จุดประสงค์ของการเจาะระบบก็เหมือนเดิมครับ คือ Hackerพยายามเอาเครื่อง Zimbra หรือเครื่อง Mail Server ของเราเป็นเครื่องส่ง Spam mail แต่มารอบนี้มีกระบวนการที่แนบเนียนและพลิกแพลงไปกว่าเดิม จนทำให้หลุดรอบระบบตรวจจับบางแบบไปได้ด้วย
รูปแบบการเจาะระบบ Mail Server
ก่อนหน้านี้ ถ้าท่านผู้อ่านได้ติดตาม Thai Zimbra จะเห็นบทความที่ผมเขียนได้พูดถึงการพยายามเจาะระบบ Mail Server ของเหล่า Hacker ซึ่งวิธีการก็สรุปได้ไม่กี่แบบคือ
พยายามใช้เครื่อง Mail Server เป็น Spam Mail Relay คือกลายเป็นเครื่องที่ทำหน้าที่ส่งต่อ (Relay) Spam จากเครื่องต้นทางของ Hacker
ระบบ Zimbra ที่กลายเป็น Spam Relay ส่วนใหญ่เกิดกับ Zimbra ที่ติดตั้งไม่ถูกต้อง หรือตัว Zimbra เองติดตั้งถูกต้องแต่ Config Firewall ไม่ถูกต้อง กระบวนการนี้ แทบไม่ต้องเจาะระบบเลย แค่ลองใช้เครื่อง Mail Server เป้าหมายเป็น Spam Relay ถ้าใช้ได้ ก็เรียบร้อย
เจาะมาทางช่องโหว่ของระบบ เช่น ทางช่องโหว่ทางด้านความปลอดภัยของตัว Zimbra หรือระบบปฏิบัติการ Linux เช่นเข้ามาทาง port ssh (TCP port 22)
จู่โจมโดยการเดา Password ของ Account บน Zimbra โดยพยายามเจาะ Account มาตรฐาน Account ที่คาดว่าจะมีในระบบ รวมไปถึงรายชื่อ Account ที่ได้มาโดยวิธีอื่นๆ ซึ่งผมเคยเขียนบทความที่เกี่ยวข้องก่อนหน้านี้แล้วครับ เช่นจากบทความ http://thaiZimbra.blogspot.com/2013/12/Zimbra-admin.html
รูปแบบการ Brute Force เพื่อ Hack Zimbra แบบปกติ เมื่อเครื่องต้นทางถูก Block Hacker จะย้ายไป Hack จากเครื่องใหม่แทน
วิธีนี้ในวงการเรียกว่า Brute Force ครับ
Brute Force แบบเดิมๆ
จากข้อมูลที่ผมได้รับ รูปแบบการ Brute Force (หรือที่บางคนเรียกว่าถูกยิง) ที่ใช้กันก่อนหน้านี้สรุปลักษณะที่เหมือนๆกันได้ดังนี้ คือ
1) Brute Force มาจากเครื่องเพียงเครื่องเดียว ซึ่งถ้าเรา Block เครื่องนี้ Hacker จะเปลี่ยนเครื่องยิงมาจากเครื่องอื่นๆใน Internet แทน
2) จะพยายามเดา password ที่ละ Account โดยยิง password เป็นชุดติดๆกัน เรียกได้ว่าวินาทีละครั้งเลยทีเดียวเลย ถ้าพยายามสักพักแล้วไม่ได้ จะเปลี่ยนไปลอง hack กับ Account ชื่อใหม่ๆ บนเครื่องเดิม
3) ถ้าระบบเป้าหมายมี Account ที่ถูกเดา Password ได้สำเร็จ Hacker จะใช้ Account นั้นส่ง Spam Email ออกไปเป็นจำนวนมาก โดยส่งไปยังเป้าหมายที่เป็น Domain เดียวกันเป็นส่วนใหญ่ และหลายๆครั้งพบว่า โดเมนเป้าหมายเป็น Free Email เช่น hotmail.com, outlook.com, yahoo.com, gmail.com ซึ่ง Account ต้นทางที่ใช้ส่ง Spam ออกไป อาจจะไม่ใช่ Account ที่ถูกเดา password สำเร็จก็ได้นะครับ
4) Spam Email ที่ส่งออกไป 1 ฉบับ จะระบุผู้รับ(TO: หรือ CC:)หลายๆคน ที่เคยเห็นมีตั้งแต่ 5 ถึง 20 หรือมากกว่านั้นในฉบับเดียว
วิธีการสังเกตุว่า Zimbra Server ของเราถูก hack
ถ้าระบบถูก hack และกลายเป็นเครื่องส่ง Spam แบบเดิมๆ ผู้ดูและระบบ จะรู้ว่า Zimbra Server ที่ดูแลอยู่ถูก hack กลายเป็นเครื่องส่ง Spam ไปแล้ว จากการที่
1) มี Email ส่งไปยัง Domain ภายนอกที่ปกติไม่เคยมีธุรกรรมด้วย ในปริมาณที่มากผิดปกติ
ถ้ายังปล่อยให้เกิดเหตุการนี้ไปเรื่อยๆ จะทำให้เกิดข้อต่อไปคือ
2) IP Address ภายนอก ของ Email Server ติด Blacklist ของ IP ที่ใช้ส่ง Spam
3) ส่ง Email ไป Email Address ภายนอกไม่ได้
4) ส่ง Email ไปยัง Email Address ภายใน Domain เดียวกันช้า
5) มี Email ค้างอยูใน Queue ส่งไม่ออก เป็นพันๆ หรือหมื่นๆ ฉบับ
ในครั้งหน้า ผมจะมาพูดต่อถึงวิวัฒนาการการ hack ระบบ Mail Server ในปีที่ผ่านมาครับ ว่า มีการพลิกแพลง ที่ทำให้ยากแก่การตรวจจับกันอย่างไร
ศิวัฒน์ ศิวะบวร
มีวิธีการ block หรือป้องกันอย่างไรบ้างครับ
ตอบลบ