Camfrog Analysis

21.12.06
SRAN Camfrog Analysis

โปรแกรม Camfrog ที่เป็นข่าวดังในช่วงนี้ ไม่ว่าหนังสือพิมพ์ฉบับใด ทีวีหลายช่องได้ทำข่าวไปแล้ว ว่ามีการกระทำพฤติกรรมไม่เหมาะสมขึ้นในการใช้งานโปรแกรมนี้ โดยจัดอันดับได้ว่าวัยรุ่นไทยได้ใช้งานโปรแกรม Camfrog อันดับ 3 ของโลก (ตามข่าวที่ปรากฏ) ทางทีมงาน SRAN-dev ได้จัดทำวิธีการตรวจจับ Camfrog โปรแกรมขึ้น ซึ่ง ณ เวลาที่เขียนการตรวจจับ content ชนิดนี้ขึ้น จากข้อมูลทั่วโลกแล้วไม่ว่าเป็น snort community หรือ snort VRT หรือ bleeding Threat และค้นหาข้อมูลการเขียน signature ใน google ยังไม่พบว่ามีใครทำมาก่อน ดังนั้นจึงถือได้ว่าเราเป็นทีมงานแรกที่ได้จับ content โปรแกรม Camfrog ขึ้น

ทางทีมงาน SRAN-dev จึงตั้ง LAB ทดสอบเพื่อวิเคราะห์ การจับ Packets ในการใช้งานโปรแกรม Camfrog ขึ้น ซึ่งจุดประสงค์ที่ต้องการตรวจจับการใช้งานโปรแกรม Camfrog มีหัวข้อดังนี้

1. การพยายามในการ login เพื่อใช้งานโปรแกรม camfrog ในฝั่ง client เพื่อติดต่อไปยัง server camfrog

2. การตรวจจับเมื่อมีการ login ผ่านแล้วทำการ join เข้าห้อง ซึ่งระบบตรวจจับสามารถระบุห้องที่ทำการเข้าถึงได้

3. การตรวจจับว่าชื่อ nickname อะไรเข้าห้องอะไร

4. การตรวจจับข้อความในการสนทนากันในห้องที่ทำการใช้งาน

ทั้งหมดนี้จะตรวจจับได้ก็ต่อเมื่อ ต้องทำการติดตั้งระบบตรวจจับผู้บุกรุกหรือที่เรียกว่า IDS/IPS ที่ปรับแต่งค่ามาเพื่อตรวจจับข้อมูลในส่วนนี้

ขั้นตอนในการวิเคราะห์ packets เพื่อนำมาทำเป็น signature บนระบบ SRAN ในโหมด Network IDS/IPS
328931520_af8dfd117f.jpg
รูปที่ 1 จับ packets โดยใช้โปรแกรม sniffer (wireshark) เพื่อจับพฤติกรรมและวิเคราะห์ payload ที่จะนำมาเขียนเป็น signature
328931521_8575531927.jpg
รูปที่ 2 เปิดโปรแกรมการติดต่อ ตาม Protocol
328931522_af8dfd117f.jpg
พบว่ามีการติดต่อ client IP 192.168.1.45 (ซึ่งอยู่ในวง LAN) ติดต่อไปที่ IP 63.236.61.130 ซึ่งเป็น Server Camfrog ที่เป็นตัวตรวจสอบในการ Login โปรแกรม Camfrog

เป็นการติดต่อแบบ TCP บน port 2778

ตรวจสอบค่า Data Payload โดยใช้ TCPdump ได้ช่วงที่ควรนำมาจัดทำ Signature ได้ดังนี้

43 46 31 30 38 00 00 00 06 00 00 00 00 12 00 00 00 54 45 53 54 20 30 30 31 0D 0A 54 45 53 54 20 30 30 32 11 00 00 00 01 02 02 02 02 80 80 01 0B 01 22 54 61 68 6F 6D 61

43 46 31 30 2E 00 00 00 06 00 00 00 00 08 00 00 00 54 45 53 54 20 30 30 31 11 00 00 00 01 02 02 02 02 80 80 01 0B 01 22 54 61 68 6F 6D 61

43 46 31 30 2E 00 00 00 06 00 00 00 00 08 00 00 00 54 45 53 54 20 30 30 32 11 00 00 00 01 02 02 02 02 80 80 01 0B 01 22 54 61 68 6F 6D 61

43 46 31 30 2E 00 00 00 06 00 00 00 00 08 00 00 00 54 45 53 54 20 30 30 33 11 00 00 00 01 02 02 02 02 80 80 01 0B 01 22 54 61 68 6F 6D 61

43 46 31 30 35 00 00 00 06 00 00 00 00 0F 00 00 00 C1 D2 E0 C1 D2 B9 D4 B9 B7 D2 E4 C3 B5 C3 D9 11 00 00 00 01 02 02 02 02 80 80 01 0B 01 22 54 61 68 6F 6D 61
ข้อมูลที่เจาะเพื่อนำเปรียบเทียบหากทำการ login ติดต่อเข้า server Camfrog

11 01 00 01 00 04 01 00 00 00

11 01 00 01 00 04 01 00 00 00

11 01 b0 6f 00 04 08 00 00 00

11 01 af a5 00 04 08 00 00 00

สังเกตตัวหนังสือตัวแดง ตรงนี้นำมาเขียนเพื่อใส่ใน snort ในการตรวจจับข้อมูลการใช้งาน โปรแกรม Camfrog

alert tcp $HOME_NET any -> 63.236.61.128/27 2778 (msg:”SRAN : CHAT CamFrog Login attemp”; flow:to_server,established;
content:”|04 08 00 00 00|”; classtype:policy-violation;)

เขียน signature ได้ดังนี้ กำหนดทุก IP ที่อยู่ภายในเครือข่าย หากติดต่อ server 63.236.61.128 ซึ่งดักไว้หลาย server จึงทำการ 63.236.61.128/27 การตรวจจับขึ้นโชว์ msg ว่า SRAN : CHAT Camfrog โดยจับ packets content ที่เป็นค่า Hex คือ 04 08 00 00 00 และจัดให้อยู่ในกลุ่ม policy-violation ซึ่งถือว่าเป็นการใช้งานที่ผิดวัตถุประสงค์

ในการใช้งานจริงเพื่อตรวจจับการเล่น Camfrog ควรวางเครือข่ายคอมพิวเตอร์ดังแผนภาพดังนี้
328931519_24351bc4db_o.jpg
ภาพเมื่อระบบ SRAN Security Center ติดตั้งในเครือข่ายคอมพิวเตอร์ เราจะสามารถตรวจจับการใช้งานโปรแกรม Camfrog หรือทำการป้องกันมิให้ใช้โปรแกรมดังกล่าว ดังนี้

1. หากมีการ Login เพื่อทำการใช้งาน Camfrog อุปกรณ์จะบอกได้ว่า IP ใดที่ทำการติดต่อ login อยู่
328950596_745a33fa5b.jpg
ลูกศรหมายเลข 1 บอกถึงเหตุการณ์การใช้งานโปรแกรม Camfrog ที่เกิดขึ้นในช่วงเวลานั้น

2. ตรวจถึง Source IP ที่ทำการติดต่อโปรแกรม Camfrog และ Server ปลายทาง Camfrog ได้
328951197_dd4ee585d2_o.png
3. ตรวจ content ในการใช้งานไม่ว่าเป็น join เข้าห้องอะไร ชื่อ nickname ที่ใช้ รวมถึง การพิมพ์ข้อความในห้อง chat room

client ที่ลง camfrog program IP : 192.168.1.222 กำลังติดต่อ Chat Room Camfrog ที่ตั้งขึ้น IP : 202.151.178.125

client ที่ลง camfrog program IP : 192.168.1.3 กำลังติดต่อ Caht Room Camfrog ที่ตั้งขึ้น IP : 202.142.222.97 ซึ่งติดตั้ง program camfrog server
328952115_97267586a1_o.png
ภาพวีดิโอ สาธิตในการตรวจจับโปรแกรม Camfrog ==> SRAN Analysis Camfrog #1

ภาพวีดิโอ สาธิตในการป้องกันการใช้งานโปรแกรม Camfrog ==> SRAN Analysis Camfrog #2

เสนอความคิดเห็น การใช้งานโปรแกรม IM (Instant messaging) โดยเฉพาะ Camfrog

วิธีการป้องกัน Camfrog หากจะทำแบบห้ามเล่นเด็ดขาด (ซึ่งผู้เขียนไม่แนะนำให้ทำ) คือให้ ISP block การเชื่อมติดต่อระหว่าง IP ช่วง 63.236.61.128/27 ซึ่งเป็น Server ที่ใช้ในการตรวจดูการ login ของเครื่อง client ที่ลง Program Camfrog

วิธีสืบหาห้องมีเจตนาไม่หวังดี และ IPเครื่อง client ที่มีพฤติกรรมไม่เหมาะสม สามารถค้นหาได้จาก IP Camfrog server โดย IP นี้จะทำการเปิดห้อง Chat Room ไว้ทำให้สามารถตามหา IP นี้ได้จาก ISP และค้นหาเบอร์โทรศัพท์บ้านได้ตามลำดับ

การใช้โปรแกรม IM ต่างๆ ไม่ว่าเป็น MSN, Yahoo , ICQ หรือ Camfrog ล้วนเป็นโปรแกรมการสื่อสาร ที่มีทั้งคุณและโทษในการใช้ ส่วนใหญ่แล้วจะสร้างให้เกิดความรวดเร็วในการสื่อสารมากขึ้น ส่วนข้อเสียส่วนใหญ่แล้วเกิดจากการใช้งานผิดประเภท และ ในส่วนตัวแล้วไม่จำเป็นต้องระงับการใช้งาน IM นี้ แต่ควรเลือกใช้งาน และสร้าง หิริโอตะปะ (การละอายต่อการทำบาป) ให้เกิดขึ้นกับผู้ใช้งานส่วนใหญ่

ทีมงาน SRAN-Dev

21/12/49

analysisforensicsignature
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License