วันนี้ผมจะมาเล่าให้ฟังเกี่ยวกับรูปแบบการโจมตีโดยการใช้ USB flash drive ธรรมดาที่
เราใช้กันอยู่นี่หล่ะคับเคยสังเกตุมั๊ยคับเวลาที่เราใส่แผ่น CD เข้าไปแล้วบางครั้งก็จะมีการเปิด
โปรแกรมบางอย่างขึ้นมาโดยไม่ได้บอกกล่าว นั่นหมายความว่า CD แผ่นนั้น
มีการทำ autorun โปรแกรมเพื่อให้มัน run โปรแกรมบางอย่างไว้คับ
USB drive หรือ Flash drive ก็ไม่แตกต่างกันเท่าไรคับเราสามารถจะ autorun
โปรแกรมอะไรก็ได้ที่เราตั้งค่าไว้คับโดยการที่เราสร้าง file ชื่อ autorun.inf ไว้ใน
USB drive นั้นๆคับ มาลองดูตัวอย่างกันเลยดีกว่า
ตัวอย่างที่ 1
เราจะทำให้ USB drive ธรรมดาของเราเนี่ยพอเสียบเข้าไปแล้วให้มัน autorun ขึ้นมาและให้มัน
ไปเรียกไฟล์ sam.bat ขึ้นมาทำงานโดยจะแสดง terminal ขึ้นมาว่า “Hello sam!!!” นะคับ
ก่อนอื่นเราก็เปิด Notepad ขึ้นมาและพิมพ์ลงไปตามรูป
เมื่อทำเสร็จแล้วก็ให้ save เป็นชื่อ autorun.inf ลงไปใน USB drive ของเราได้เลยคับ
ที่เราได้พิมพ์ลงไปนั้นจะมีความหมายดังนี้คับ
icon=folder.ico (กำหนดให้แสดง icon จากไฟล์ชื่อว่า folder.ico)
open=sam.bat (กำหนดให้รันไฟล์ sam.bat ซึ่งเป็นไฟล์ที่เราเขียนขึ้นมาเอง)
action=Click “OK” to open folder (ให้แสดงข้อความดังกล่าว)
หลังจากนั้นเราก็จะต้องสร้าง sam.bat เพื่อเป็นชุดคำสั่งที่จะให้มันทำตามโดยที่ผม
จะกำหนดให้มันพิมพ์คำว่า “Hello sam!!!” ออกมาทาง Terminal นะคับ
เหมือนเดิมคับเปิด notepad ขึ้นมาแล้วก็พิมพ์ดังนี้
แล้วก็ save เป็นชื่อ sam.bat ลงไปใน USB drive ได้เลยคับ
ส่วนความหมายใน sam.bat นี่ผมขอไม่กล่าวถึงแล้วกันนะคับ
เพราะว่าเป็นความรู้ในการเขียน batch file ธรรมดาๆ นี่เองคับ
ส่วนไฟล์สุดท้ายคือ icon ก็อาจจะลองใช้ที่ผมทำไว้ก็ได้นะคับ
ผมทำไว้ทั้งสามไฟล์แล้วสามารถ download ได้ตอนท้ายบทความคับ
คราวนี้พอเราถอด USB ออกแล้วเสียบเข้าไปใหม่ก็จะมี
หน้าต่างโผล่ขึ้นมาดังนี้คับ
หลังจากนั้นหากว่าคลิ๊ก OK แล้วก็จะได้ผลลัพท์ดังรูป
แสดงว่า sam.bat ได้ทำงานแล้ว แต่จะสังเกตุว่าหากว่าเราคลิ๊กที่ Cancel นั้น
หน้าต่างนี้ก็จะไม่แสดงขึ้นมานะคับเนื่องจากมันจะไม่ทำการเรียก sam.bat นั่นเอง
แต่ก็มีวิธีที่สามารถจะให้มันทำงานได้นะคับในตัวอย่างที่สอง มาลองดูกันดีกว่า
ตัวอย่างที่ 2
ให้ลองเปิด autorun.inf ขึ้นมาและเพิ่มคำสั่งเข้าไปบรรทัดนึงนะคับดังรูป
หลังจากนั้นก็ save และลองถอด USB แล้วใส่เข้าไปใหม่ดูกะจะมีหน้าต่าง
เด้งออกมาเหมือนเดิมคับ หลังจากนั้นก็คลิ๊ก Cancel ก็จะปิดไปไม่มีอะไร
เกิดขึ้นหลังจากนั้นไปที่ My Computer และคลิ๊กที่ Drive USB ซะ
คราวนี้ sam.bat ก็จะทำงานทันทีคับ
นอกจากจะสั่งให้มันทำการ autorun batch file ได้แล้วก็ยังสามารถสั่งให้
ทำการรัน application ก็ได้ด้วยนะคับโดยลองแก้คำสั่งใน autorun.inf ดังรูป
ให้ทดลองเหมือนเดิมเพื่อตรวจสอบดูผลลัพท์นะคับ
ถ้าหากว่ายังไม่เข้าใจหรือทำไม่ได้อาจจะลอง download file ตัวอย่างนี้
และ unzip ไว้ใน USB ของคุณก็ได้นะคับ
คราวนี้จะเกิดอะไรขึ้นถ้าหากว่ามีผู้ไม่ประสงค์ดีที่จะนำโปรแกรมต่างๆเช่น Virus, Trojan,
Sniffer, Scanner ใส่ลงไปและทำให้มัน autorun แล้วมาแอบเสียบ USB ที่เครื่องเราล่ะคับ?
อันตรายมากคับเพราะว่า autorun ของ USB นั้นจะทำงานแม้กระทั่งเรา disable autorun
ใน Windows เรียบร้อยแล้ว
คงจะจินตนาการภาพกันออกแล้วนะคับถึงภัยอันตรายที่แฝงมากับ USB drive ดังนั้นเพื่อความ
ปลอดภัยผมขอแนะนำดังนี้
- อย่าให้ใครมาเสียบ (USB Drive) ที่เครื่องเราง่ายๆ
- ติดตั้งโปรแกรม antivirus และทำการ update เสมอๆ
- อย่าเปิดเครื่องทิ้งไว้ โดยที่ไม่ได้ทำการ log-off
- อย่าเอา USB Drive ไปเสียบเครื่องคนอื่นมั่วๆ อาจจะติดอะไรมาก็ได้
วิธีป้องกัน
มีอยู่หลายวิธีคับในที่นี้ผมจะยกตัวอย่างมาสองวิธีนะคับ
1. ก็อาจจะประยุกต์ใช้ Group policy ในการ Disabled USB ได้โดยใช้
ADM template นะคับซึ่งสามารถ download ได้จาก
- ADM template
- ไฟล์ตัวอย่าง .adm
2. ถ้าหากว่าจะนำไปใช้ในองค์กร ก็อาจจะป้องกันได้โดย
ติดตั้งระบบ software security ที่ทำการป้องกันทางด้าน End-Point security
เช่นพวก NAC หรือ USB protector ระบบพวกนี้จะสร้าง policy ที่ใช้ในการป้องการ
การโดนโจมตีจากเครื่อง client และมีระบบจัดการจากศูนย์กลางทำให้ admin ทำงาน
ง่ายขึ้นมากคับ
OK คับที่ผมยกตัวอย่างมาให้ดู USB Hacking นี่ก็จะเป็นตัวอย่างนึงในรูปแบบการโจมตี
ที่ End-Point หรือเครื่อง client จากภายในซึ่งจิงๆแล้ว
การโจมตีจากภายในก็จะมีได้หลายรูปแบบไม่ว่าจะเป็นคนในองค์กรทำการ Hack เครื่อง
Server ขององค์กรหรือเอาวัยรัก(ไวรัส)มาจากบ้านแล้วมาติดเครื่องเพื่อนๆที่ทำงาน
ตัวอย่างเช่นคนภายในองค์กรเองเอาเครื่อง Notebook ไปติด Virus/Malware มาแล้ว
กลับมาต่อ LAN ภายในองค์กรก็สามารถจะทำให้เกิดการแพร่ของไวรัสได้ง่ายๆคับ
Credit: usbhacks
usb hack usb hacking usb hack usb hacking usb hack usb hacking
usb hack usb hacking usb hack usb hacking usb hack usb hacking
November 8, 2007 at 09:46
อันตรายจริงๆครับ
ทุกวันนี้ผมใช้วิธีพิมพ์ Drive Letter ใน Location Bar แทน ดูจะเป็นวิธีที่ปลอดภัยที่สุดแล้วครับ
November 8, 2007 at 20:32
สังเกต ไม่ต้องมีสระอุนะ
November 8, 2007 at 21:51
อืม เคยคิดไว้เล่น ๆ สุดท้ายก็มีคนทำด้วยแฮะ
ส่วนมาก เรียกจาก run เอาอ่า
November 8, 2007 at 22:03
บนแมคไม่เป็นไรครับ
เวลาเจอคนพีซีมีปัญหาอย่างนี้จะรับจัดการฆ่า autorun ให้ครับ
ด้วยการเอามาเสียบเครื่องเรา แล้วจัดการซีาาาา
(ผมใช้แมคน่ะครับ อิอิ)
บริการกำจัดไวรัสนะคับ
November 9, 2007 at 11:28
ใช้ตัว autorun killer อยู่
November 9, 2007 at 11:47
ไวรัสสมัยนี้ ก็ autorun แบบนี้อยู่แล้วนี่ครับ เจอประจำเลย
November 10, 2007 at 07:23
แวะมาอ่านคับ
คุณSamช่วยตอบคำถามผมหน่อยได้ไหมในblogเรื่องAircrackน่ะคับอันล่างๆอ่ะ
November 14, 2007 at 12:17
ยังไงๆก็อันตรายอยู่ดีครับ ถึงจะไม่ใช่อันที่ทำอยู่ก็ยังมีวิธีที่ทำอีกเยอะแยะครับ อย่างผมเนี่ยใช้มือถือควบคุมคอมพิวเตอร์ได้ อย่างนี้จะเอาอะไรมากันครับ คงจะต้องติดตั้งตัวสแกนไวรัสมือถือด้วยมั้ง ถ้ามีคนค้นพบช่วยบอกหน่อยนะครับ ผมอยากได้อ่ะครับ พอดีทดลองคอมของตัวเองโดยเอามือถือมาควบคุมแทนการใช้คอมเข้าแฮกอ่ะครับ และยังสามารถปล่อยไวรัสได้อีกด้วย อิอิอิอิ
November 15, 2007 at 13:21
รับทราบและจะระวังไว้ครับ ขอบคุณสำหรับข้อมูล
November 15, 2007 at 16:31
ขออนุญาต เอาบทความ พี่ไป ที่อื่นด้วยน่ะครับ
November 16, 2007 at 15:09
ยินดีคับ
แค่ให้ Credit ผมก็ ok แล้วคับ
November 21, 2007 at 18:23
ขอบคุณครับสำหรับข้อมูลดีๆ อย่างนี้ เป็นพระคูณอย่างสูง ครับ
January 25, 2008 at 15:58
ดีครับ พี่ sam เมื่อไหรจะเขียนบทความ ดีๆ แบบนี้ อีกครับ รอติดตามอยู่น่ะครับ
March 21, 2008 at 16:15
แล้วถ้าเป็น USB ที่เป็นแบบ U3 ล่ะครับ
จะมีประเด็นอะไรบ้างมั้ย
August 23, 2008 at 16:47
เพิ่งเจอเวปนี้ครับ ความรู้ดีมากๆครับ
ขอขอบคุณสำหรับความรู้ดีๆนะครับ
ถามนิดนึงครับ:
ไม่ทราบว่าจะขอติด FEED RSS ได้อย่างไรครับ
ลองเลือก RSS แล้วก็เห็นหน้าตอน submit เป็นภาษา ยึกยือ
เมื่อ add RSS แล้วก็ไม่สามารถแสดงผลได้น่ะครับ
มันขึ้นว่า
‘Live Bookmark feed failed to load’
ครับ
ขอบคุณมากครับ
September 4, 2008 at 20:43
ตามมาดู อีกจนได้ ว่าจาไม่แล้วนะเนี่ย
October 4, 2008 at 19:23
ผมอยากติดต่อพูดคุยกับคุณ Sam จังครับ พอจะมีทางไหนบ้างปะครับ
ที่ผมจะติดต่อคุณได้
December 30, 2008 at 13:19
Hi nice blog! keep it up. This blog provides most informatics information.
January 30, 2009 at 14:36
Hi,
Keep it up.
Doing a nice job
March 8, 2009 at 01:39
www.usbhacks.com/
ลองเข้าไปดูครับเค้าเขียนโปรแกรมไว้สุดยอดจริงๆ แค่โหลดมาแล้วแตกใส่ USB
เสร็จแล้วเอาไปเสียบที่รูสวรรค์เครื่องเหยื่อ ได้ Password มาเพียบเลย มันมีหลาย
โปรแกรม สามารถศึกษาวิธีใช้ได้จากใน Youtube ครับ
March 8, 2009 at 01:43
เด็กอินเดีย มาสอนใช้ครับ อันนี้แค่ส่วนหนึ่ง อันตรายจริงๆ USB Hack Drive
http://www.youtube.com/watch?v=yF2atXn2ydA&feature=related
March 17, 2009 at 20:27
ถ้าปิดการทำงาน autorun มันก็ไม่แสดง แล้วนิคับ
ส่วนมากคนที่รู้ก็จะปิดไว้นิคับ แล้ว ไป ทำ drive letter เหมือน คอมเม้นต์ข้างบนกัน น่ะคับ เหอะ หรือใครมีวิธีที่ป้องกันได้ดีกว่านี้บอกด้วยน่ะคับ
April 28, 2009 at 20:54
กด shift รัวๆ น่าจะกัน autorun ได้มั้ง? ไม่ได้ใช้ m$ นานละ..
May 18, 2009 at 16:00
ใช้ USB Disck Security ก็ OK นะ
June 26, 2009 at 15:59
ตัวนี้ครับอยู่หมัด
http://cpe17.com/yabb/Attachment/cpe17antiautorun1405.exe
ผมใช้อยู่ครับช่วยได้เยอะมากครับ
February 19, 2010 at 11:24
เพิ่งเข้าใจว่า autorun มันไม่ใช่ virus