ว่าด้วยเรื่องของ xp_cmdshell

หากกล่าวถึง xp_cmdshell บรรดาแฮกเกอร์มือเก๋าหรือหัดใหม่ก็คงรู้จักกันเป็นอย่างดี เนื่องจาก xp_cmdshell เป็น extend stored-procedure ของ Microsoft SQL Server ซึ่งมีความสามารถพิเศษคือ สามารถใช้รันคำสั่งของระบบปฏิบัติการได้

exec master..xp_cmdshell 'dir'

ซึ่งหากอยากจะให้ MSSQL ของเราปลอดภัยจากการโดนยิงในระดับนึงแล้ว เราควรทำการปิดการใช้งาน xp_cmdshell ด้วยคำสั่งดังต่อไปนี้

exec sp_dropextendedproc 'xp_cmdshell'

คำสั่งดังกล่าวต้องรันด้วยสิทธิของ Administrator หรือ sa ของ MSSQL ถึงจะสามารถดร็อป stored-procedure ดังกล่าวได้ครับ

อย่างไรก็ตามวิธีการ drop stored-procedure ดังกล่าวไม่สามารถป้องกันการโดนโจมตีจาก xp_cmdshell ได้ร้อยเปอร์เซ็นต์ เนื่องจากหากผู้บุกรุกมีสิทธิสูงอย่างเพียงพอ ผู้บุกรุกสามารถใช้คำสั่งดังต่อไปนี้เพื่อดึง xp_cmdshell กลับมาได้

exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'

ดังนั้นเพื่อความชัวร์จึงควรลบไฟล์ xplog70.dll ออกไปจากระบบด้วย ซึ่้งการลบไฟล์นี้ออกไปจากระบบ จะทำให้ stored-procedure ดังต่อไปนี้ไม่สามารถใช้งานได้

• xp_sscanf
• xp_sprintf
• xp_msver
• xp_enumgroups
• xp_logevent
• xp_loginconfig
  

นอกจากนี้การดร็อป xp_cmdshell จะมีผลต่อ stored-procedure อีกหลายน่ะ ติดตามได้จากที่นี่เด้อ http://support.microsoft.com/kb/891984

หมายเหตุ: ถ้ามีการลง Services Pack ของ MSSQL ต้องคอยตรวจสอบด้วยว่าไฟล์ xplog70.dll ได้กลับมาหรือไม่ ในกรณีที่เราลบไฟล์นี้ออกไปจากระบบแล้ว

การดูเวลาที่สร้างและเวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ PDF

วันก่อนเจอ case เกี่ยวข้องกับการปลอมเอกสาร PDF ก็เลยนำมาเล่าสู่กันฟังเด้อ :) โจทย์ก็คือเราจะสามารถทราบได้อย่างไรว่าไฟล์เอกสาร PDF ที่ทำการตรวจสอบนั้น ถูกสร้างขึ้นเมื่อใดและถูกแก้ไขครั้งสุดท้ายเมื่อใด

วิธีการดูค่าเวลาต่างๆของไฟล์ PDF นั้นจะดูที่ค่า metadata ของไฟล์ PDF นั่นเอง ซึ่งสามารถดูได้ด้วยวิธีการนี้

• เปิดไฟล์ PDF ที่ต้องการตรวจสอบด้วยโปรแกรม Adobe Reader
• คลิกที่เมนู File แล้วเลือกที่ Document Properties...

• ที่ tab ชื่อ Description จะมีข้อมูลเกี่ยวข้องกับไฟล์ PDF อยู่ไม่ว่าจะเป็น ผู้ที่ทำการสร้างไฟล์ (Author), เวลาที่ทำการสร้างไฟล์ (Created) หรือ เวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ (Modified)

เวลาที่ทำการสร้างไฟล์และเวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ที่ดูด้วยวิธีนี้นั้นมีความน่าเชื่อถือมากกว่าวิธีการดูด้วยคำสั่ง dir เนื่องจากค่าที่ได้จากคำสั่ง dir นั้นจะเปลี่ยนแปลงไปเมื่อไฟล์ถูก copy หรือดาวน์โหลดมาจากที่อื่น ในขณะที่ค่าเวลาที่ดูด้วยวิธีการดังกล่าวนั้นจะไม่เปลี่ยนแปลงถึงเม้ว่าไฟล์นั้นจะถูกย้ายไปไว้ที่อื่นก็ตาม ซึ่ง forensic investigator สามารถใช้ค่าเวลาดังกล่าวในการวิเคราะห์และสร้างความสัมพันธ์ของเหตุการณ์ได้

อย่างไรก็ตามค่า metadata ดังกล่าวของไฟล์ PDF นั้นสามารถปลอมแปลงได้ ซึ่งอาจทำให้ผู้ที่ทำการปลอมแปลงเอกสารนั้น ทำการปลอมแปลงวันเวลาที่สร้างเอกสารให้เป็นวันที่เกิดขึ้นก่อนเอกสารของฝ่ายเรา ทำให้ดูเหมือนว่าเอกสารของเราเป็นของปลอม ดังนั้น forensic investigator จึงควรระวังตรงจุดนี้ไว้ สำหรับวิธีการรับมือกับการปลอมเวลาการสร้างไฟล์ PDF นั้นสามารถทำได้โดยการทำ construct timeline ของ activitity ของไฟล์บนระบบ ซึ่งถ้า activity timeline ไม่ตรงกับเวลาที่ไฟล์ถูกสร้างขึ้น เราจะสร้างใช้ข้อมูลตรงจุดนี้ทำการแย้งได้ (วิธีนี้จะใช้ได้ผลก็ต่อเมื่อค่า MAC ของไฟล์บนระบบไม่ถูกปลอมแปลงให้สัมพันธ์กับค่า metadata ของไฟล์ PDF)

P.S. การแก้ไขค่า metadata ของไฟล์ PDF จะทำให้ค่า checksum ของไฟล์เปลี่ยนไปด้วย ดังนั้นเราจึงควรเก็บ checksum ของไฟล์เราไว้ด้วยเสมอ

ความสำคัญของ Audit Process Tracking

หากใครทำการปรับแต่ง Log ของระบบปฏิบัติการ Windows ก็คงจะพบคุ้นเคยกับคำว่า Audit Process Tracking กันมาบ้าง เจ้า Audit Policy ตัวนี้จะทำการเก็บล็อคข้อมูลของโปรเซสที่ทำงานบนระบบ ซึ่งโดยปกติแล้วเราก็ไม่ได้สนใจแล้ว Audit Policy ตัวนี้กันสักเท่าไหร่ (เพราะปกติจะสนใจแต่ Logon/Logoff น่ะนะ)

แต่แล้วหลังจากที่ได้อ่านข้อมูลจากที่นี่ ผมก็เริ่มสนใจเจ้า Audit Policy ตัวนี้ขึ้นมาทันที เนื่องจากเจ้า Audit Policy ตัวนี้
ให้ข้อมูลที่ค่อนข้างจะมีประโยชน์มากสำหรับการตรวจสอบระบบหลังจากเกิดการบุกรุกขึ้น โดยเฉพาะอย่างยิ่งมีโปรเซสใดที่เกิดขึ้นใหม่หลังจากเวลาที่คาดว่าเกิดการบุกรุก โปรเซสขึ้นใหม่ที่เกิดขึ้นหลังจากการบุกรุกนี้ มีโอกาสที่จะเป็นโปรเซสที่ผู้บุกรุกทำการรันได้

หลังจากที่ทำการ enable Audit Process Tracking แล้ว เราสามารถทำการเรียกดูโปรเซสที่เกิดขึ้นได้ด้วยคำสั่งของ Microsoft Log Parser ดังนี้

C:\Program Files\Log Parser 2.2>LogParser -i:EVT -o:DATAGRID
"select EventID,
EXTRACT_TOKEN(Strings, 0, '|') AS ProcessID,
EXTRACT_TOKEN(Strings, 1, '|') AS ProcessName,
EXTRACT_TOKEN(Strings, 2, '|') As ParentProcessID,
EXTRACT_TOKEN(Strings, 3, '|') AS User
from security where eventid in (592)"

ผลลัพธ์ที่ได้เป็นดังภาพ



คำสั่งของ LogParser ดังกล่าวเป็นการแสดงโปรเซสที่เกิดขึ้นบนระบบ (EventID คือ 592) ซึ่งจะแสดงหมายเลขโปรเซส (ProcessID), ชื่อของโปรเซส (ProcessName), หมายเลขของโปรเซสที่ทำการเรียกโปรเซสนั้น (ParentProcessID) และชื่อของผู้ใช้ที่ทำการรันโปรเซสนั้น (User)

หากต้องการทราบว่าโปรเซสใดที่จบการทำงานไป สามารถทำได้โดยการกำหนดหมายเลข EventID เป็น 593

การเปิดใช้งาน Audit Process Tracking มีประโยชน์มากสำหรับระบบที่เป็น honeypot เนื่องจาก honeypot นั้นจะเกิดประโยชน์สูงสุดก็ต่อเมื่อตัว honeypot เองนั้นถูกบุกรุก เช่นเดียวกับเจ้า Audit Policy ตัวนี้ที่จะเกิดประโยชน์สูงสุดเช่นกันหลังจากเกิดเหตุการณ์บุกรุกขึ้นแล้ว :)

การกำจัด malware ที่ใช้เทคนิค DLL injection

เนื่องจากเมื่อวานไปเจอ malware ที่ใช้ DLL injection เข้าไปยัง process ของระบบ ก็เลยมาเล่าสู่กันฟังครับ (ความจริงเขียนไว้กันลืมตะหาก 555) แต่ก่อนที่เล่าถึง malware ตัวดังกล่าว จะขออธิบายก่อนสักเล็กน้อยว่า DLL injection นั้นคืออะไร

DLL injection เป็นเทคนิคที่นักเขียน malware นิยมนำมาใช้ในการฝัง malicious code ในระบบ โดย malicious code ที่ทำการฝังลงไปนั้นจะอยู่ในรูปของ DLL ซึ่งจะถูกฝังเข้าไปยัง process ที่ทำงานอยู่ในระบบเช่น explorer.exe ซึ่งถ้าหาก incident handler ไม่ได้ทำการตรวจสอบ DLL ที่แต่ละ process ทำการโหลด ก็จะไม่ทราบว่าระบบถูกฝัง malware ลงไป เนื่องจาก malware ที่ใช้วิธีนี้เวลาทำงาีนจะไม่ทำการสร้าง process ใหม่ แต่จะสร้าง thread จาก process เดิม ซึ่งไม่สามารถมองเห็นด้วย task manager

เรื่องเริ่มขึ้นเมื่อเครื่องของชาวบ้านคนหนึ่ง หลังจากที่ทำการเปิดเครื่อง nod32 จะทำการแจ้งเตือนทุกครั้ง



ข้อความแจ้งเตือนดังกล่าวเป็นการบอกว่า explorer.exe ได้ทำการสร้าง malware ขึ้นมา ??!

เมื่อทำการสำรวจ process ที่รันอยู่พบว่ามี explorer.exe รันอยู่เพียงโปรเซสเดียวเท่านั้น ซึ่งเป็น explorer.exe ของระบบ แต่เมื่อเรียกดู DLL ที่ explorer.exe ทำการโหลดเข้าไปนั้นพบว่ามี DLL ที่แปลกประหลาดอยู่

่

DLL ที่แปลกประหลาดคือ DLL ที่ถูกไฮไลต์ด้วยสีม่วง ซึ่งเป็น DLL ที่ถูก packed หรือทำการเข้ารหัส เมื่อใช้ nod32 ทำการแสกน DLL เหล่านี้ก็ไม่พบความผิดปกติแต่อย่างไร

เมื่อได้รายชื่อของ DLL ที่น่าสงสัย ขั้นตอนต่อไปคือนำรายชื่อของ DLL เหล่านี้ไปคำการค้นหาในตำแหน่ง Auto-Start ต่างๆใน registry key ซึ่งจากการค้นหาพบว่ารายชื่อของ DLL เหล่านี้ปรากฏอยู่ใน

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

ผมจึงได้ทำการลบ registry key ที่มีชื่อของ malicious DLL ทิ้งไปแล้วทำการ reboot ระบบ แต่เมื่อทำการล็อกอินเข้ามาใหม่พบว่า nod32 ยังคงแจ้งเตือนเหมือนเดิม แต่ชื่อของไฟล์เปลี่ยนไป ผมจึงได้ทำการตรวจสอบ explorer.exe ใหม่อีกครั้ง และพบว่ายังคงถูก DLL inject เข้าไปเหมือนเดิม โดยรายชื่อ malicious DLL นั้นจะมีชื่อที่เหมือนเดิม 2 ไฟล์คือ

ssqolij.dll
vturp.dll

ทั้ง 2 ไฟล์อยู่ใน directory C:\WINDOWS\system32 สำหรับ malicious DLL ตัวอื่นนั้นชื่อจะ random เปลี่ยนไปเรื่อยๆ

ผมจึงได้ทำการ monitoring การเข้าถึง registry key เพื่อทำการตรวจสอบว่ามี process ใดเข้าถึง registry key ของ ssqolij.dll หลังจากที่ทำการลบ key เหล่านี้ทิ้งไป ซึ่งพบว่า winlogon.exe ซึ่งเป็น process ของระบบ (ดูจาก process tree) มีการเรียกดู registry key เหล่านี้ตลอดเวลา และเมื่อใดก็ตามที่ทำการลบ registry key เหล่านี้ทิ้งไป winlogon.exe ก็จะทำการสร้าง key ก็จะทำการสร้าง key ขึ้นมาใหม่ นี่จึงเป็นสาเหตุที่ว่าทำไม registry key เหล่านี้กลับมาอยู่ในระบบ

นอกจากนี้ผมได้ทำการสำรวจ DLL ที่ winlogon.exe ทำการโหลดเข้ามาในระบบ พบว่า winlogon.exe ถูก DLL injection เหมือนกัน ซึ่งมี 2 ไฟล์หลักคือ ssqolij.dll และ vturp.dll

เนื่องจาก winlogon.exe เป็น process ที่ทำหน้าที่เกี่ยวกับการล็อกอินของระบบ หากเราทำการ kill process นี้ไปจะทำให้เกิดอาการจอฟ้า ดังนั้นผมเลือกที่จะทำการ suspend winlogon.exe ซึ่งปรากฏว่าได้ผล กล่าวคือไม่มีการเข้าถึง registry key จาก winlogon.exe อีก ในขณะเดียวกันระบบก็ไม่ขึ้นจอฟ้า ซึ่งทำให้ผมสามารถทำงานต่อไปได้

เมื่อหยุด winlogon.exe ได้ ผมจึงทำการลบ regiskey key ทิ้งไป จากนั้นใช้ movefile ทำการกำหนด schedule ให้ทำการลบ malicious DLL ทิ้งไปหลังจากที่ระบบทำการ reboot ใหม่ พบว่า malicious DLL ได้ถูกลบไป และ winlogon.exe และ explorer.exe ก็ไม่ถูก DLL injection อีกต่อไป :)

P.S. พอดี capture รูปมาไม่ครบน่ะนะ แหะๆ