USB Hacking
วันนี้ผมจะมาเล่าให้ฟังเกี่ยวกับรูปแบบการโจมตีโดยการใช้ USB flash drive ธรรมดาที่
เราใช้กันอยู่นี่หล่ะคับเคยสังเกตุมั๊ยคับเวลาที่เราใส่แผ่น CD เข้าไปแล้วบางครั้งก็จะมีการเปิด
โปรแกรมบางอย่างขึ้นมาโดยไม่ได้บอกกล่าว นั่นหมายความว่า CD แผ่นนั้น
มีการทำ autorun โปรแกรมเพื่อให้มัน run โปรแกรมบางอย่างไว้คับUSB drive หรือ Flash drive ก็ไม่แตกต่างกันเท่าไรคับเราสามารถจะ autorun
โปรแกรมอะไรก็ได้ที่เราตั้งค่าไว้คับโดยการที่เราสร้าง file ชื่อ autorun.inf ไว้ในUSB drive นั้นๆคับ มาลองดูตัวอย่างกันเลยดีกว่า
เราใช้กันอยู่นี่หล่ะคับเคยสังเกตุมั๊ยคับเวลาที่เราใส่แผ่น CD เข้าไปแล้วบางครั้งก็จะมีการเปิด
โปรแกรมบางอย่างขึ้นมาโดยไม่ได้บอกกล่าว นั่นหมายความว่า CD แผ่นนั้น
มีการทำ autorun โปรแกรมเพื่อให้มัน run โปรแกรมบางอย่างไว้คับUSB drive หรือ Flash drive ก็ไม่แตกต่างกันเท่าไรคับเราสามารถจะ autorun
โปรแกรมอะไรก็ได้ที่เราตั้งค่าไว้คับโดยการที่เราสร้าง file ชื่อ autorun.inf ไว้ในUSB drive นั้นๆคับ มาลองดูตัวอย่างกันเลยดีกว่า
ตัวอย่างที่ 1
เราจะทำให้ USB drive ธรรมดาของเราเนี่ยพอเสียบเข้าไปแล้วให้มัน autorun ขึ้นมาและให้มัน
ไปเรียกไฟล์ sam.bat ขึ้นมาทำงานโดยจะแสดง terminal ขึ้นมาว่า “Hello sam!!!” นะคับ
ก่อนอื่นเราก็เปิด Notepad ขึ้นมาและพิมพ์ลงไปตามรูป
เราจะทำให้ USB drive ธรรมดาของเราเนี่ยพอเสียบเข้าไปแล้วให้มัน autorun ขึ้นมาและให้มัน
ไปเรียกไฟล์ sam.bat ขึ้นมาทำงานโดยจะแสดง terminal ขึ้นมาว่า “Hello sam!!!” นะคับ
ก่อนอื่นเราก็เปิด Notepad ขึ้นมาและพิมพ์ลงไปตามรูป
เมื่อทำเสร็จแล้วก็ให้ save เป็นชื่อ autorun.inf ลงไปใน USB drive ของเราได้เลยคับ
ที่เราได้พิมพ์ลงไปนั้นจะมีความหมายดังนี้คับ
ที่เราได้พิมพ์ลงไปนั้นจะมีความหมายดังนี้คับ
icon=folder.ico (กำหนดให้แสดง icon จากไฟล์ชื่อว่า folder.ico)open=sam.bat (กำหนดให้รันไฟล์ sam.bat ซึ่งเป็นไฟล์ที่เราเขียนขึ้นมาเอง)action=Click “OK” to open folder (ให้แสดงข้อความดังกล่าว)
หลังจากนั้นเราก็จะต้องสร้าง sam.bat เพื่อเป็นชุดคำสั่งที่จะให้มันทำตามโดยที่ผม
จะกำหนดให้มันพิมพ์คำว่า “Hello sam!!!” ออกมาทาง Terminal นะคับ
เหมือนเดิมคับเปิด notepad ขึ้นมาแล้วก็พิมพ์ดังนี้
จะกำหนดให้มันพิมพ์คำว่า “Hello sam!!!” ออกมาทาง Terminal นะคับ
เหมือนเดิมคับเปิด notepad ขึ้นมาแล้วก็พิมพ์ดังนี้
แล้วก็ save เป็นชื่อ sam.bat ลงไปใน USB drive ได้เลยคับ
ส่วนความหมายใน sam.bat นี่ผมขอไม่กล่าวถึงแล้วกันนะคับ
เพราะว่าเป็นความรู้ในการเขียน batch file ธรรมดาๆ นี่เองคับ
ส่วนไฟล์สุดท้ายคือ icon ก็อาจจะลองใช้ที่ผมทำไว้ก็ได้นะคับ
ผมทำไว้ทั้งสามไฟล์แล้วสามารถ download ได้ตอนท้ายบทความคับ
ส่วนความหมายใน sam.bat นี่ผมขอไม่กล่าวถึงแล้วกันนะคับ
เพราะว่าเป็นความรู้ในการเขียน batch file ธรรมดาๆ นี่เองคับ
ส่วนไฟล์สุดท้ายคือ icon ก็อาจจะลองใช้ที่ผมทำไว้ก็ได้นะคับ
ผมทำไว้ทั้งสามไฟล์แล้วสามารถ download ได้ตอนท้ายบทความคับ
คราวนี้พอเราถอด USB ออกแล้วเสียบเข้าไปใหม่ก็จะมี
หน้าต่างโผล่ขึ้นมาดังนี้คับ
หน้าต่างโผล่ขึ้นมาดังนี้คับ
หลังจากนั้นหากว่าคลิ๊ก OK แล้วก็จะได้ผลลัพท์ดังรูป
แสดงว่า sam.bat ได้ทำงานแล้ว แต่จะสังเกตุว่าหากว่าเราคลิ๊กที่ Cancel นั้น
หน้าต่างนี้ก็จะไม่แสดงขึ้นมานะคับเนื่องจากมันจะไม่ทำการเรียก sam.bat นั่นเอง
แต่ก็มีวิธีที่สามารถจะให้มันทำงานได้นะคับในตัวอย่างที่สอง มาลองดูกันดีกว่า
หน้าต่างนี้ก็จะไม่แสดงขึ้นมานะคับเนื่องจากมันจะไม่ทำการเรียก sam.bat นั่นเอง
แต่ก็มีวิธีที่สามารถจะให้มันทำงานได้นะคับในตัวอย่างที่สอง มาลองดูกันดีกว่า
ตัวอย่างที่ 2
ให้ลองเปิด autorun.inf ขึ้นมาและเพิ่มคำสั่งเข้าไปบรรทัดนึงนะคับดังรูป
ให้ลองเปิด autorun.inf ขึ้นมาและเพิ่มคำสั่งเข้าไปบรรทัดนึงนะคับดังรูป
หลังจากนั้นก็ save และลองถอด USB แล้วใส่เข้าไปใหม่ดูกะจะมีหน้าต่าง
เด้งออกมาเหมือนเดิมคับ หลังจากนั้นก็คลิ๊ก Cancel ก็จะปิดไปไม่มีอะไร
เกิดขึ้นหลังจากนั้นไปที่ My Computer และคลิ๊กที่ Drive USB ซะ
คราวนี้ sam.bat ก็จะทำงานทันทีคับ
นอกจากจะสั่งให้มันทำการ autorun batch file ได้แล้วก็ยังสามารถสั่งให้
ทำการรัน application ก็ได้ด้วยนะคับโดยลองแก้คำสั่งใน autorun.inf ดังรูป
นอกจากจะสั่งให้มันทำการ autorun batch file ได้แล้วก็ยังสามารถสั่งให้
ทำการรัน application ก็ได้ด้วยนะคับโดยลองแก้คำสั่งใน autorun.inf ดังรูป
ให้ทดลองเหมือนเดิมเพื่อตรวจสอบดูผลลัพท์นะคับ
ถ้าหากว่ายังไม่เข้าใจหรือทำไม่ได้อาจจะลอง download file ตัวอย่างนี้
และ unzip ไว้ใน USB ของคุณก็ได้นะคับ
ถ้าหากว่ายังไม่เข้าใจหรือทำไม่ได้อาจจะลอง download file ตัวอย่างนี้
และ unzip ไว้ใน USB ของคุณก็ได้นะคับ
คราวนี้จะเกิดอะไรขึ้นถ้าหากว่ามีผู้ไม่ประสงค์ดีที่จะนำโปรแกรมต่างๆเช่น Virus, Trojan,
Sniffer, Scanner ใส่ลงไปและทำให้มัน autorun แล้วมาแอบเสียบ USB ที่เครื่องเราล่ะคับ?
อันตรายมากคับเพราะว่า autorun ของ USB นั้นจะทำงานแม้กระทั่งเรา disable autorun
ใน Windows เรียบร้อยแล้ว
คงจะจินตนาการภาพกันออกแล้วนะคับถึงภัยอันตรายที่แฝงมากับ USB drive ดังนั้นเพื่อความ
ปลอดภัยผมขอแนะนำดังนี้
Sniffer, Scanner ใส่ลงไปและทำให้มัน autorun แล้วมาแอบเสียบ USB ที่เครื่องเราล่ะคับ?
อันตรายมากคับเพราะว่า autorun ของ USB นั้นจะทำงานแม้กระทั่งเรา disable autorun
ใน Windows เรียบร้อยแล้ว
คงจะจินตนาการภาพกันออกแล้วนะคับถึงภัยอันตรายที่แฝงมากับ USB drive ดังนั้นเพื่อความ
ปลอดภัยผมขอแนะนำดังนี้
– อย่าให้ใครมาเสียบ (USB Drive) ที่เครื่องเราง่ายๆ
– ติดตั้งโปรแกรม antivirus และทำการ update เสมอๆ
– อย่าเปิดเครื่องทิ้งไว้ โดยที่ไม่ได้ทำการ log-off
– อย่าเอา USB Drive ไปเสียบเครื่องคนอื่นมั่วๆ อาจจะติดอะไรมาก็ได้
– ติดตั้งโปรแกรม antivirus และทำการ update เสมอๆ
– อย่าเปิดเครื่องทิ้งไว้ โดยที่ไม่ได้ทำการ log-off
– อย่าเอา USB Drive ไปเสียบเครื่องคนอื่นมั่วๆ อาจจะติดอะไรมาก็ได้
วิธีป้องกัน
มีอยู่หลายวิธีคับในที่นี้ผมจะยกตัวอย่างมาสองวิธีนะคับ
มีอยู่หลายวิธีคับในที่นี้ผมจะยกตัวอย่างมาสองวิธีนะคับ
1. ก็อาจจะประยุกต์ใช้ Group policy ในการ Disabled USB ได้โดยใช้ ADM template นะคับซึ่งสามารถ download ได้จาก
2. ถ้าหากว่าจะนำไปใช้ในองค์กร ก็อาจจะป้องกันได้โดย
ติดตั้งระบบ software security ที่ทำการป้องกันทางด้าน End-Point security
เช่นพวก NAC หรือ USB protector ระบบพวกนี้จะสร้าง policy ที่ใช้ในการป้องการ
การโดนโจมตีจากเครื่อง client และมีระบบจัดการจากศูนย์กลางทำให้ admin ทำงาน
ง่ายขึ้นมากคับ
ติดตั้งระบบ software security ที่ทำการป้องกันทางด้าน End-Point security
เช่นพวก NAC หรือ USB protector ระบบพวกนี้จะสร้าง policy ที่ใช้ในการป้องการ
การโดนโจมตีจากเครื่อง client และมีระบบจัดการจากศูนย์กลางทำให้ admin ทำงาน
ง่ายขึ้นมากคับ
OK คับที่ผมยกตัวอย่างมาให้ดู USB Hacking นี่ก็จะเป็นตัวอย่างนึงในรูปแบบการโจมตี
ที่ End-Point หรือเครื่อง client จากภายในซึ่งจิงๆแล้ว
การโจมตีจากภายในก็จะมีได้หลายรูปแบบไม่ว่าจะเป็นคนในองค์กรทำการ Hack เครื่องServer ขององค์กรหรือเอาวัยรัก(ไวรัส)มาจากบ้านแล้วมาติดเครื่องเพื่อนๆที่ทำงาน
ตัวอย่างเช่นคนภายในองค์กรเองเอาเครื่อง Notebook ไปติด Virus/Malware มาแล้ว
กลับมาต่อ LAN ภายในองค์กรก็สามารถจะทำให้เกิดการแพร่ของไวรัสได้ง่ายๆคับ
ที่ End-Point หรือเครื่อง client จากภายในซึ่งจิงๆแล้ว
การโจมตีจากภายในก็จะมีได้หลายรูปแบบไม่ว่าจะเป็นคนในองค์กรทำการ Hack เครื่องServer ขององค์กรหรือเอาวัยรัก(ไวรัส)มาจากบ้านแล้วมาติดเครื่องเพื่อนๆที่ทำงาน
ตัวอย่างเช่นคนภายในองค์กรเองเอาเครื่อง Notebook ไปติด Virus/Malware มาแล้ว
กลับมาต่อ LAN ภายในองค์กรก็สามารถจะทำให้เกิดการแพร่ของไวรัสได้ง่ายๆคับ
Credit: usbhacks
