บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm วิเคราะห์การทำงานของ VIRUS และวิธีการป้องกันสำหรับอนาคต
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
นับตั้งแต่นาย Robert T. Morris นักศึกษามหาวิทยาลัย Cornell ได้ทำการปล่อย “หนอนอินเทอร์เน็ต” ตัวแรกของโลกที่ทำให้อินเทอร์เน็ตปั่นป่วนไปทั่วอเมริกาในปี 1988 ซึ่งกลายเป็นต้นแบบของ “Internet Worm” ทำให้เกิด Worm ต่าง ๆ ตามมามากมาย เช่น Code Red/Nimda Worm ที่เรารู้จักกันดี ล่าสุด “Blaster Worm” , “MSBlast” หรือ LovSan” เป็น worm ที่ระบาดอย่างรุนแรงที่สุด โดยอาศัยช่องโหว่ RPC DCOM ของ Microsoft Windows Platform ตั้งแต่ Windows NT, Windows 2000 จนถึง Windows XP ตลอดจน Windows Server 2003 โดยก่อนที่ worm จะระบาดไปทั่วนั้น Hacker ได้ค้นพบช่องโหว่ ( Vulnerability ) ของ Windows Platform แล้วทำโปรแกรมเจาะระบบ ( Exploit ) มาเผยแพร่ในอินเทอร์เน็ต จากนั้นอีกไม่กี่วันต่อมาเจ้า Blaster Worm ก็ออกมาอาละวาดในอินเทอร์เน็ต โดยทำให้เครื่อง PC ส่วนใหญ่ที่ใช้ Windows XP อยู่ในเวลานี้เกิดอาการ Shutdown ขึ้นมาดื้อ ๆ หรือ เครื่อง Windows 2000 ก็จะออกอาการไม่
สามารถที่จะ Copy/Paste Folder ต่าง ๆ ได้ เล่นเอาผู้ดูแลระบบล้วนปวดหัวไปตาม ๆ กัน
จากปัญหาของหนอนอินเทอร์เน็ตที่เกิดขึ้นอยู่เป็นระยะ ทำให้เรามองเห็นแนวโน้มในอนาคตว่าจะต้องมีช่องโหว่ และไวรัส ตัวใหม่ ๆ เกิดขึ้นอีกอย่างแน่นอน ซึ่งตอนนี้ก็มีไวรัสที่ทำงานในรูปแบบเดียวกับ Blaster เกิดขึ้นตามมาอีก หลายตัว เราเรียกอาการแบบนี้ว่าเป็น “Variant” ของไวรัสต้นแบบ เช่น ต้นแบบคือ Blaster.A ไวรัสที่เป็น Variant ก็จะเปลี่ยนอักษรตัวสุดท้ายไปเรื่อย ๆ เช่น Blaster.D หรือ Blaster.E อะไรทำนองนี้ แต่อาการของมันจะมีความแตกต่างกัน โดยปกติแล้วไวรัส Variant ที่ออกมาทีหลังจะมีระดับความรุนแรงในการทำลายล้างมากกว่า เช่น Blaster ตัวต้นแบบอาจจะแค่ Shutdown เครื่อง PC แต่ตัวหลัง ๆ อาจจะลบไฟล์หรือ ก่อความเสียหายให้กับระบบมากกว่าตัวแรกก็เป็นไปได้ ซึ่งขณะนี้ก็มีตัวใหม่ออกมาแล้วชื่อ W32.Nachi.Worm (หรือชื่อ MSBLAST.D, Welchia)
โดยจะทำการส่ง Packet ICMP จำนวนมากออกมาท่วม (Flood) เครือข่ายของเรา ซึ่งส่งผลให้มีความคับคั่งของข้อมูลในเครือข่ายสูง ซึ่ง Blaster ตัวต้นแบบไม่มีอาการในทำนองนี้
เราควรมีวิธีป้องกันไวรัสหรือหนอนอินเทอร์เน็ตตัวใหม่ ๆ ที่จะเกิดขึ้นในอนาคตอย่างถูกวิธีโดย เราควรแบ่งแยกวิธีการแก้ปัญหาออกตามประเภทของการใช้งานว่าเป็น ผู้ใช้ตามบ้าน (Home users) หรือ ผู้ใช้ระดับองค์กร (Corporate users) ที่ใช้เครื่อง PC ที่ทำงานด้วย Windows OS เป็นจำนวนมาก
ในระดับผู้ใช้งานตามบ้านนั้น ควรจะมีการติดตั้งโปรแกรม ประเภท Personal firewall เช่น Zone Alarm (ตัวที่ไม่เสียเงินคือ ZoneAlarm ธรรมดา ถ้าเป็น ZoneAlarm Pro จะไม่ฟรีนะครับ) หรือ Sygate Personal Firewall ก็ได้ ในกรณีของ Windows XP และ Windows Server 2003 ก็มี Firewall ในตัวอยู่แล้วซึ่งเราสามารถจะ “enable” มาใช้งานได้ ( รายละเอียดดูได้ที่ www.microsoft.com/security) จากนั้นถ้ามีเวลาก็ควร Update Windows ของเราด้วยการติดตั้ง “Patch” เพื่อแก้ปัญหาอย่างถาวรโดยสามารถ Download ได้จาก Web site “Windows
Update”http://windowsupdate.microsoft.com เราพบว่าในทางปฏิบัติ Windows Update นั้นผู้ใช้ตามบ้านมักจะไม่ค่อยทำถ้าไม่มีความรู้เรื่องช่องโหว่ใหม่ ๆ หรือไม่ได้ตระหนัก (Awareness) ว่าต้องคอยลง Patch อยู่เป็นประจำ ดังนั้นการติดตั้ง Personal Firewall หรือ การติดตั้งโปรแกรม Anti-Virus โดยหมั่น Update “Virus Signature” บ่อย ๆ เห็นจะเป็นวิธีที่จะดูสะดวกกว่า ซึ่งจริง ๆ แล้วการ “Update Patch” นั้นเป็นวิธีที่ดีที่สุดแต่อาจจะไม่ค่อยสะดวกสำหรับผู้ใช้ที่มี bandwidth ต่ำและคนที่ขี้เกียจลง Patch เป็นต้น ในกรณีที่ติดไวรัสเข้าไปแล้วก็ควรทำการ “Remove” เจ้าไวรัสตัวร้ายให้หมดไปจากเครื่องเสียก่อนที่จะทำการปิดช่องโหว่นะครับ
สำหรับผู้ใช้ระดับองค์กรผมแนะนำว่าที่ PC workstation ในเครือข่าย LAN ให้ใช้วิธีเดียวกับผู้ใช้ตามบ้านแต่ให้เพิ่มการ update virus signature และ update Windows Patch ด้วยวิธีอัตโนมัติโดยใช้ความสามารถของโปรแกรม Anti-Virus ให้ลักษณะ Enterprise Update และใช้โปรแกรม HFNetchk LT (ฟรี) หรือ HFNetchk Pro (ต้องซื้อ) มาทำการ Deploy Patch ให้แก่ PC Workstation ในลักษณะ Automatic หลายเครื่องพร้อม ๆ กัน
นอกจากนี้ควรติดตั้ง IDS (Intrusion Detection System) เช่น snort ในการตรวจจับ traffic ของไวรัสตัวใหม่ที่จะเกิดขึ้น ตลอดจนเขียน Access List ที่ Border Router เพื่อทำการ Block Port ที่ไวรัสชอบเจาะเป็นประจำ เช่น Port TCP 135, 137, 139, 445 และ Port ที่ไวรัสใช้ในการกระจายตัวเอง เช่น Port UDP 69 (TFTP) เป็นต้น จะช่วยให้ป้องกันองค์กรของเราไม่ให้ไวรัสกระจายเป็นวงกว้างและปิดกั้นเส้นทางของไวรัสในการกระจายออกสู่ระบบ WAN อย่างได้ผล
ในฉบับหน้าเราจะพูดถึงเทคนิคการป้องกันแนวใหม่สำหรับเครือข่ายระดับองค์กร อย่าลืมติดตามนะครับ
จาก : หนังสือ eLeaderThailand
ฉบับที่175 ประจำเดือนกันยายน 2546
Update Information : 15 กันยายน 2546