode

24

4.1.3 การเตรยมระบบแอทโมสบอทเนต มผงการเชอมตอดงน

รปท 4.3 ผงการเชอมตอแอทโมสบอทเนต

ตารางท 4.3 รายละเอยดอปกรณส าหรบแอทโมสบอทเนต อปกรณ รายละเอยด

Atmos C&C www.hosting.cn (dummy) Atmos bot - เครองจ าลองเปาหมาย

- ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.102 - promiscuous mode

โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode

Switch - virtual Box host only - promiscuous mode

Atmos botnet

25

4.1.4 การเตรยมระบบส าหรบรเวสทซพ มผงการเชอมตอดงน

รปท 4.4 ผงการเชอมตอรเวสทซพ

ตารางท 4.4 รายละเอยดอปกรณส าหรบรเวสทซพ อปกรณ รายละเอยด

Kali Linux 192.168.56.201 Reverse TCP - เครองจ าลองเปาหมาย

- ระบบปฏบตการ Windows 7 32 bit - IP 192.168.56.102 - promiscuous mode

โอเอสซม - SIEM - ระบบปฏบตการโอเอสซม 5.4 - Suricata เวอรช น 3.2 - IP 192.168.56.200 - promiscuous mode

Switch - virtual Box host only - promiscuous mode

26

4.2 การตดตามพฤตกรรมทางเครอขาย

4.2.1 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรแอเรสบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน

ตารางท 4.5 รปแบบการเชอมตอสวนควบคมของแอเรสบอทเนต หวขอ รายละเอยด

Port 8080 Protocol HTTP HTTP Method POST URI http://192.168.56.201:8080/api/zombie_8796753825073/hello Content application/json

member key : username, platform, hostname

รปท 4.5 การเชอมตอไปยงสวนควบคมของแอเรสบอทเนต 4.2.2 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรนวทรโนบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน

27

ตารางท 4.6 รปแบบการเชอมตอสวนควบคมของนวทรโนบอทเนต หวขอ รายละเอยด

Port 80 Protocol HTTP HTTP Method POST URI http://192.168.56.101/panel/tasks.php อนๆ application/x-www-form-urlencoded

Cookie: auth=bc00595440e801f8a5d2a2ad13b9791b

รปท 4.6 การเชอมตอไปยงสวนควบคมของ Neutrino บอทเนต 4.2.3 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงซอฟตแวรแอทโมสบอทเนตลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล UDP มรปแบบทเปนเอกลกษณ ดงน

ตารางท 4.7 รปแบบการเชอมตอสวนควบคมของแอทโมสบอทเนต หวขอ รายละเอยด

Port 137 Protocol UDP (netbios) Query www.hosting.cn

28

รปท 4.7 การเชอมตอไปยงสวนควบคมของ Atmos บอทเนต 4.2.4 การตดตามพฤตกรรมทางเครอขายบนเครองจ าลองเปาหมายหลงตดตงรเวสทซพลงไป โดยใชซอฟตแวร Wire Shark พบการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP มรปแบบทเปนเอกลกษณ ดงน

ตารางท 4.8 รปแบบการเชอมตอสวนควบคมแบบรเวสทซพ หวขอ รายละเอยด

Port 9851 Protocol TCP

รปท 4.8 การเชอมตอไปยงสวนควบคมแบบรเวสทซพ

29

4.3 การเขยนเงอนไขตรวจสอบการเชอมตอสวนควบคม

4.3.1 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต จากรปแบบการเชอมตอสวนควบคมทผานมาจะพบวาแอเรสบอทเนตแมวาจะม Port เปน 8080 ทแตสวนนสามารถเปลยนแปลงไดภายหลงจงไมสามารถน ามาใชได และจะพบวามรปแบบเฉพาะตวตรงสวนของ PAYLOAD ของ HTTP ทสงออกมาประกอบดวยขอมล username, platform และ hostname และม HTTP_METHOD เปน POST จงสามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน

ตามรางท 4.9 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนต

4.3.2 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต ใชการเชอมตอดวย HTTP ทหมายเลข Port 80 ซงเปนการใชงานปกต ทเปนรปแบบเฉพาะจะอยท HTTP_URI ทจะเรยกไปทไฟล task.php และม PAYLOAD เปน “application/x-www-form-urlencoded” และสงขอมลคกก “Cookie: auth=” ไปดวยเสมอ แตขอมลท รบ – สงกนนนไดถกเขารหสลบไวจงท าใหไมสามารถดขอมลทสอสารกนได สามารถน ามาเขยนเงอนไข เพอตรวจสอบได ดงน

ตารางท 4.10 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนต

4.3.3 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนตจะเหนวาแอทโมสบอทเนตท าการเชอมตอไปยงสวนควบคมดวยโปรโตคอล UDP ดวยหมายเลขพอรท 137 ซงเปนพอรททใหบรการ netbios สามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน

alert tcp $HOME_NET any -> any any (msg:"CnC Connection Attemp Ares bot"; content:"POST"; http_method; content:"application/json"; nocase; http_header; content:"username"; content:"platform"; content:"hostname"; classtype:trojan-activity; sid:5000001; rev:3;)

alert tcp $HOME_NET any -> any any (msg:"CnC Connection Attemp Neutrino bot"; content:"POST"; http_method; content:"application/x-www-form-urlencoded"; nocase; http_header; content:"tasks.php"; content:"auth="; nocase; http_uri; classtype:trojan-activity; sid:5000002; rev:1;)

30

ตารางท 4.11 เงอนไขส าหรบตรวจสอบการเชอมตอสวนควบคมของแอทโมสบอทเนต

4.3.4 การเขยนเงอนไขเพอตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ พบวาท าการเชอมตอไปยงสวนควบคมดวยโปรโตคอล TCP ดวยหมายเลขพอรท 9851 ซงเปนพอรททก าหนดไวเมอตอนสรางรเวสทซพข นมา สามารถน ามาเขยนเงอนไขเพอตรวจสอบได ดงน

ตารางท 4.12 เง อนไขส าหรบตรวจสอบการเชอมตอสวนควบคมแบบรเวสทซพ

4.4 ผลการตรวจจบการเชอมตอสวนควบคมของบอทเนต

4.4.1 ทดลองตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตดวยเงอนไข การตรวจสอบมาตฐานทตดมากบโอเอสซมหลงจากทเปดใชงานแอเรสบอทเนตบนเครองจ าลองเปาหมายเปนเวลา 30 นาท ระบบไมไดแจงเตอนความผดปกตใด ทงทบนโอเอสซมเองมเงอนไขมาตฐานในการตรวจจบแอเรสบอทเนตอยแลว ดงรปท 4.9

รปท 4.9 แสดงเงอนไขการตรวจสอบแอเรสบอทเนตมาตฐานบนโอเอสซม 4.4.2 ทดลองตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตดวยเงอนไขทไดเขยนขนใหม พบวาระบบไดแจงเตอนพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนตจรง ดงรปท 4.10

alert tcp $HOME_NET any -> any 137 (msg:"CnC Connection Attemp Atmos bot"; content:"www.hosting.cn"; nocase; http_uri; classtype:trojan-activity; sid:5000003; rev:5;) alert tcp $HOME_NET any -> any 137 (msg:"CnC Connection Attemp Atmos bot"; content:"HFHFHCOE"; nocase; http_uri; classtype:trojan-activity; sid:5000004; rev:5;)

alert tcp $HOME_NET any -> any 9851 (msg:"Reverse TCP Connection Attemp."; classtype:trojan-activity; sid:5000008; rev:1;)

31

รปท 4.10 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของแอเรสบอทเนต 4.4.3 ทดลองตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนตดวยเงอนไข การตรวจสอบมาตฐานทตดมากบโอเอสซม หลงจากทเปดใชงานนวทรโนบอทเนตบนเครองจ าลองเปาหมายเปนเวลา 30 นาท ระบบไมไดแจงเตอนความผดปกตใด ทงทบน โอเอสซม เองมเงอนไขมาตฐานในการตรวจจบนวทรโนบอทเนตอยแลว ดงรปท 4.11

รปท 4.11 แสดงเงอนไขการตรวจสอบนวทรโนบอทเนตมาตฐานบนโอเอสซม

32

4.4.4 ทดลองตรวจสอบการเชอมตอสวนควบคมของนวทรโนบอทเนตดวยเงอนไขทไดเขยนขนใหม พบวาระบบไดแจงเตอนพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนตจรง ดงรปท 4.12

รปท 4.12 แสดงผลการตรวจพบความพยายามเชอมตอสวนควบคมของนวทรโนบอทเนต

33

4.5 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต

จากการศกษาเทคนคและลกษณะการเชอมตอสวนควบคมของบอทเนตสามารถพจารณาขอแตกตางได ดงน

ตารางท 4.13 เปรยบเทยบการเชอมตอสวนควบคมของบอทเนต หวขอพจารณา แอเรสบอทเนต นวทรโนบอทเนต

หมายเลขพอรททใชในการเชอมตอ

เปลยนแปลงไดอสระ 80

โปรโตคอลทใช HTTP HTTP HTTP Method POST POST URI ทใชเชอมตอ มเอกลกษณเฉพาะตว เชน

http://192.168.56.201:8080/api/zombie_8796753825073/hello

มเอกลกษณเฉพาะตว เชน http://192.168.56.101/panel/tasks.php

HTTP Header มเอกลกษณเฉพาะตว เชน application/json member key : username, platform, hostname

มเอกลกษณเฉพาะตว เชน application/x-www-form-urlencoded Cookie: auth=bc00595440e801f8a5d2a2ad13b9791b

ความสามารถในการพลางตว

สามารถด payload ทสงได มการเขารหส payload ทสงท าใหยากตอการตรวจสอบ

ความถในการเชอมตอสวนควบคม

ทกๆ 20 วนาท ท าใหตรวจอบไดงาย

มการทงชวงเวลาแบบสมท าใหยากตอการตรวจสอบ

4.6 เปรยบเทยบเงอนไขการตรวจสอบ

จากการทดลองเปรยบเทยบระบบตรวจสอบมาตรฐานทตดตงมากบระบบโอเอสซมกบแบบทเขยนเงอนไขเพมเตมสามารถพจารณาได ดงน

ตารางท 4.14 เปรยบเทยบเงอนไขการตรวจสอบของโอเอสซมกบแบบทเขยนเงอนไขเพมเตม บอทเนตททดสอบ โอเอสซม เขยนเพมเตม

แอเรสบอทเนต มแตไมสามารถตรวจสอบได สามารถตรวจสอบได นวทรโนบอทเนต มแตไมสามารถตรวจสอบได สามารถตรวจสอบได

34

4.7 วเคราะหผลการทดลอง

จากการทดลองทผานมาจะเหนไดวาระบบตรวจจบการเชอมตอสวนควบคมของบอทเนตทตดตงมากบโอเอสซมแบบดงเดมแมวาจะมเงอนไขในการตรวจสอบบอทเนตทน ามาทดลองอยแตกยงไมสามารถตรวจจบการเชอมตอสวนควบคมได เนองมาจากเงอนไขทมากบระบบโอเอสซมนนยงไมครอบคลมเพยงพอ ดงในตารางท 4.9 เปนเงอนไขทใชตรวจสอบการเชอมตอสวนควบคมของแอเรสบอทเนตทมากบระบบโอเอสซม จะเหนวาโอเอสซมใชการตรวจสอบ HTTP Header โดยดท user-agent เทานน แตจากทไดตดตามพฤตกรรมการเชอมตอสวนควบคมของแอเรสบอทเนตทน ามาทดลองจะเหนไดวาสวนของ Header ไมตรงตามเงอนไขทมในโอเอสซมจงสงผลใหไมสามารถตรวจสอบได

ตารางท 4.15 เง อนไขทใชตรวจสอบของแอเรสบอทเนตทมากบระบบโอเอสซม

สวนนวทรโนบอทเนตนนแมวาจะใชการเชอมตอสวนควบคมดวยโปรโตคอล HTTP แตกไมสามารถจบ PAYLOAD ทบอทเนตใชสอสานกบสวนควบคมได เนองจากมการเขารหสลบไว จงท าไดเพยงตรวจสอบสวนของ Header และ URL ทบอทเนตท าการเชอมตอไปยงสวนควบคมเทานน ซงในสถานการจรงหากท าการแกไขซอรสโคดเปลยน URL กสามารถหลบการตรวจจบไดแลว สวนตวบอทเนตทน ามาศกษาพฤตกรรมการเชอมตอสวนควบคมนน พบวาใชโปรโตคอล HTTP ในการเชอมตอสวนควบคมเปนหลก อาจจะแตกตางในรายละเอยดของ Header และ URL แตกไดแสดงใหเหนวาโปรโตคอล HTTP ถกน ามาใชในการควบคมสงการบอทเนตอย เหตผลสวนหนงมาจากเปนโปรโตคอลและพอรทพนฐานททกเครอขายอนญาต ใหเชอมตอออกไปขางนอก และใชงานไดทวไป จงท าใหมความเปนไปไดสงทเครองบอทเนต จะสามารถเชอมตอสวนควบคมไดส าเรจ

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET P2P Ares traffic"; flow:established,to_server; content:"|0d 0a|User-Agent|3a| Ares"; reference:url,www.aresgalaxy.org; reference:url,doc.emergingthreats.net/bin/view/Main/2001059; classtype:policy-violation; sid:2001059; rev:9;)

35

บทท 5

สรปผลการด าเนนงาน

5.1 สรปผล

จากผลการศกษารปแบบการเชอมตอสวนควบคมของบอทเนตจะพบวาโปรโตคอล HTTP ถกน ามาใชในการเชอมตอสวนควบคมของบอทเนต ประกอบกบโปรโตคอล HTTP กเปนโปรโตคอลหลกทอนญาตใหใชงานไดในทกเครอขายจงเปนเหตใหมความเปนไปไดสงยงขนทบอทเนตจะสามารถเชอมตอกลบไปยงสวนควบคม ได ส า เร จ ห าก ระบ บ ต ร ว จส อ บ ไมเพยงพอ จากตวอยางของบอทเนตทน ามาศกษาเปนบอทเนตทไดรบการเปดเผยซอรสโคดใหสามารถน าไปพฒนาตอจนท าใหการตรวจสอบเปนไปไดยากยงขน แตจากการศกษาทผานมาท าใหเราไดทราบถงรปแบบและแนวทางในการตรวจสอบสงผดปกตในเครอขาย การเฝาสงเกตพฤตกรรมทางเครอขายทผดปกตจนน าไปสการตรวจสอบและออกแบบระบบตรวจสอบพฤตกรรมไมพงประสงคทเกดขน และแจงเตอนใหผดแลระบบทราบและแกไขไดทนทวงท สงทส าคญทสดในการรบมอกบภยคกคามทางไซเบอรกคอการเหนถงภยคกคามทเกดขน ในเครอขายไดรวดเรวทสด ซงจากการศกษาการเชอมตอสวนควบคมของบอทเนตในครงน กเปนอกแนวทางหนงในการไดมาซงการมองเหนถงภยคกคามในเครอขายไดเปนอยางด

5.2 ประโยชนทไดรบ

การศกษาการเชอมตอสวนควบคมของบอทเนตเปนตวอยางทดในการปองกนเชงรก ทผดแลระบบขนาดเลก – กลาง สามารถน าไปเปนแนวทางได และเงอนไขในการตรวจสอบบอทเนตทไดมากยนยนแลววาสามารถตรวจจบการเชอมตอสวนควบคมของบอทเนตไดจรง และการน าซอฟตแวรโอเอสซมมาใชเพอเปนเครองมอในการบรหารความมนคงปลอดภย ในเครอขายกสามารถตอบสนองการใชงานไดเปนอยางด และภายในระบบของโอเอสซมกยงมเครองมออนๆ รองรบการใชงานอยางเพยงพอ

5.3 ขอแนะน า

5.3.1 จากการใชงานซอฟตแวรโอเอสซมในสวนของการตรวจสอบภยค กคาม ทางเครอขายโดยใชซรคาตะพบวาซอฟตแวรทงสองสามารถท างานรวมกนไดเปนอยางดสามารถแจงผลไดอยางรวดเรวหลงจากทพบเหตการณตรงตามเงอนไข 5.3.2 ในการน าระบบการตรวจสอบดวยโอเอสซมนไปใชงานจรงนอกจากการอพเดทเงอนไขการตรวจสอบจากผพฒนาอาจจะไมเพยงพอ โดยจะเหนไดจากเงอนไขของโอเอสซมแบบดงเดมนนไมสามารถตรวจจบบอทเนตททดลองได 5.3.3 ซอฟตแวรโอเอสซมมจดเดนอกเรองในสวนของการแลกเปลยนขอมลระหวางกน ท าใหสามารถแลกเปลยนขอมลภยคกคามรวมกนได

36

5.4 ปญหา

5.4.1 ขอจ ากดและความเขากนไดของซอฟตแวรกบฮารดแวร ในชวงของการปฏบตชวงแรกพบปญหาเรองซอฟตแวรอเอสเอกซไอไมสามารถตดตงลงบนเครองคอมพวเตอรทม ได จงไดน าซอฟตแวร Vmware Player มาทดลองใชกพบขอจ ากด เรอ งของการท า Promiscuous mode สงผลใหไมสามารถจบ Network Traffic ได 5.4.2 บอทเนตทจะใชในการศกษาอยในรปแบบทไมพรอมใชงาน มเงอนไขในการน าไปใชทซบซอนจงท าใหเปนอปสรรคในการเตรยมระบบเพอทดลอง 5.4.3 ระบบโอเอสซมตองการทรพยากรณในการท างานทสง

5.5 แนวทางในการแกปญหา

5.5.1 ตองมตวเลอกในการใชซอฟตแวรไวอยางหลากหลายและตองหาขอมลขอจ ากดของซอฟตแวรแตละตวเอาไวเพอประกอบการพจารณา 5.5.2 เลอกใชบอทเนตทเปนทนยมจะท าใหมแหลงขอมลทหลากหลาย 5.5.3 น าเทคโนโลยคลาวดมาใชงานเพอแกปญหาดานฮารดแวร

37

เอกสารอางอง

[1] จตชย แพงจนทร, Master in Security 3rd Edition, Infopress [2] AlienVault. OSSIM The Open Source SIEM. [Online]. Available: https://www.alienvault.com/products/ossim [3] AlienVault. Botnet C&C servers issue commands in many ways. [Online]. Available: https://www.alienvault.com/blogs/security-essentials/command-and-control-server-detection-methods-best-practices [4] Ben Rossi Ben Rossi. (2018, Jan 1). How to detect and remove botnets from your network: a best practice guide. [Online]. Available: http://www.information-age.com/how-detect-and-remove-botnets-your-network-best-practice-guide-123460613/ [5] Suricata with OSSIM. [Online]. Available: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_with_OSSIM [6] sweetsoftware. [Online]. Available: https://github.com/sweetsoftware/Ares [7] Neutrino HTTP Botnet v5.1. (2018, Jan 1). [Online]. Available: http://freebotnet.blogspot.com/2017/04/neutrino-http-botnet-v51.html [8] Prawez Samani. (2018, Jan 1). Ares : Python Botnet and Backdoor. [Online]. Available: https://www.linkedin.com/pulse/ares-python-botnet-backdoor-samani-looking-for-new-opportunity- [9] Suricata Rules. [Online]. Available: https://suricata.readthedocs.io/en/latest/rules/index.html [10] Security Fluxver 1.21. (2018, Jan 1). Adding custom snort signatures to OSSIM. [Online]. Available: http://www.securityflux.com/?p=83 [11] Inside Neutrino botnet builder. [Online]. Available: https://blog.malwarebytes.com/threat-analysis/2015/08/inside-neutrino-botnet-builder/

38

ภาคผนวก ก

การตดตงโอเอสซม โอเอสซมเปนซอฟตแวรประเภท SIEM แบบ Open Source ภายใตระบบปฎบตการ เดเบยนของบรษท AlienVault โอเอสซมรวมเครองมอ Open Source ตางๆทเกยวกบระบบ Security และ Monitoring เขาไวดวยกน โดยโอเอสซมสามารถท าการ Correlation Logs และประมวลผลเพอหาภยคกคามได โดยรบ Logs ตางๆ จาก Sensor ซงตว Sensor กเปนเสมอน Log Collector Server ท รวมฟ งกชน การท างานจากอปกรณ Open Source ต างๆ เชน Arpwatch, OpenVAS, Snort, Suricata, Tcptrack, Ntop, Nagios และ OSSEC เปนตน สงทตองเตรยมกอนตดตงโอเอสซม 1. ไฟล ISO ของโอเอสซม ปจจบน เปนเวอรชน 5.4 สามารถดาวน โหลดไดท https://www.alienvault.com/products/ossim/download 2. ซ อ ฟ ต แ ว ร Virtual Box ป จ จ บ น เว ร ช น 5.2 ส าม ารถ ด าว น โห ลด ได ท https://www.virtualbox.org/wiki/Downloads ขนตอนการตดตงโอเอสซม 1. เปดซอฟตแวร Virtual Box เลอกไปท New เพอสรางเครองใหม ตงชอเรยกเครองโดยก าหนด Type เปน Linux ก าหนด version เปน Debian 64 bit

รปท ก.1 สรางเครองโอเอสซมใหม

39

2. ก าหนด Memory size ไวท 8192 MB ก าหนด Hard disk ขนาด 16 GB จากนนกด Create

รปท ก.2 ก าหนด Memory size

3. เลอกไปท Setting –> Storage -> Controller IDE จากนนเลอกไปยงไฟล ISO ของโอเอสซมทไดดาวนโหลดมา ทหวขอ Network -> Adapter1 เลอกเปน Host only Adapter จากนนกด OK

รปท ก.3 การตงคา Network และ Storage

40

4. เลอกไปท Start เพอเปดเครองเลอกไปท Install AlianVault OSSIM 5.4

รปท ก.4 เลอกตดตงโอเอสซม

5. ตงคาภาษา ประเทศ และแปนพมพ จากนนกด Continuous

รปท ก.5 การตงคาภาษา

41

6. ตงคาเครอขายแลวกด Continuous

รปท ก.6 การตงคาเครอขาย

7. ก าหนดรหสผาน ตงคาเวลา Hard disk แลวกด Continue จะเปนการเรมตดตงโอเอสซม และเรมระบบใหมอกครง จากนนใหเขาใชงานดวย user root และรหสผานทใสไวตอนตดตง

รปท ก.7 ก าหนดรหสผาน

42

8. เมอ login เขาระบบโอเอสซมไดแลวใหเขาไปตงคาเครอขายโดยไปท System preference -> Configure Network -> Setup Network Interface เล อ ก interface ท เรา ใช งาน และต งค าหมายเลขไอพ

รปท ก.8 ก าหนดหมายเลขไอพใหกบโอเอสซม

9. ตอไปใหเลอกวาจะเอา Interface ใดเปนตวจดการระบบ โดยเขาไปท System preference -> Configure Network -> Setup Management Network

รปท ก.9 ตงคา Management Interface

43

10. Apply การตงคาทงหมดใหกบโอเอสซมโดยไปท AlienVault Setup แลวเลอก Apply All Change กดยนยนด าเนนการ ถงข นตอนนเราสามารถเขาใชงานโอเอสซมผานหนาเวบไดแลว

รปท ก.10 Apply การตงคาทงหมดใหกบโอเอสซม

11. เขาใชงานโอเอสซมผานหนาเวบโดยเรยกไปท https://192.168.56.200 ในการเขาใชงานผานหนาเวบครงแรกจ าเปนตองสราง admin กอนโดยการใสชอ รหสผาน และ email ในหนาสมครใชงาน

รปท ก.11 หนาสมครใชงานโอเอสซม

44

12. ตอไปจะเปนหนา login เขาใชงานโอเอสซมใหเขาใชงานดวย user admin รหสผานเดยวกนกบ root ทเขาผานหนาเครอง หลงจากนนจะพบกบหนา Getting Start Wizard ใหกดขามไปเลยเพราะเราจะก าหนดคาเองภายหลง

รปท ก.12 หนา login เขาใชงานโอเอสซม

รปท ก.13 หนาแรกของโอเอสซม

45

13. ตงคา Sensor ของโอเอสซมโดยเขาไปท Configuration -> Deployment ดบเบลคลกทตว Sensor จากนนไปท Sensor Configuration -> Detection จากนนใหใสหมายเลขไอพของเครอขายทตองการ Monitor ในชอง Monitored Networks จากนนกด Apply Change

รปท ก.14 การตงคา Monitored Network ของ Sensor โอเอสซม

14. จากนนทแทป Collection เปนการก าหนดวาจะใหโอเอสซมใชเงอนไขใดบางในการตรวจสอบภยคกคามใหเลอกเงอนไขทมมาใหทงหมด

รปท ก.15 ก าหนดเงอนไขในการตรวจสอบใหกบโอเอสซม

การใสเงอนไขในการตรวจสอบเพมเตมใหกบโอเอสซม เราสามารถใสเงอนไขเพอใหซรคาตะทท าหนาทเปน IDS บนตวโอเอสซมตรวจสอบเพมเตมไดโดยหาร remote เขาไปทระบบโอเอสซม มข นตอนดงน 1. เปดโปรแกรม Putty แลว shell ไปทระบบโอเอสซม ซงในทนก าหนดใหเปนไอพ 192.168.56.200 จากนนเลอกไปทหวขอ Jailbreak System จากนนยนยนอกครง

46

รปท ก.16 เขาใชงานโอเอสซมดวยโปรแกรม Putty

2. จากนนเขาไปท path ของซรคาตะ IDS ดวยค าสง ตารางท ก.1 ค าสงเขาไปยง path ของซรคาตะ

รปท ก.17 สวนจดเกบเงอนไขในการตรวจสอบดวยซรคาตะทงหมด

3. เงอนไขทเราจะใสเขาไปเพมนนสามารถเพมไดทไฟล local.rules เทานน เพราะจะไมถกเขยนทบจากระบบเมอมการอพเดท การแกไขใหเราใชค าสงดงน ตารางท ก.2 ค าสงแกไขเง อนไขของซรคาตะ

รปท ก.18 ตวอยางการแกไขไฟล local.rules

4. แกไขไฟลแลวท าการบนทกคาใหเรยบรอย หลงจากนนให restart service ซรคาตะ เพอใหเรมอานเงอนไขใหมทเราใสไป ดวยค าสงดงน ตารางท ก.3 ค าสงเรมท างานใหมของซรคาตะ

cd /etc/suricata/rules/

vi local.rules

47

5. ตอนนซรคาตะไดดงเงอนไขใหมทใสใหไปท างานแลว แตสวนจดการของโอเอศซมยงไมรจกเงอนไขนเราจงตองท าการอพเดทฐานขอมลของโอเอสซมกอน โดยการรนสครปต ดงน ตารางท ก.4 ค าสงเพมเงอนไขการตรวจสอบในฐานขอมลใหระบบโอเอสซม

6. ตรวจสอบเงอนไขทเราใสเขาไปในระบบโอเอสซมโดยไปท Configuration -> Threat Intelligence -> Data Source -> AlienVault NIDS คลกทเครองหมายรปแวนขยาย จะพบเงอนไขทเราใสเขาไปใหมโดยสงเกตทคอรม Event ID

รปท ก.19 ตรวจสอบเงอนไขใหมทเพมใหกบซรคาตะ

การใชงานโอเอสซมในการตรวจจบการเชอมตอสวนควบคมบอทเนต หลงจากทเราไดเพมความสามารถในการตรวจจบการเชอมตอสวนควบคมของบอทเนตใหกบซรคาตะซงเปน IDS หลกของโอเอสซมแลว และระบบโอเอศซมกรจกเงอนไขใหมทเราใสเขาไปแลวตอมากเปนการเฝาตดตามระบบวาจะตรวจสอบพบสงผดปกตหรอไปโดยเขาไปดแบบ real time ไดท Analysis -> Security Events (SIEM) -> Real-Time

รปท ก.20 ตดตามการตรวจจบสงผดปกตแบบ Real-Time

/etc/init.d/suricata restart

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/suricata/rules/

48

ภาคผนวก ข การตดตงแอเรสบอทเนต

แอเรสบอทเนตจ าเปนตองตดตงบนระบบทรองรบไพธอนเวอรช น 2.7 ประกอบดวย 2 สวนไดแกสวนควบคม และสวนบอทเนต โดยสวนควบคมจะตดตงลงบนระบบปฎบตการ Kali Linux เวอรช น 2016.1 และสวนบอทเนตจะตดตงลงบนเครองวนโดวเซเวน 32 บต สงทตองเตรยมกอนการตดตงแอเรสบอทเนต 1.เครอง Kali Linux 2016.1 เปดใชงาน Promiscuous mode 2. เครองวนโดวเซเวน 32 บต ทรองรบไพธอนเวอรช น 2.7 Promiscuous mode 3. ซอฟตแวร Virtual Box 4. ไฟลตดตงแอเรสบอทเนตสามารถดาวนโหลดไดท https://github.com/sweetsoftware/Ares ขนตอนการตดตงแอเรสบอทเนต 1. น าไฟลตดตงไปไวในเครอง Kali Linux จากนนท าการแตกไฟลออกมาแลวเขาไปทไดเรกทรอร ares ตดตง package ไพธอนทแอเรสตองการดวยค าสง ตารางท ข.1 แสดงค าสงตดตงไพธอน package ส าหรบแอเรสบอทเนต

รปท ข.1 ค าสงตดตงไพธอน package ส าหรบแอเรสบอทเนต

2. เขาไปทไดเรกทรอร server เตรยมฐานขอมลส าหรบแอเรสบอทเนตดวยค าสง ตารางท ข.2 แสดงค าสงเตรยมฐานขอมลส าหรบแอเรสบอทเนต

# pip install –r requirements.txt

49

รปท ข.2 ค าสงเตรยมฐานขอมลส าหรบแอเรสบอทเนต

3. เปดใชงานสวนควบคมของแอเรสบอทเนตดวยค าสง ตารางท ข.3 แสดงค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต

รปท ข.3 ค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต

Server # ./ares.db initdb

Server # ./ares.db initdb

50

4. ทดลองเรยกใชงานดวย Web browser เปดไปท http://localhost:8080 เมอเขามาครงแรกจะตองตงรหสผานกอน

รปท ข.4 เรยกใชงานสวนควบคมแอเรสบอทเนต

5. เมอเขาใชงานไดส าเรจจะพบกบหนาควบคมบอทเนต

รปท ข.5 สวนควบคมแอเรสบอทเนต

6. ค าสงทสวนควบคมสามารถสงงานแอเรสบอทเนตใหท าตามไดแกค าสง Screenshot เปนการถายภาพหนาจอปจจบนบนเครองบอทเนตแลวสงมายงสวนควบคม Zip เปนการสงใหเครองบอทเนตบบอดไฟล Upload สงใหเครองแอเรสบอทเนตอพโหลดไฟลทตองการมาทสวนควบคมโดยไฟล ทงหมดจะถกเกบไวทไดเรกทรอร uploads ของบอทเนตแตละเครอง นอกจากนยงสามารถรนค าสงของระบบปฏบตการได เชน dir, cd เปนตน

51

รปท ข.6 ตวอยางการสงใหเครองบอทเนตรนค าสง dir

รปท ข.7 ตวอยางไฟลทไดมาจากแอเรสบอทเนต

7. น าไฟลทงหมดในไดเรกทรอร agent ไปไวบนเครองบอทเนตทเปนวนโดวเซเวน จากนนเปด command prompt แลวเขาไปยงไดเรกทรอร agent เปดใชงานบอทเนตดวยค าสง ตารางท ข.4 แสดงค าสงเปดใชงานสวนควบคมของแอเรสบอทเนต

Python agent.py

52

รปท ข.8 ตวอยางการเปดใชงานแอเรสบอทเนต

53

ภาคผนวก ค การตดตงนวทรโนบอทเนต

การตดตงนวทรโนบอทเนต นวทรโนบอทเนตพฒนาดวยประกอบดวย 3 สวนดวยกนไดแก สวนควบคมพฒนาดวยภาษา PHP สามารถรนไดบนเวบเซอรเวอรทรองรบ PHP ชดโปรแกรม builder ส าหรบใชสรางบอสเนตไปตดตงบนเครองเปาหมายพฒนาดวย vs2013 และสวนทเปน pay load ท าหรบไปตดตงบนเครองเปาหมายเปนไฟล .exe สงทตองเตรยมกอนการตดตงนวทรโนบอทเนต 1. เครอง Kali Linux ทรองรบ PHP Mysql และ Apache 2. เครองวนโดวเซเวนทรองรบ visual studio 2013 3. ซอรสโคดของนวทรโนบอทเนตสามารถดาวโหลดไดท http://freebotnet.blogspot.com/2017/04/neutrino-http-botnet-v51.html ขนตอนการตดตงนวทรโนบอทเนต 1. แตกไฟลซอรสโคดของนวทรโนออกและน าไดเรกทรอรชอ panel ไปใสใน document root บนเครอง Kali Linux ในทนคอ /var/www/html

รปท ค.1 ไฟลส าหรบรนสวนควบคมของนวทรโนบอทเนตอยใน panel

2. สราง Database ส าหรบใชงานกบสวนควบคมบนเครองเวบเซอรเวอร ในทนตงชอ Database วา nue

54

รปท ค.2 สราง Database ชอ nue ส าหรบใชงานในสวนควบคม

3. ตดตงนวทรโนบอทเนตโดยเรยกไปท http://localhost/panel//install.php จากนนใสขอมลเพอก าหนดสวนของ admin และใสขอมลการเชอมตอ Database จากนนกดตดตง หากตดตงส าเรจระบบจะแจง url ส าหรบเขาใชงานครงแรกซงจะมคา authkey มาดวย ใหเรยกใชงานอกครงดวย url ทไดมา

รปท ค.3 ก าหนดคาเพอตดตงสวนควบคมของนวทรโนบอทเนต

55

4. เมอเจอหนา login ใหขอมล admin ในขนตอนตดตงลงไป หาก login ส าเรจจะพบกบหนาควบคมดงรป

รปท ค.4 หนาสวนควบคมหลก

5. น าซอฟตแวรสวนของ builder มาสราง payload ส าหรบตดตงบนเครองเปาหมาย โดยเปดไฟล Neutrino Builder.exe ตวโปรแกรมจะใหใสขอมลของสวนควบคมใหใสเปน http://192.168.56.101/panel/tasks.php ก าหนด bin ID เปนตวเลข 999 หลงจากนนจะไดไฟลชอ payload.exe เพอสงไปใหเครองเปาหมายตดตง

รปท ค.5 การสราง pay load ส าหรบตดตงบอทเนต

6. น าไฟล payload.exe ไปตดตงบนเครองเปาหมาย และเขาไปตรวจสอบทสวนควบคมจะพบวามการเชอมตอเขามายงสวนควบคมจากเครองทตดตง payload.exe กอนหนาน

รปท ค.6 เครองนวทรโนบอทเนตเชอมตอมายงสวนควบคมไดส าเรจ