เว็บไซด์ติดมัลแวร์

สืบเนื่องจากกระผมได้ดำเนินการเข้าสู่ระบบอินเตอร์เน็ตโดยการเข้าไปที่เว็บไซด์ของมหาวิทยาลัยแล้วพบว่าเครื่องคอมพิวเตอร์แสดงผลหน้าจอเว็บไซด์ มันขึ้นฟ้อง “Security error”  ลักษณะคล้ายกับมีไวรัส ในฐานะตำแหน่งนักวิเคราะห์ฯ ของสถาบันการศึกษาอันดับ 1 ประจำจังหวัด จึงตั้งปณิธาน ว่าจะขอสืบเสาะหาความจริงในเรื่องนี้ให้จงได้ โดยวิธีการวิทยาศาสตร์

ซึ่งมีกระบวนการที่สำคัญ 5 ขั้นตอนตามลำดับดังนี้

          1. ขั้นปัญหา (Problem)

          2. ขั้นตั้งสมมติฐาน (Hypothesis)

          3. ขั้นรวบรวมข้อมูล (Gathering Data)

          4. ขั้นวิเคราะห์ข้อมูล (Analysis)

          5. ขั้นสรุป (Conclusion)


1. ขั้นปัญหา (Problem)
พบว่าเว็บไซด์ไม่สามารถเข้าถึงข้อมูลที่ต้องการใช้งานได้

2. ขั้นตั้งสมมติฐาน (Hypothesis)
2.1 น่าจะเกิดจากไวรัสอะไรซักอย่าง เพราะมีข้อความ  “Security error” เป็น Key Word ของเรื่องนี้

3. ขั้นรวบรวมข้อมูล (Gathering Data)
3.1  ใช้ google ค้นหาคำว่า “ไวรัสเว็บไซด์ ” เพื่อหาข้อมูล เกี่ยวกับไวรัสเว็บไซด์ พบว่า เกิดจากการเขียน code เพื่อฝังลงในเว็บที่มีลักษณะไม่ประสงค์ดีต่อผู้ใช้อินเตอร์เน็ต เรียกว่า  “มัลแวร์”
3.2  ใช้ google ค้นหาคำว่า “มัลแวร์”  ได้ข้อมูลดังนี้

มัลแวร์คืออะไร?

มัลแวร์ (Malware) ย่อมาจาก Malicious Software หมายถึง ซอฟต์แวร์ไม่พึงประสงค์ เป็นโปรแกรมที่ถูกเขียนขึ้นมาเพื่อทำอันตรายกับระบบ เช่น ทำให้คอมพิวเตอร์ทำงานผิดปกติ ขโมย/ทำลายข้อมูล หรือเปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่องคอมพิวเตอร์ เป็นต้น

ในการแบ่งประเภทของมัลแวร์ โดยปกติจะแบ่งตามพฤติกรรมการทำงาน ตัวอย่างเช่น

  • Virus – แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ผ่านไฟล์
  • Worm – แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ผ่านระบบเครือข่าย (เช่น อีเมล หรือระบบแชร์ไฟล์)
  • Trojan – หลอกว่าเป็นโปรแกรมที่ปลอดภัยแล้วให้ผู้ใช้หลงเชื่อนำไปติดตั้ง
  • Backdoor – เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง
  • Rootkit – เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง พร้อมได้สิทธิ์ของผู้ดูแลระบบ
  • Spyware – แอบดูพฤติกรรมการใช้งานของผู้ใช้ และอาจขโมยข้อมูลส่วนตัวด้วย

มัลแวร์หนึ่งตัวอาจมีพฤติกรรมหลายอย่าง จึงอาจถูกจัดให้อยู่ในได้หลายประเภท ตัวอย่างการแบ่งประเภทของมัลแวร์ เป็นดังรูปที่ 1


รูปที่ 1 ตัวอย่างการแบ่งประเภทของมัลแวร์ (ที่มา – Kaspersky [1])

นอกจากการทำงานข้างต้นแล้ว พฤติกรรมของมัลแวร์โดยส่วนใหญ่จะมีส่วนที่คล้ายๆ กันคือ หลบซ่อนตัวเองจากการตรวจจับ โหลดมัลแวร์ตัวอื่นมาลงเพิ่ม ปิดการทำงานของระบบรักษาความปลอดภัย (เช่น Antivirus) หรือฝังตัวเองในระบบเพื่อให้ยังสามารถกลับมาทำงานต่อได้เมื่อรีสตาร์ทเครื่อง เป็นต้น

วิธีการติดมัลแวร์

การติดมัลแวร์ โดยหลักๆ มีอยู่ 2 วิธีคือ หลอกให้ผู้ใช้เป็นคนรันโปรแกรมมัลแวร์เอง หรือติดตั้งตัวเองลงในเครื่องโดยอัตโนมัตผ่านช่องโหว่ของซอฟต์แวร์

การหลอกให้ผู้ใช้เป็นคนรันโปรแกรมมัลแวร์เอง ส่วนใหญ่จะอยู่ในรูปแบบไฟล์ประเภท Executable หรือ Script ซึ่งเป็นโค้ดของโปรแกรมที่สามารถเปิดขึ้นมาทำงานตามคำสั่งได้ทันที โดยส่วนใหญ่จะอยู่ในรูปแบบของไฟล์ประเภท .exe .bat .com หรือ .scr [2]

วิธีการแพร่กระจายมัลแวร์ แบบที่พบเห็นกันบ่อยๆ ก็คงจะเป็นการติดผ่าน USB Drive การส่งไฟล์ผ่านทางอีเมล หรือปล่อยไฟล์มัลแวร์ไปในเว็บไซต์ที่ให้ดาวน์โหลดซอฟต์แวร์เถื่อนหรือเว็บไซต์ประเภท Bittorrent

ในการหลอกให้ผู้ใช้เรียกใช้งานโปรแกรมมัลแวร์ ผู้เขียนมัลแวร์อาจใช้วิธีการหลอกลวงต่างๆ เช่น เปลี่ยนไอคอนของโปรแกรมให้เป็นรูปไฟล์เอกสาร รูปโฟลเดอร์ หรือตั้งชื่อไฟล์หลอกให้ผู้ใช้เข้าใจว่าเป็นไฟล์เอกสารธรรมดา แต่ในบางกรณี มัลแวร์อาจมาในรูปของไฟล์เอกสาร เช่น ไฟล์ Microsoft Office หรือไฟล์ PDF เนื่องจากซอฟต์แวร์ที่ใช้อ่านข้อมูลจากไฟล์ประเภทดังกล่าวมีช่องโหว่ให้สามารถฝังโค้ดของมัลแวร์ได้

นอกจากวิธีข้างต้นแล้ว แนวโน้มในปัจจุบันยังพบการโจมตีแบบ Drive-by-Download ซึ่งเป็นการใช้ช่องโหว่ของเบราว์เซอร์หรือปลั๊กอินของเบราว์เซอร์ในการโจมตี ซึ่งโดยส่วนมากจะพบการโจมตีผ่านช่องโหว่ของ Java, Adobe Reader หรือ Flash Player ผู้โจมตีจะฝังโค้ดอันตรายไว้ในเว็บไซต์ เมื่อผู้ใช้เปิดเข้าไปยังเว็บไซต์ดังกล่าวก็จะติดมัลแวร์ในทันที (สามารถศึกษาเพิ่มเติมได้ที่บทความ การโจมตีผ่านเว็บเบราว์เซอร์และการป้องกัน [3])

การวิเคราะห์มัลแวร์

ในการวิเคราะห์มัลแวร์ จุดประสงค์หลักๆ คือเพื่อต้องการศึกษาพฤติกรรมและขั้นตอนการทำงานของมัลแวร์ เพื่อตรวจสอบผลกระทบจากความเสียหาย รวมถึงศึกษาวิธีป้องกันและแก้ไขปัญหาหลังติดมัลแวร์ ซึ่งอาจจะเป็นประโยชน์ในการแจ้งเตือนเรื่องความปลอดภัย ในกรณีที่พบมัลแวร์ชนิดใหม่ที่ Antivirus ส่วนใหญ่ยังไม่รู้จัก หรือเป็นมัลแวร์สายพันธุ์ใหม่ที่ข้อมูลผลการวิเคราะห์เดิมอาจเชื่อถือได้ไม่ 100%

ในกรณีพบไฟล์ที่ต้องสงสัยว่าเป็นมัลแวร์ การวิเคราะห์เบื้องต้นอาจทำได้โดยการใช้เครื่องมือ Online Malware Scan ที่ใช้วิธีการอัพโหลดไฟล์ขึ้นไปเพื่อให้ Antivirus ค่ายต่างๆ ช่วยกันสแกน เช่นเว็บไซต์ http://www.virustotal.com หรือ http://virusscan.jotti.org/en ซึ่งทั้งสองเว็บไซต์ดังกล่าวนี้สามารถใช้งานได้ฟรี อย่างไรก็ตาม หากเป็นมัลแวร์ชนิดใหม่ๆ ก็อาจจะตรวจสอบด้วยวิธีนี้ไม่ได้ ตัวอย่างการสแกนโดยใช้เว็บไซต์ Virustotal เป็นดังรูปที่ 2


รูปที่ 2 ตัวอย่างการสแกนไฟล์ที่น่าสงสัยโดยใช้เว็บไซต์ Virustotal

 สรุปในการค้นคำว่า ” มัลแวร์ ” พบว่าเครื่องมือที่จะช่วยวิเคราะห์หาสาเหตุหน้า error แดงๆ คือ  เว็บไซต์ Virustotal

3.2  ใช้ google ค้นหาคำว่า “virustotal.com”  เพื่อหาการวิธีใช้ สรุปได้ดังนี้
1. เข้าไปที่เว็บ https://www.virustotal.com/gui/home/url
2. พิมพ์ชื่อเว็บที่ต้องการตรวจสอบลงในช่อง
3. กดปุ่มรูปแว่น เพื่อค้นหา

เว็บจะแสดง ข้อมูลที่ระบบตรวจพบหน้าเว็บที่เป็นอันตรายสีแดงๆ

4. คลิกที่ปุ่มแสดงผลแบบกราฟฟิก เพื่อความเข้าใจง่ายๆ  ให้ดับเบิ้ลคลิกที่ website หน้าที่มีสีแดงๆ จะแสดง link หน้าที่เป็นอันตรายของเว็บไซด์ นั้นๆ เมื่อเราได้ข้อมูลต่างๆ ซึ่งน่าจะครอบคลุมปัญหาแล้วต่อมาเราจะทำการวิเคราะห์ ในประเด็นต่างๆ ต่อไปนะครับ วันนี้มีเวลาแค่นี้ครับ ครั้งหน้าบทความต่อไปจะเป็นการ  ขั้นวิเคราะห์ข้อมูล (Analysis) เพื่อหาแนวทางการแก้ไข  (วิธีกำจัดมัลแวร์  และการป้องกัน) และ ขั้นสรุป (Conclusion) ประเด็นกันเป็นข้อๆ กันเลยครับ

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *