Monday, October 24, 2011

အႏၱရယ္ရွိေသာ Malicious Codes မ်ားႏွင္. Vulnerability Website မ်ားအေၾကာင္း

Ref: MMCRACKER
ယခုအခ်ိန္ေတြမွာ website ေတြ အဟက္ခံရတယ္။ တစ္ခုၿပီးတစ္ခုပါပဲ။ ဒါေတြက website တစ္ခု အဟက္ခံရလုိ႔ အဲ. site တစ္ခုတည္းထိတာမဟုတ္ပါဘူး။ ဟက္ကာေတာ္ေတာ္မ်ားမ်ားက site တစ္ခုကုိရသြားရင္ defacement တစ္ခုလုပ္တာကလြဲရင္ က်န္တာဘာမွမလုပ္ပါဘူး။ ဒီအတြက္ လာေရာက္လည္ပတ္တဲ႔သူကုိလည္း မထိခုိက္ပါဘူး။
ဒါေပမဲ ႔ အႏၱရယ္ရိွတာက Mailicous Code ေတြ ထည့္သြားမ ့ဲ Hacker ေတြကိုေတာ့
အလြန္ကုိေၾကာက္စရာေကာင္းတယ္ဆုိတာ သိေစခ်င္လုိ႔ပါ

Malicious Codes မ်ား ထည့္သြင္းမႈအတြက္ ဟက္ကာေတြ တိုက္ခိုက္ရာတြင္

၁. တုိက္ခုိက္ေရးသမားေတြက မိမိတုိ႔ရဲ႕ Target ကြန္ပ်ဴတာ၊ အဖြဲ႕Aစည္း၊ Website ေတြထဲကုိ SQL
Injection ေတြနဲ႔ ၀င္ေရာက္ၾကပါတယ္။ SQL Injection ေတြတစ္ခုတည္းလားဆုိေတာ့လည္း
ဒီတစ္ခုတည္းေတာ့မဟုတ္ပါဘူး။ တစ္ၿခားတုိက္ခုိက္လုိ႔ရတဲ႔ နည္းလမ္းေတြအမ်ားၾကီးရွိပါတယ္။
ဘယ္လုိပင္ ၿဖစ္ပါေစ သူတုိ႔ လုိခ်င္တဲ႔အပုိင္းကေတာ့ user ေတြ အမ်ားအၿပား ၀င္ေရာက္လည္ပတ္တတ္တဲ႔ ေနရာေတြပါ။ ဒီလူေတြဆီကေန Cookies ေတြခုိးမယ္။ IP ေတြယူမယ္ စသည္ၿဖင့္ေပါ႔။

၂။ တုိက္ခုိက္ေရးသမားေတြက Vulnerability Website ေတြထဲမွာ ၄င္းတုိ႔ရဲ႕ Malicious Code ေတြ
ထည့္သြင္းထားေသာ Attacker ရဲ႕ Web Link ေတြ ခ်ိတ္ဆက္ေပးပါတယ္။ ဒီလုိခ်ိတ္ဆက္တဲ႔ေနရာမွာ iframe
ဆုိတာနဲ႔သုံးၾကပါတယ္။ iframe ဆုိတာ webpage element တစ္ခုၿဖစ္ၿပီး တစ္ၿခား web page ေတြကုိ ၄င္းရဲ႕
သတ္မွတ္ထားတဲ႔ ေဘာင္အတြင္းမွာ အလုပ္လုပ္ရန္အတြက္ အသုံးၿပဳၾကပါတယ္။

၃. အဲ.အခ်ိန္မွာ အင္တာနက္ အသုံးၿပဳသူေတြက Attacker (Hacker) ေတြ ဟက္လုပ္ထားတဲ႔ Website ေတြကုိ
၀င္ေရာက္လည္ပတ္ပါတယ္။


၄. အကယ္၍ အင္တာနက္ အသုံးၿပဳရဲ႕ ကြန္ပ်ဴတာက လုံၿခံဳေရးမရွိၿခင္း၊ Up to Date မၿဖစ္ေနတဲ႔ Internet
Security or Antivirus မရွိဘူးဆုိရင္ ထုိကဲ႔သုိ႔ေသာ Website မွေန အလြယ္တကူ မိမိရဲ႕ ကြန္ပ်ဴတာကုိ
Trojan ေတြ၀င္ေရာက္လာပါလိမ့္မယ္။

၅. ၿပီးရင္ မိမိရဲ႕ Information ေတြ၊ user ID, Password ေတြကုိ သတ္မွတ္ထားတဲ႔ လမ္းေၾကာင္းလိပ္စာအတုိင္း ၿပန္လည္ခုိးယူပုိ႔ေပးပါလိမ့္မယ္။

ဒီလုိတုိက္ခုိက္မႈမ်ိဳးက ယေန႔ေခတ္မွာေတာ္ေတာ္ေလးကုိ ေတြ႔ရၿပီး Porn / Unsecure site ေတြကုိ
၀င္ေရာက္လည္ပတ္က Antivirus သြင္၀င္ေရာက္လာတတ္တဲ႔ Malware ေတြနဲ႔ ဆင္တူပါတယ္။ ဒါေပမဲ႔ဒီေကာင္က နဲနဲအဆင့္ပုိၿမင့္သြားတယ္။ ဒီလုိပုံစံေတြက Website ေတာ္ေတာ္မ်ားမ်ားမွာ
ၿဖစ္ၾကၿပီးေတာ့ ၿဖစ္လုိက္တဲ႔ Website ေတြရဲ႕ ၉၀ ရာခုိင္းႏႈန္းကေတာ့ SQL Injection vulnerability မွေန ဟက္ကာေတြ ၀င္ေရာက္ကာ malicious codes ေတြ ထည့္သြင္းသြားၿခင္းၿဖစ္ပါတယ္။ ေနာက္တစ္ခုကေတာ့ Upload Vulnerability ပါ.. သူကေတာ့ WebBoard ေတြမွာ user ေတြအတြက္ image upload ေတြေပးထားတာကေနၿဖစ္တာပါ။
(၁) ထုိ Web Board က extension ဖုိင္ စီစစ္မႈကုိမထားၿခင္း။
(Webmaster ေတြသတိၿပဳရမွာက ထုိကဲ႔သုိ႔ေသာ Upload setting မွာ extension filtering ကုိစစ္ဖုိ႔လုိပါတယ္)
(၂) Upload လုပ္ထားေသာ file ၏ လမ္းေၾကာင္းကုိ user ႏွင့္ Attacker မွ အလြယ္တစ္ကူ ရယူသိရွိႏုိင္ၿခင္း။
(၃)Upload လုပ္ထားေသာ file မ်ားရွိ folder အား execute လုပ္ခြင့္ ခြင့္ၿပဳခ်က္ေပးထားၿခင္းေၾကာင္းၿဖစ္သည္။

ဒီေတာ့ Trojan File ေတြနဲ႔ user ေတြကုိ ဘယ္လုိ တုိက္ခုိက္လဲဆုိတာကုိ အနည္းငယ္ ထပ္ၿပီးရွင္းပါမယ္

Ice Fox Prodigal Web Trojan Generator ဒါက Website ေတြကုိ တုိက္ခုိက္တဲ႔ေနရာမွာ အလြယ္တကူ
အသုံးၿပဳႏုိင္တဲ႔ Virus Creator တစ္ခုပါပဲ။ (ဟက္ကာေတာ္ေတာ္မ်ားမ်ားကေတာ့ သူတုိ႔ကုိယ္တုိင္ Code
လုပ္တာမ်ားပါတယ္။)

၄င္းအထဲမွာ iframe ကုိ width=0 ဆုိၿပီး ၿမွဳပ္ထားပါတယ္။ ၿပီးရင္ icyfox.htm ဆုိတာက icyfox.js ပါတဲ႔
Backdoor/Trojan ဖုိင္ေတြကုိ ဆြဲယူသုံးတဲ႔သူေတြပါ။ တစ္နည္းအားၿဖင့္ ၄င္း .js အထဲမွာ Hacker ေရးဆြဲထားတဲ႔ လမ္းေၾကာင္းAတုိင္းကုိ လုပ္ေဆာင္မယ့္ Code ေတြရွိပါတယ္။

Malicious Code ေတြကုိထည့္တာကေတာ့ ဒါပဲ... ဒီအထဲမွာ Malicious Website ကုိ

လာေရာက္လည္ပတ္တဲ႔သူေတြရဲ႕ Computer တုိင္းလုိလုိမွာ Trojan ေတြထည့္လုိက္တယ္။ ၿပီးရင္ ၄င္း
ကြန္ပ်ဴတာေတြထဲကေန File / Folder ေတြကုိ ခုိးယူလုိ႔ရေအာင္ Remote Access သုံးလုိ႔ရေအာင္ အသုံးၿပဳတဲ႔
Web Base UI Program ေတြနဲ႔ Internet User ေတြရဲ႕ ကြန္ပ်ဴတာကုိ လုိအပ္သလုိ ထိန္းခ်ဴပ္တယ္။ ဒီအတုိင္းနဲ႔ 2005 ေလာက္က တရုတ္ၿပည္မွာ oct 16 ကေန oct 17 အထိ ၃၄ နာရီအတြင္းကုိ ၁၂၁၆ ေယာက္ေလာက္ ထိသြားတယ္။
Web Adminstrator တစ္ေယာက္အေနနဲ႔ မိမိ website ရဲ႕ ReWrite Rule ေတြကုိသိထားရမယ္။ Security
Holes ေတြကုိ အၿမဲစစ္ၾကည့္ေနရမယ္။ user ေတြဘက္ကေန script uploading နဲ႔ execution ေတြကုိ block
လုပ္ထားရမယ္။ Attacker တစ္ေယာက္ malicious script တစ္ခု run တာနဲ႔ site တစ္ခုတည္းမဟုတ္ဘူး server ရဲ႕ root ထဲအထိကုိေရာက္ႏုိင္တယ္။ web board ေတြမွာ image uploading module ေတြကုိ သတိထားရတယ္။


copy @ http://mcxeros.multiply.com/journal