เมื่อเดือนสิงหาคมปีที่แล้วมี hacker กลุ่มหนึ่งชื่อว่า The Shadow Brokers อ้างว่าขโมยเครื่องมือเจาะระบบจาก NSA ซึ่งจากข่าวเก่าๆเราอาจจะเคยได้ยินว่า Edward Snowden เคยออกมาพูดว่า NSA นี้มีเครื่องมือในการเจาะระบบเพื่อใช้ในงานสงครามไซเบอร์มากมายทำกันเป็นจริงเป็นจัง การที่โค้ดพวกนี้หลุดออกมาก็เป็นการยืนยันว่าเป็นเรื่องจริง อเมริกาใช้อาวุธทางไซเบอร์เพื่อหาข่าวและโจมตีเป้าหมายจริง หลังจาก hacker กลุ่มนี้ได้เครื่องมือเจาะระบบมาแล้วก็เอามาประมูลขาย 1 ล้าน Bitcoins พร้อมกับปล่อยเครื่องมือโจมตี firewall, router บางส่วนเพื่อพิสูจน์ว่ามีของจริง แต่แล้วก็ต้องอกหักเพราะไม่มีคนร่วมประมูลเท่าที่ควร เมื่อวันที่ 8 เมษายนที่ผ่านมานี้ hacker กลุ่มดังกล่าวได้ปล่อย key ในการถอดรหัสนั้นออกมาให้ฟรีๆเพื่อประท้วง Trump แบบนี้ก็หวานหมูซิครับ key คือ CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN หลังจากที่แอดมิน download ไฟล์นั้นเก็บไว้นานจนลืมไปแล้ว ก็ได้เวลาเอา key มาเปิดกล่อง pandora นี้สักที

ยังไม่พอเท่านั้น hacker กลุ่มดังเก่ายังได้ปล่อยโค้ดโจมตีช่องโหว่ Windows ที่เรียกได้ว่าสร้างความเสียหายเป็นวงการมากๆ เพราะเป็นโค้ดโจมตี SMB service ที่มีมากับ Windows ทำให้ผู้โจมตีแค่ใส่ IP เป้าหมายที่เป็น Windows ก็สามารถ hack เข้าไปควบคุมเครื่องเป้าหมายได้ทันทีดูคลิปได้ท้ายบทความครับ

จริงๆแล้วโค้ดโจมตีช่องโหว่ที่ hacker กลุ่มนั้นปล่อยออกมามีหลายตัวแอดมินเองยังเทสไม่หมดลองดูตารางด้านล่างคร่าวๆ ว่ามีโค้ดโจมตีตัวไหนสามารโจมตี Windows versions ไหนได้บ้าง

จากตารางด้านบนจะเห็นว่ามี exploit อยู่ 3 ตัวที่สามารถโจมตี Windows ได้แทบทุก versions คือ ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE ใน 3 ตัวนี้ผมเลือกเอาตัว ETERNALBLUE มาโชว์เป็น proof of concept ให้ดูว่าสามารถใช้โจมตีได้จริงและใช้ meterpreter เป็น payload หลักในการโจมตีครั้งนี้ตามคลิปด้านล่างครับ ตอนนี้เหล่า information security profesesional ก็กำลังแกะกันอยู่ครับว่าไฟล์ที่หลุดมานั้นมันมีอะไรน่าสนใจและ exploits ตัวไหนใช้กับระบบไหนได้บ้าง นอกจาก exploits แล้วก็ยังมี exploitation framework(Fuzzbunch), RAT, ไฟล์ความลับ, … ถ้ามีอัพเดตเพิ่มเติมผมจะอัพเดตบน https://www.facebook.com/mayase7en

ในส่วนการป้องกันนั้นตามนี้เลยครับ
1. update Windows OS ให้เป็น version ล่าสุดเพราะตอนนี้มี patched จาก Microsoft ออกมาแก้ไขช่องโหว่แล้ว
2. ถ้ามี IDS/IPS ให้ update rules เพื่อตรวจจับ/ป้องกัน
3. hardening ที่ตัวเครื่องเช่น ไม่ได้ใช้ SMB services ก็ปิดไปหรือใช้ personal firewall block port 445 ก็ได้ครับ

ทิ้งท้ายด้วยคลิปตัวอย่างการโจมตีระบบด้วยโค้ดที่ทาง The Shadow Brokers ปล่อยออกมาพร้อมใช้ meterpreter ในการควบคุมเครื่องเป้าหมาย

Reference:
1. https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1
2. https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
3. https://twitter.com/etlow/status/854164441973370881/photo/1