ครั้งนี้เราจะใช้เทคนิคในการวิเคราะห์ข่าวกรองทางไซเบอร์ (Cyber Threat Intelligence: CTI) เพื่อขยายผลจาก phishing domain เพียงอันเดียว ไปสู่การตรวจพบอีก 8,500+ โดเมน ที่อยู่ในมือของแฮกเกอร์กลุ่มเดียวกัน ซึ่งกระบวนการนี้อาจจะเรียกได้ว่าเป็น proactive threat intelligence ก็ว่าได้ครับ

เริ่มต้นจากการค้นหา phishing domain ที่น่าสนใจ

เรื่องของเรื่องคือ ผมได้เคยมีโอกาสอ่านบล็อกของนักวิจัยด้านความปลอดภัยไซเบอร์ชื่อ Matthew ซึ่งมีเนื้อหาเกี่ยวกับการตามสืบเพื่อค้นหา infrastructure ของแฮกเกอร์โดยเริ่มต้นจากโดเมนเพียงอันเดียวแล้วทำให้รู้สึกสนใจ จึงอยากลองหัดทำดูบ้างโดยใช้ตัวอย่างที่เกี่ยวข้องกับประเทศไทยเป็นหลัก (แน่นอนครับ ถ้าคนไทยไม่ทำข่าวกรองทางไซเบอร์กันเอง แล้วใครที่ไหนจะทำให้เรา?)

หลังจากลองค้นหาใน Any.Run ปรากฏว่าผมพบ public submission อันหนึ่งซึ่งเป็น URL ต้องสงสัยที่ถูกอัพโหลดจากประเทศไทยเมื่อวันที่ 25 มิ.ย.67 และที่น่าสนใจคือ URL ดังกล่าวถูกระบุว่าไม่เป็นอันตราย (No threats detected)

ภาพที่ 1 รายละเอียดการวิเคราะห์ phishing URL ภายในเว็บไซต์ Any.Run

ทุกท่านสามารถดูรายละเอียดของ URL ต้องสงสัยได้จากข้อมูลด่านล่างนี้ครับ ซึ่งสำหรับท่านที่คุ้นเคยกับ cybersecurity ดีอยู่แล้ว น่าจะทราบได้ทันทีที่เห็น ว่า URL ดังกล่าวใช้ประโยชน์จากการละเมิดการใช้งาน Google URL Redirection แต่เราจะไม่พูดถึงรายละเอียดเกี่ยวกับการทำงานของ phishing กันในตอนนี้เพราะเราจะโฟกัสไปที่การตามล่า infrastructure เป็นหลัก

hxxps://www.google[.]com/url?q=//www.google.com.co/amp/s/899415.imfgo.org/zagiryegrt/qopfhygt/paorufgh/3ipmnw/pa[redacted]ir@bum[redacted]rad.com

ถ้าสมมติเราคลิ๊กไปที่ URL ต้องสงสัยในข้างต้น ปลายทางสุดท้ายมันจะพาเราไปสู่หน้าเว็บเพจปลอมของ Outlook Login ที่ถูกสร้างเอาไว้บนโดเมนชื่อ yamstel[.]com ซึ่งจะถูกใช้สำหรับหลอกดักรหัสผ่านโดยมีเป้าหมายคืออีเมล pa[redacted]ir@bum[redacted]rad.com ซึ่งเป็นอีเมลของพนักงานโรงพยาบาลเอกชนชื่อดังแห่งหนึ่งในประเทศไทย

ทีนี้เราก็ได้สารตั้งต้นสำหรับการตามล่าแล้วนะครับ ซึ่งก็คือ phishing domain ที่ชื่อ yamstel[.]com

ภาพที่ 2 รายละเอียดในหน้า phishing page จะเห็นได้ว่าแฮกเกอร์เตรียมการมาเพื่อโจมตีโรงพยาบาลเอกชนชื่อดังแห่งนี้โดยเฉพาะ

สืบหาข้อมูลเพิ่มเติมจาก phishing domain ที่พึ่งค้นพบ

เราสามารถเริ่มต้นสืบจากข้อมูลพื้นฐานของโดเมน โดยการตรวจสอบข้อมูล Whois record ซึ่งบางครั้งสามารถให้รายละเอียดเกี่ยวกับ โดเมน, ผู้จดโดเมน (ต่อไปนี้จะเรียกย่อ ๆ ว่า ผู้จด), และบริษัทที่รับจดโดเมน ซึ่งขึ้นอยู่กับว่าผู้จดให้ความสำคัญกับความเป็นส่วนตัวมากแค่ไหน โดยผู้จดสามารถซื้อบริการเพื่อเซ็นเซอร์ข้อมูลเหล่านี้ได้ ทำให้เป็นอุปสรรคต่อการวิเคราะห์เป็นอย่างมาก

สำหรับกรณีของโดเมน yamstel[.]com เราสามารถดูข้อมูล Whois record ในส่วนที่เกี่ยวกับโดเมน (Domain Information) ได้ เช่น วันที่จดทะเบียนโดเมน บริษัทที่รับจด และข้อมูล Nameserver (NS) แต่เป็นที่น่าเสียดายเพราะเราพบว่ามันถูกวางไว้หลัง Cloudflare ทำให้เป็นเรื่องยากที่จะสืบหาหมายเลขไอพีที่แท้จริงของโดเมนดังกล่าวได้

ภาพที่ 3 ข้อมูล Domain Information ที่พบจากการตรวจสอบข้อมูลใน Whois record

แต่อย่าพึ่งเสียใจไปครับ โชคยังเข้าข้างเราอยู่บ้างเพราะแฮกเกอร์ไม่ได้ใช้บริการเซ็นเซอร์ข้อมูลทำให้เราสามารถดูข้อมูลเกี่ยวกับผู้จด (Registrant Contact) ได้ ตอนนี้เราจึงทราบว่าโดเมน yamstel[.]com ถูกจดทะเบียนโดยผู้ใช้ชื่อ Suiot Dishak ซึ่งถึงแม้อาจจะเป็นชื่อปลอม แต่ก็ควรค่าแก่การนำไปใช้ติดตาม (track) การโจมตีได้ในอนาคต

ถึงตอนนี้สิ่งที่น่าเร้าใจกำลังจะเกิดขึ้น เพราะเราพบว่าแฮกเกอร์ใช้อีเมล sui89657@proton[.]me ในการจดทะเบียนโดเมน ซึ่งข้อมูลอันนี้เป็นเสมือนใบเบิกทางไปสู่สวนหลังบ้านของแฮกเกอร์ครับ

ภาพที่ 4 ข้อมูล Registrant Contact ที่พบจากการตรวจสอบข้อมูลใน Whois record

ประโยชน์ของการค้นพบอีเมลที่แฮกเกอร์ใช้ในการจดโดเมนก็คือ เราสามารถนำอีเมลดังกล่าวไปตรวจสอบย้อนกลับเพื่อค้นหาโดเมนอื่น ๆ ที่ถูกจดทะเบียนด้วยอีเมลเดียวกันนั้นได้ หรือที่เรียกว่า Reverse Whois Lookup โดยในครั้งนี้เราจะใช้บริการของเว็บไซต์ชื่อ WHOXY.com เพื่อตรวจสอบข้อมูลดังล่าว ซึ่งผลลัพธ์ที่ได้คือ เราค้นพบว่ามีโดเมนทั้งหมด 18 รายการ ถูกจดทะเบียนด้วยอีเมล sui89657@proton[.]me

ภาพที่ 5 ผลลัพธ์จากการตรวจสอบข้อมูลการจดทะเบียนโดเมนด้วยวิธี Reverse Whois Lookup โดยใช้อีเมลของแฮกเกอร์

นอกเหนือจากชื่อของโดเมนทั้ง 18 รายการ ที่เราค้นพบเพิ่มเติมนี้แล้ว ถ้าเรามองดูในรายละเอียดจะพบสิ่งที่น่าสนใจ ดังนี้

• เรารู้แน่แล้วว่าแฮกเกอร์มักจะใช้บริษัทที่รับจดทะเบียนชื่อ PSI-USA, Inc. และ PDR Ltd. ดังนั้นถ้าองค์กรของใครเป็นเป้าหมายของแฮกเกอร์กลุ่มนี้ ในระหว่างการรับมือการโจมตีทางไซเบอร์ก็ควรจับตาโดเมนที่จดทะเบียนผ่านบริษัทเหล่านี้ไว้เป็นพิเศษ
• โดเมนหลายรายการถูกตั้งชื่อโดยใช้รูปแบบ ชุดอักษร-{ตัวย่อประเทศ}.com ยกตัวอย่างเช่น atnpetroleum-tz[.]com และ coralenregy-ch[.]com เป็นต้น
• เราจะพบว่าแฮกเกอร์พยายามปลอมแปลงชื่อโดเมนบางรายการให้คล้ายกับชื่อโดเมนขององค์กรเป้าหมาย เช่น โดเมนที่เราค้นพบล่าสุด ahmedfood-pk[.]com ถูกพบว่ามีความพยายามปลอมแปลงให้คล้ายกับชื่อโดเมน ahmedfood[.]com.pk ของบริษัท Ahmed Foods ที่ตั้งอยู่ในประเทศปากีสถาน
• โดเมนเหล่านี้ถูกจดทะเบียนในช่วงเดือน ก.ค.66 - พ.ย.66 แต่ถูกแบ่งนำมาใช้โจมตีจริงเป็นสองช่วงคือ ช่วงที่หนึ่งระหว่างเดือน ก.ย.66 - พ.ย.66 และ ช่วงที่สองในเดือน เม.ย.67

นอกจากนี้หากเราเช็กการตั้งค่า Nameserver (NS) และ Mail Exchange (MX) ของโดเมนทั้ง 18 รายการ จะพบว่า สำหรับโดเมนที่ไม่ได้อยู่หลัง Cloudflare มีการตั้งค่า NS เหมือนกันทั้งหมดคือ orderbox-dns[.]com และใช้ MX เหมือนกันทั้งหมดคือ mailhostbox[.]com

ภาพที่ 6 รายละเอียดข้อมูล NS และ MX ของโดเมนบางรายการที่ไม่ได้อยู่หลัง Cloudflare

ข้อมูลที่เราค้นพบในเบื้องต้นนี้จะเป็นประโยชน์ในภายหลังเมื่อเราต้องการยืนยันว่ามีโดเมนใดบ้างที่เข้าข่ายต้องสงสัย

ทีนี้ ถึงเวลาที่เราจะสืบกันต่อโดยใช้ชื่อโดเมนทั้ง 18 รายการ ที่เราพึ่งค้นพบล่าสุดครับ

สืบกันต่อ ไปให้ลึกขึ้นกับโดเมนทั้ง 18 รายการ

ในลำดับต่อไป เราจะตรวจสอบข้อมูล DNS record ของโดเมนทั้ง 18 รายการ โดยใช้บริการของเว็บไซต์ชื่อ InfoByIp.com ซึ่งต้องขอบอกเลยว่าผลลัพธ์ที่ได้เป็นที่น่าพอใจพอสมควรครับ

ในครั้งนี้ เราพบว่าแฮกเกอร์ไม่ได้วางทุกโดเมนเอาไว้หลัง Cloudflare ทำให้เราสามารถมองเห็นข้อมูลหมายเลขไอพีที่แท้จริงของโดเมนบางส่วนจากใน Address (A) record ซึ่งได้แก่ 5.230.44[.]64, 193.239.84[.]207, และ 45.91.171[.]151

ภาพที่ 7 ข้อมูลใน A record เผยให้เห็นหมายเลขไอพีที่แท้จริงของโดเมนบางส่วน

เพื่อไม่ให้บทความยืดเยื้อเกินไป ผมจะหยิบแค่ไอพีหมายเลข 193.239.84[.]207 มาแสดงเป็นตัวอย่างในการสืบหาข้อมูลในลำดับถัดไป ซึ่งกระบวนการวิเคราะห์ทั้งหมดนี้สามารถนำไปใช้กับหมายเลขไอพีใดก็ได้ครับ

ทีนี้ เราจะนำไอพีหมายเลข 193.239.84[.]207 ไปทำการตรวจสอบแบบย้อนกลับด้วยวิธี Passive DNS Lookup ซึ่งจะทำให้เราสามารถดูได้ว่ามีโดเมนใดบ้างที่ถูกชี้มายังหมายเลขไอพีนี้ แล้วจึงค่อยพิเคราะห์ดูว่าโดเมนไหนบ้างที่เข้าข่ายต้องสงสัย

เครื่องมือในการทำ Passive DNS Lookup มีหลายตัวให้เลือกใช้ แต่ในที่นี้ผมจะใช้เครื่องมือชื่อ SilentPush ในการตรวจสอบ โดยผลลัพธ์ที่ได้พบว่ามีโดเมนประมาณ 130,135 รายการ ชี้มายังไอพี 193.239.84[.]207 ซึ่งการจะตรวจสอบรายละเอียดทุกโดเมนดูจะเป็นไปได้ยาก ดังนั้นเราจำเป็นต้องโฟกัสไปยังโดเมนที่ตรงกับความสนใจของเราจริง ๆ เท่านั้น

ภาพที่ 8 ผลลัพธ์จำนวน 130,135 รายการ จากการตรวจสอบ Passive DNS ของหมายเลขไอพี 193.239.84[.]207

ถ้ายังจำกันได้ โดเมนทั้ง 18 รายการ ที่เราค้นพบก่อนหน้านี้ถูกจดทะเบียนในช่วงเดือน ก.ค.66 - พ.ย.66 เราสามารถนำข้อมูลนี้มาใช้ในการคัดกรองได้ ทำให้จากโดเมนจำนวน 130,135 รายการ ถูกคัดกรองเหลือแค่ 4,000 รายการ โดยประมาณ

ภาพที่ 9 ผลลัพธ์จากการคัดกรองโดยกำหนดช่วงเวลา

ต่อมา เราจะคัดเลือกเฉพาะโดเมนที่มีชื่อตรงกับรูปแบบ ชุดอักษร-{ตัวย่อประเทศ}.com ซึ่งเป็นรูปแบบที่เราตรวจพบมาก่อนหน้านี้ โดยผมพยายามที่จะใช้คำสั่ง regular expression: ^\w+-[a-z]{2}.com$ บนเว็บไซต์ SilentPush แต่พบอุปสรรคบางประการจึงไม่สามารถดำเนินการต่อไป ผมจึงเปลี่ยนไปใช้วิธีการ ‘ดูด’ รายการของโดเมนทั้งหมดเท่าที่จะทำได้จนกว่าโควตาของผมจะหมด ซึ่งรางวัลที่ได้คือโดเมนที่ตรงสเปคเราจำนวนทั้งสิ้น 387 รายการ

ภาพที่ 10 บางส่วนของโดเมนที่คัดกรองมาได้จำนวน 387 รายการ

ลำดับต่อมาคือ การพิเคราะห์ดูว่าโดเมนทั้ง 387 รายการนี้ มีโดเมนใดบ้างเข้าข่ายน่าสงสัย โดยเราสามารถนำเงื่อนไขที่เราเรียนรู้จากโดเมนทั้ง 18 รายการก่อนหน้านี้ มาใช้ในการพิจารณาเพิ่มเติม ได้แก่

• ใช้บริษัทรับจดทะเบียนคือ PSI-USA, Inc. หรือ PDR Ltd.
• ใช้ orderbox-dns[.]com เป็น NS
• ใช้ mailhostbox[.]com เป็น MX

ซึ่งผลลัพธ์ที่ได้คือ มีโดเมนที่เข้าเงื่อนไขทั้งหมด 336 รายการ ดังนั้น ณ จุดนี้ เราสามารถพูดได้แล้วว่า เราค้นพบโดเมนต้องสงสัยเพิ่มเติมอีก 336 รายการ ซึ่งมีโอกาสสูงที่โดเมนเหล่านี้จะอยู่ในการครอบครองของแฮกเกอร์คนเดียวกัน

ภาพที่ 11 ผลลัพธ์จากการนำโดเมนบางส่วนไปตรวจสอบบนเว็บไซต์ www.bulkblacklist.com

ถึงตรงนี้ กระบวนการสืบ ตรวจสอบ และวิเคราะห์ ก็ได้จบลงแต่เพียงเท่านี้ ทว่าในโลกของความเป็นจริงทุกท่านยังคงสามารถเลือกที่จะหยิบหมายเลขไอพีหรือโดเมนใด ๆ ก็ได้เพื่อนำไปเข้าวงรอบการตรวจสอบได้แบบไม่รู้จบ

เอาล่ะ ก่อนเราจะลาจาก โปรดอนุญาตให้ผมแสดงอะไรให้ดูซักอย่างนะครับ

Muhammad กับ Appleseed ของเขา

ผมได้ลองเช็กโดเมนจากชุด 336 รายการ พบว่ามีโดเมนที่มีชื่อคล้ายองค์กรในประเทศไทยจำนวน 5 รายการ ได้แก่ sinologistic-th[.]com, panuspoultry-th[.]com, mmplogistics-th[.]com, mama-th[.]com, และ harachu-th[.]com ซึ่งองค์กรเหล่านี้น่าจะเป็นเป้าหมายการโจมตีของแฮกเกอร์เช่นเดียวกัน

ผมนำชื่อโดเมนในข้างต้น มาไล่เช็คดูข้อมูล Whois record และนำอีเมลที่พบจาก Registrant Contact ไปตรวจสอบต่อด้วยวิธี Reverse Whois Lookup ซึ่งสิ่งที่ผมค้นพบค่อนข้างเกินความคาดหมายอย่างมาก กล่าวคือ ผมพบว่าโดเมน mmplogistics-th[.]com ถูกจดทะเบียนด้วยอีเมล muhammad.appleseed1@mail[.]ru ซึ่งเมื่อนำไปตรวจสอบย้อนกลับ พบว่าอีเมลนี้ถูกใช้ในการจดทะเบียนโดเมนรวมทั้งสิ้น 8,149 รายการ (ข้อมูล ณ 5 ก.ค.67) ซึ่งชื่อโดเมนที่เพิ่งถูกจดทะเบียนล่าสุดเกิดขึ้นเมื่อวันที่ 30 ก.ค.67

ภาพที่ 12 ผลลัพธ์บางส่วนจาก Reverse Whois Lookup

นอกจากนี้ยังพบว่าในปี 2563 ทางบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ REDTEAM.PL ได้เคยรายงานเกี่ยวกับอีเมล muhammad.appleseed1@mail[.]ru มาแล้ว ว่ามีความเกี่ยวข้องกับโดเมนที่ถูกนำไปใช้ในการโจมตีทางไซเบอร์ด้วยเทคนิค Business Email Compromise (BEC)

ภาพที่ 13 รายงานของ REDTEAM.PL ในปี 2563

จากข้อมูลที่พบ ทำให้ทราบว่าแฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการมาแล้วอย่างน้อย 4 ปี และยังคงดำเนินการอยู่จนถึงปัจจุบัน นอกจากนี้ยังมีการพัฒนาขีดความสามารถเพิ่มขึ้นจากการโจมตีด้วยเทคนิค BEC มาเป็นการใช้เทคนิค Adversary-in-the-Middle (AiTM)

ภาพที่ 14 แฮกเกอร์กลุ่มนี้ทำให้ผมนึกถึง meme จากภาพยนต์ชื่อดังเรื่อง John Wick

ก่อนจากลา

ขอสรุปแบบสั้น ๆ ดังนี้ เราเริ่มต้นจากการค้นพบว่ามี phishing campaign กำลังโจมตีโรงพยาบาลเอกชนชื่อดังแห่งหนึ่งในประเทศไทย โดยมีการใช้ phishing domain ชื่อ yamstel[.]com และเราใช้เทคนิคการวิเคราะห์จนนำไปสู่การค้นพบโดเมนที่ต้องสงสัยอีกอย่างน้อย 8,503 รายการ ซึ่งมีโอกาสสูงที่จะอยู่ในการครอบครองโดยแฮกเกอร์กลุ่มเดียวกัน

เราค้นพบว่า phishing campaign นี้ นอกจากจะโจมตีโรงพยาบาลเอกชนชื่อดังในไทยแล้ว ยังโจมตีองค์กรอื่น ๆ ทั้งในประเทศไทยและทั่วโลกอีกนับไม่ถ้วน โดยแฮกเกอร์ได้เริ่มปฏิบัติการมาแล้วอย่างน้อย 4 ปี และยังคงดำเนินการโจมตีอยู่ในปัจจุบัน อีกทั้งยังมีการพัฒนาขีดความสามารถในการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง ทั้งการพัฒนาจากเทคนิค BEC ไปสู่ AiTM รวมไปถึงการเพิ่มจำนวนโดเมนที่จะนำไปใช้เป็นเครื่องมือในการโจมตีอยู่ตลอดเวลา ซึ่งแสดงให้เห็นว่าแฮกเกอร์กลุ่มนี้ ‘ไม่กระจอก’ นะครับ :-)

และเราค้นพบข้อมูลทั้งหมดนี้โดยเริ่มต้นมาจาก phishing domain แค่ 1 รายการ ครับ ดังนั้น เราจะบล็อคทีละโดเมนทำไมในเมื่อเราบล็อคทีละ 8,500 โดเมนได้ 😼

ทั้งนี้ท่านที่สนใจดูข้อมูล Indicators of Compromise (IOCs) สามารถดูได้จาก ‘ที่มา’

ขอบคุณทุกท่านที่ทนอ่านจนจบครับ

ที่มา - ปรับปรุงบางส่วนจาก FatzQatz’s Medium Blog Post, Indicators of Compromise (IOCs)