Zimbra (โดน) Hack 2016 (ตอนที่ 2)

ในบทความครั้งที่แล้ว เรื่อง Zimbra โดน Hack 2016 (ตอนที่ 1) ผมได้เขียนถึงการเจาะระบบ Email Server แบบเดิมๆ แต่อย่างที่บอกครับ หลังจากที่ผมได้ติดตามกระบวนการ Brute force เพื่อพยายาม Hack account Zimbra (และ Email Server) มาหลายปี เห็นการเปลี่ยนแปลงรูปแบบ จนในปัจจุบันมีวิวัฒนาการ ที่ทำให้การป้องกันและการตรวจจับยากยิ่งขึ้น  เราจะมาพูดถึงเรื่องนี้ต่อกันครับ

Brute Force แบบใหม่ 
รูปแบบของการเจาะระบบ ที่พัฒนาไป มีดังนี้ครับ

1) พยายาม Hack โดยใช้วิธีการ Login เข้ามาทาง port 25,  465 หรือ 587 (smtp authentication)
ช่องทางนี้ เป็นช่องทางที่ป้องกันได้ยาก เพราะเป็น Port ที่ Email Server ทุกเครื่องต้องเปิดไว้เพื่อรับ Email จากภายนอก หรือ ผู้ใข้ในองค์กร แต่ส่ง email จากภายนอก

2) ต้นทางในการ hack จะมาจากหลายๆ IP Address จากหลายๆประเทศ สลับกันไปมา ตัวอย่างเช่น

3) เป้าหมายการ Brute Force จะทำกับ Account หลายๆ Account สลับกันไป เช่น พยายาม login   user1@mydomain 1-5 ครั้ง ถ้าไม่ได้ จะเปลี่ยนเป้าหมายเป็น Account อื่นๆ  user2@mydomain.com และ user3@mydomain.com ไปเรื่อยๆ

4) การ Brute Force จะทำในช่วงเวลาห่างๆ กัน เช่นประมาณ 20 วินาที จะทำแค่ 1 ครั้ง

5) ถ้ามี Account ถูกเดา password ได้ Hacker จะใช้ Account พวกนี้ส่ง spam โดยใช้วิธีส่ง มาให้
เครื่อง Zimbra เราส่งต่อ (Relay) โดยเครื่องต้นทางจะมาจากหลายๆ เครื่อง สลับกันไปมา

พฤติกรรมในข้อ 2-5  ผมวิเคราะว่า Hacker พยายามหลีกเลี่ยง การตรวจจับและ block การ hack โดยใช้โปรแกรมที่ตรวจสอบรูปแบบการ hack เช่น fail2ban ซึ่งผู้ดูแลระบบบางท่านติดตั้งไว้ ซึ่งข้อเสียของวิธีนี้คือ hacker สามารถจะปรับเปลียนรูปแบบการ hack ไปเรื่อยๆ ซึ่ง fail2ban ดักจับไม่ได้ ซึ่งเป็นเรื่องที่คาดเดาได้อยู่แล้ว แต่ผมไม่คิดมาก่อนว่า Hacker จะพยายามปรับรูปแบบเพีอหลีกเลี่ยงการตรวจจับได้เร็วขนาดนี้

6) Spam Email จะค่อยๆถูกส่งออก ไม่ถูกถล่มส่งเหมือนเมื่อก่อน และจะกระจาย Domain เป้าหมาย

ที่ผมเจอ อัตราการส่งจะต่ำมาก เช่น 20 Email  ต่อ Domain ต่อวัน ซึ่งพฤติกรรมใกล้เคียงกับการส่ง Email ของ User ปกติ  เรียกว่าถ้าผู้ดูแลไม่สังเกตุเห็นว่าเป็น Domain ที่คนในองค์กรไม่น่าจะติดต่อด้วย ก็แทบจะไม่รู้เลย

7) Spam  Email ที่ถูกส่งออกแต่ละฉบับจะระบุผู้รับแค่คนเดียวแทนที่จะระบุที่ละหลายๆคนต่อ spam mail หนึ่งฉบับ

ส่วนพฤติกรรมที่เปลี่ยนไปในข้อ  6 และ 7   ทำให้ระบบที่ถูก hack ส่ง spam ได้เนียนจนผู้ดูและระบบไม่รู้ตัว และไม่สังเกตุเห็นความผิดปกติ

8) เป้าหมายของ spam Email จะหลีกเลี่ยงผู้บริการ Free Email เจ้าดังๆ เช่น Gmail, Hotmail, Yahoo

สาเหตุในข้อนี้ ผมคาดว่าเพราะระบบตรวจจับ  Spam ของ Free Email เจ้าดังและมีประสิทธิภาพ สามารถตรวจสอบและแยกแยะพฤติกรรมของการส่ง Spam ได้รวดเร็ว และหลายๆครั้ง ถึงแม้ Spam Email ส่งไปถึง Account เป้าหมาย โอกาสที่ spam จะไปอยู่ใน Spam หรือ Junk Folder มีสูง และโอกาสที่ Email Server ที่ถูก Hack มาได้จะถูก  Block  เพราะมีพฤติกรรมส่งสัยว่าส่ง Spam ออกมา ก็เป็นไปได้อีกเช่น

ซึ่งถ้า Email Server ถูก block จะเกิดความผิดปกติขึ้นในระบบ Email Server ที่ส่ง Spam  ออกไป จะทำให้ผู้ดูและระบบรู้ตัว Hacker เลยพยายามหลีกเลี่ยง

เท่าที่ผมเคยให้คำปรึกษาและแก้ปัญหาเรื่อง Zimbra ถูก hack ในช่วงสองสามปีที่ผ่านมาทาง  Thai Zimbra Facebook Fanpage  พบว่าส่วนใหญ่จะรู้ตัวกันตอนที่ส่ง  Email ไม่ออก เนื่องจาก Mail Server ปลายทางปฏิเสธการรับ Email จาก Zimbra ซึ่งโดน Hack กลายเป็นเครื่องส่ง Spam ไปเรียบร้อยแล้ว


ป้องกันและตรวจสอบได้อย่างไร 

ในกรณีของ Zimbra ทำได้ดังนี้ครับ
1)  กำหนด Password Policy กับ Failed Login Policy รายละเอียดอยู่ในบทความที่ผมเคยเขียนไว้แล้ว ตามนี้ครับ
http://thaizimbra.blogspot.com/2013/03/zimbra-tips-and-technique-7-password.html
http://thaizimbra.blogspot.com/2013/03/zimbra-tip-and-technique-8-password.html
http://thaizimbra.blogspot.com/2013/03/zimbra-tips-and-technique-9-password.html
http://thaizimbra.blogspot.com/2013/04/zimbra-tip-and-technique-10-failed.html
ลองอ่านดูนะครับ

2) หมั่นดู Daily Mail Report ที่ส่งจากระบบ Zimbra ไปให้ admin account  ทุกวัน
Email นี้จะมี Subject  เป็น Daily Mail Report for yyyy-mm-dd   ซึ่ง Email นี้จะสรุปการรับส่ง Email และ Error ที่เกิดขึ้น ซึ่งจะทำให้เห็นพฤติกรรมที่อาจผิดแปลกไป

3) หมั่นคอยตรวจสอบ log file ของ Zimbra  /var/log/zimbra.log และ /opt/zimbra/log/audit.log ว่ามีความพยายาม login มาจาก IP address หรือ host ที่ User ในระบบไม่น่าจะ login เข้ามา เช่นต่างประเทศหรือไม่

มาถึงตรงนี้ ผมอยากบอกกับผู้อ่านทุกท่านว่า Zimbra เป็นระบบที่ดีระบบหนึ่งนะครับ แต่ที่เห็นว่าถูก hack กันได้ เป็นเพราะความไม่รู้หรือไม่ระวังของผู้ติดตั้งหรือผู้ดูและระบบ  และการ Hack ระบบ Email Server  นั้นไม่ได้เกิดขึ้นแต่เฉพาะกับ Zimbra นะครับ  Email Server ทุกเครื่องเป็นเป้าหมายหมด ทุกครั้งเวลามีคนมาปรึกษาผมเรื่องเกี่ยวกับระบบโดน Hack ผมมักจะบอกว่า ถ้าคุณตั้ง Mail  Server และเปิดรับ Email จากภายนอกเมื่อไหร่ คุณก็กลายเป็นเป้าของการถูก hack  ทันที เพียงแต่จะโดน hack สำเร็จหรือไม่ โดย hack แล้ว รู้ตัวหรือเปล่า และสุดท้าย แก้ไขได้ไหม

ถ้าสงสัยว่าระบบ Zimbra ที่คุณดูแลอยู่ ว่าจะถูก hack และกลายเป็นเครื่องส่ง Spam  ติดต่อผมได้ทาง Thai Zimbra Facebook Fanpage ครับ

เมื่อ Zimbra มองไฟล์แนบ pdf ที่ต้องใช้ password เปิดอ่าน ว่าเป็น virus

เรื่องนี่อาจจะดูเก่าไปสักนิด ตอนแรกคิดว่าผู้ใช้และผู้ดูแลระบบส่วนใหญ่จะรู้กันแล้ว แต่ก็ยังมีหลายๆท่านที่ยังไม่รู้ เลยต้องขอมาเขียนเป็นบทความกันสักหน่อย

เคยเจอไหมครับ อยู่ๆ ก็มี email แจ้งมากจาก account ที่ชื่อ admin บนเครื่อง Zimbra ของเรา โดยมีหัวเรื่องว่า

       VIRUS (Heuristics.Encrypted.PDF) in mail TO YOU from ......

เนื้อหาภายใน พอจะจับใจความได้ว่ามี email ส่งมาจากใครคนหนึ่ง ใน Email มี virus เนื้อหานอกนั้นคนทั่วไปอ่านแล้วไม่ค่อยจะเข้าใจ  ตัวอย่าง Email แจ้งเตือน หน้าตาทำนองนี้ครับ

สาเหตุที่เราได้รับ Email แจ้งเตือน

คำถามคือ มันเกิดอะไรขึ้น  ผมขอสรุปสิ่งที่เกิดขึ้นให้เข้าใจง่ายๆ ตามนี้ครับ 

1.  มีคนส่ง email มาหา account บนเครื่อง zimbra  ซึ่ง email ที่ส่งมาแนบไฟล์ที่ Zimbra ไม่สามารถเปิดอ่านไฟล์แนบ เพื่อตรวจสอบได้  ส่วนใหญ่ที่เจอกันบ่อยๆ จะเป็นไฟล์ pdf ที่เมื่อเปิดอ่านจะถาม password ก่อน  และเท่าที่ผมเจอส่วนใหญ่ในไทย เกือบ 100% คนส่งคือธนาคารครับ ส่งข้อมูลที่ค่อนข้างเป็นข้อมูลส่วนตัว ให้กับลูกค้าของธนาคาร 
2. Zimbra จะกัก email address ที่แนบ ไฟล์ pdf ที่ต้องใช้ password เพื่อเปิดอ่านนี้ไว้ใน account พิเศษที่เป็น  virus quarantine account (อ่านเรื่อง virus quarantine account ได้จากบทความเรื่อง Account พิเศษของ Zimbra ที่ห้ามลบทิ้ง )
3.  สุดท้าย  Zimbra จะส่ง email  แจ้งเตือนไปยัง 

• เจ้าของ email address ปลายทาง ของ email เจ้าปัญหานี้ 
• Account ที่ทำหน้าที่ admin ระบบ บนเครื่อง Zimbra ซึ่งปกติ จะชื่อ admin

แล้วเราจะทำอย่างไรดี

ถ้าคุณเป็นผู้ใช้งาน Zimbra ธรรมดา  คงต้องดูว่าคนที่ส่ง email มาน่าเชื่อถือ หรือรูปแบบ email ที่ส่ง เป็น email จริงๆหรือไม่ใช่ email หลอกลวงหรือเปล่า ถ้าใช่หรือไม่แน่ใจ ติดต่อคนที่ ดูแล Zimbra ของคุณอยู่เพื่อขอดู Email ที่ถูกกักอยู่ที่ Virus Quarantine Account ครับ 

แต่ถ้าคุณเป็นผู้ดูแลระบบ มีสิ่งที่ต้องตัดสินใจอยู่สองอย่างคือ 

1. ถ้ามีคนส่ง email ทำนองนี้มาอีก จะให้ zimbra กัก email แบบนี้เหมือนเดิมหรือไม่ หรือจะให้ Zimbra ปล่อย Email แบบนี้ผ่านไปให้คนรับเลย 
2.  ถ้า user ที่เป็นคนรับ email อยากได้ email และไฟล์แนบที่ถูกกักไว้ จะเอาให้ user ได้อย่างไร 

กำหนดให้ Zimbra ไม่กัก Email ที่แนบไฟล์ที่ไม่สามารถเปิดอ่านได้ 

ถ้าตัดสินใจให้ Zimbra ไม่กัก Email ทำนองนี้ไว้ต่อไปในอนาคต ต้องทำแบบนี้ครับ 

 1. Login Zimbra Admin Console (https://zimbra-hostname:7071) ด้วย Account ที่มีสิทธิ admin  Zimbra  ปกติจะเป็น Account ที่ชื่อ admin

2. ดูที่คอลัมน์ด้านซ้ายของ  Admin Console เลือก Configure  และ Global Settings ตามลำดับ 

 3. เลือกหัวข้อ AS/AV  และดูที่ด้านขวาในหัวข้อ  “Antivirus Setting”  เอาเครื่องหมายติ๊กถูกออกจาก บรรทัด “Block encrypted archives”  เสร็จแล้ว กดปุ่ม “Save” (อยู่แถวๆ มุมบนขวาของหน้าจอ )

หลังจากนี้ ถ้า Zimbra ได้รับ email ที่มีไฟล์แนบที่เปิดออกเพื่อตรวจเช็คไม่ได้  Zimbra จะส่งต่อไปให้กับคนรับเหมือน Email อื่นๆ ตามปกติ 

Email เก่าๆ ที่ถูกกักไว้

คำถามที่ตามมาก็คือ แล้ว Email ที่ถูกกักไว้ที่ Virus Quarantine Account หละ จะทำอย่างไร  

ถ้า admin ของ Zimbra ได้ทำการยกเลิกการตรวจสอบตามวิธีการข้างต้นแล้ว  admin สามารถไปที่ virus quarantine account (โดยการใช้ view mail) และ forward email ไปยังผู้รับได้ 

แต่ถ้า admin Zimbra ตัดสินใจที่จะให้ Zimbra ยังคงกัก email ทำนองนี้ไว้ ก็คงต้อง download attach ไฟล์ใน email ที่ถูกกักไว้ ไปส่งให้ user (โดยไม่ใช้ระบบ Email บนเครื่อง Zimbra) ครับ เช่น download มาลง file server หรือ thumb drive 

ซึ่งการเข้าถึง Email ที่ถูกกักไว้ ก็ต้องไปที่ Virus Quarantine Account โดยใช้วิธีการ view mail  เหมือนกันครับ

หวังว่า คงจะมีประโยชน์บ้าง ไม่มากก็น้อยครับ