ภายในงาน Black Hat Asia 2018 ที่เพิ่งจัดไป Yin Minn Pa Pa และ Masaki Kamizono สองนักวิจัยด้านความมั่นคงปลอดภัยจาก PwC หนึ่งในบริษัทตรวจสอบบัญชีสี่แห่งที่ใหญ่ที่สุดในโลก ออกมาเปิดเผยถึงโครงสร้าง Infrastructure ของ Exploit Kit ที่แฮ็กเกอร์นิยมใช้ในปัจจุบัน พร้อมวิธีเจาะช่องโหว่เพื่อปิดการทำงานของ Exploit Kit เหล่านั้น
Pa Pa ระบุว่า Exploit Kits ระดับสูงหลายตัวที่เราเจอในปัจจุบัน แฮ็กเกอร์ไม่ได้เพียงแค่ฝัง Exploit Kit ไปบนเว็บแล้วหลอกเหยื่อให้เข้าถึงเพื่อโจมตีเท่านั้น แต่เบื้องหลังมี Infrastructure ที่พยายามดึงเหยื่อให้เข้ามา มีระบบตรวจสอบอุปกรณ์ของเหยื่อเพื่อให้ใช้ Exploit ได้อย่างมีประสิทธิผลมากที่สุด รวมไปถึงมี Proxy สำหรับซ่อนพรางเซิร์ฟเวอร์จริงให้ไม่สามารถตรวจจับได้
“แฮ็กเกอร์จะเริ่มต้นจากซื้อบริการของ Exploit Kit Operator เพื่อนำมัลแวร์เข้าไปวางไว้ใน Exploit Kit Infrastructure ซึ่งประกอบด้วยเซิร์ฟเวอร์หลังบ้านจำนวนมาก หลังจากนั้นก็ไปใช้บริการ Traffic Direction System เพื่อให้เปลี่ยนเส้นทางของเหยื่อมายัง Infratructure ที่ได้วางไว้ แล้วลอบกระจายมัลแวร์เข้าไปต่อ” — Pa Pa เกริ่นนำถึง Exploit Kit Infrastructure ที่แฮ็กเกอร์นิยมใช้ในปัจจุบัน
Pa Pa และทีมนักวิจัยของ PwC เริ่มศึกษาโครงสร้างของ Exploit Kit Infrastructure จาก RIG 2.0 ซึ่งแพร่ระบาดเมื่อเดือนกุมภาพันธ์ 2015 พบว่า Infrastructure ของ RIG 2.0 ประกอบด้วย 4 เซิร์ฟเวอร์หลัก ได้แก่ Panel Server (หรือ Admin Server), TDS Server, VDS Server และ Proxy Server โดยมีขั้นตอนการโจมตี ดังนี้
- เหยื่อเข้าถึงเว็บไซต์ของแฮ็กเกอร์
- เหยื่อถูกเปลี่ยนเส้นทางมายัง TDS Server ซึ่งจะร้องขอ Proxy URL จาก Panel Server ผ่านทาง API
- TDS Server เปลี่ยนเส้นทางของเหยื่อมายัง Proxy Server ตาม URL ที่ได้มา
- Proxy Server เก็บข้อมูล Fignerprint ของเหยื่อส่งไปยัง VDS Server (Landing Server) เพื่อเลือก Exploit ที่เหมาะสมที่สุด แล้วส่งข้อมูลเหยื่อต่อไปยัง Panel Server เพื่อเลือก Payload ที่เหมาะสมที่สุดต่อ
- VDS Server ทำการ Exploit อุปกรณ์เหยื่อ
- VDS Server รับ Payload จาก Panel Server แล้วส่งเข้าไปยังอุปกรณ์ของเหยื่อ
ทีมนักวิจัยคาดว่า จุดอ่อนของ Exploit Kit Infrastructure แบบนี้คือ API และ Proxy ถ้าสามารถหยุดการทำงานของ 2 สิ่งนี้ได้ย่อมล่ม Infrastructure ของ RIG 2.0 ได้ เช่น พยายามร้องขอให้สร้าง Proxy Server จนหมด IP หรือโดเมนได้ นอกจากนี้ ยังพบอีกว่า Panel Server ของ RIG 2.0 มีช่องโหว่ SQL Injection และ Reflected XSS ซึ่งช่วยให้ทีมนักวิจัย Dumb ข้อมูลจาก Database ออกมาและทำ Session Hijacking ได้
เมื่อทราบถึงวิธีการทำงานของ RIG 2.0 แล้ว ทีมนักวิจัยจึงได้ศึกษา RIG 4.0 ซึ่งเป็น Exploit Kit ล่าสุดของตระกูล RIG ต่อ ซึ่งโดยรวมแล้วหลักการทำงานไม่ต่างกันมาก เพียงแค่มีการแยก Fingerprint Server ออกมาจาก Landing Server และผู้ใช้บริการ RIG 4.0 สามารถตั้ง Payload Server ขึ้นมาได้เองสำหรับคอยอัปเดต Payload ใหม่ๆ
หลังจากที่ได้ศึกษาการทำงานของ RIG 4.0 พบว่า Proxy Server ของ Infrastructure นี้มีจำนวนมากถึง 108 หมายเลข IP ที่แตกต่างกัน ซึ่งโฮสต์อยู่ในประเทศรัสเซีย รวมไปถึง Proxy Server เหล่านี้จะถูกแชร์ระหว่างผู้ที่ใช้ RIG 4.0 Infrastructure อีกด้วย ที่น่าตกใจคือ Payload Server จะมีการอัปเดต Payload กับ Panel Server ทุกๆ 10 นาที ทำให้ทีมนักวิจัยทราบถึงหมายเลข IP จริงของ Panel Server ที่ซ่อนอยู่หลัง Cloudflare ได้อย่างง่ายดาย นอกจากนี้ยังพบว่า Panel Server มีช่องโหว่ Directory Listing ซึ่งช่วยให้ทราบข้อมูลของ Panel Server มากยิ่งขึ้น เหล่านี้ช่วยให้ทีมนักวิจัยของ PwC สามารถหาช่องโหว่บน RIG 4.0 Infrastructure เพื่อทำการล่มระบบทั้งหมดลงได้
Pa Pa ยังระบุอีกว่า เมื่อคุ้นเคยกับวิธีการทำงานของ RIG 4.0 แล้ว สามารถนำแนวคิดต่างๆ ไปใช้ในการวิเคราะห์และล่มระบบของ Exploit Kits อื่น ได้เช่นกัน ไม่ว่าจะเป็น BEPS, Hunter หรือ Neptune เนื่องจากมี Infrastructure ไม่แตกต่างกันมาก รวมไปถึงมีการนำแชร์โค้ดที่ใช้พัฒนาระหว่างกันด้วย
“ปัจจุบันนี้ Exploit Kits Infrastructure มีความซับซ้อนมากกว่าเดิม ส่งผลให้มีช่องโหว่เพิ่มขึ้นตามมาด้วยเช่นกัน เราจึงสามารถหาช่องทางในการโจมตีเพื่อล่ม Infrastructure ของ Exploit Kits ได้ นอกจากนี้ยังสามารถนำแนวคิดและเทคนิคไปใช้กับ Exploit Kits อื่นๆ ในอนาคตได้ เนื่องจากมี Infrastructure ไม่แตกต่างกัน และยังมีการนำโค้ดไปใช้ร่วมกันอีกด้วย” — Pa Pa กล่าวปิดท้าย
ผู้ที่สนใจสามารถอ่าน White Paper ฉบับเต็มได้ที่: https://www.blackhat.com/docs/asia-18/asia-18-papa-Future-Proof%20Counter%20Attacks%20Against%20Exploit%20Kit%20Infrastructure-WP.pdf