1 คะแนน โดย GN⁺ 2025-01-13 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • watchTowr Labs จดทะเบียนโดเมนที่หมดอายุหรือถูกปล่อยทิ้งใหม่อีกครั้ง เพื่อดักจับ แบ็กดอร์ callback ภายในเว็บเชลล์ และสังเกตทราฟฟิกที่รายงานเข้ามาจากแบ็กดอร์ที่ยังทำงานอยู่แบบไม่ซ้ำกันมากกว่า 4,000 รายการ
  • หากเว็บเชลล์มีฟังก์ชันแอบแฝงที่ส่งตำแหน่งที่ถูกติดตั้งหรือรหัสผ่านกลับไปยังโดเมนของผู้สร้างเดิม เมื่อโดเมนหมดอายุ เจ้าของใหม่ก็อาจได้รับ บันทึก callback เหล่านั้นได้
  • ระบบที่ถูกสังเกตรวมถึงระบบภาครัฐใน Bangladesh, China และ Nigeria รวมถึงมหาวิทยาลัยและสถาบันอุดมศึกษาใน Thailand, China, South Korea และที่อื่น ๆ โดยมีการสะสมล็อกมากกว่า 300MB
  • หลังจากจดทะเบียนโดเมนมากกว่า 40 โดเมน นักวิจัยได้ตั้งค่า AWS Route53, ใบรับรอง TLS แบบไวลด์การ์ด และเซิร์ฟเวอร์ Apache สำหรับบันทึกล็อก จากนั้นบันทึกคำขอทั้งหมดและตอบกลับเพียง 404
  • โครงสร้างพื้นฐานที่ถูกปล่อยทิ้งไม่เพียงเป็นเส้นทางเข้าถึงจริงในกระบวนการตรวจสอบของ TLS/SSL CA เท่านั้น แต่ยังเป็นช่องทางเข้าถึงจริงในระบบนิเวศของเว็บเชลล์ที่ผู้โจมตีใช้ด้วย โดยโดเมนที่เกี่ยวข้องจะถูก The Shadowserver Foundation รับช่วงต่อเพื่อนำไปทำ sinkhole

โครงสร้างพื้นฐานที่หมดอายุกลายเป็นเส้นทางเข้าถึงแบ็กดอร์

  • watchTowr Labs เคยแสดงให้เห็นในการวิจัย .MOBI ปี 2024 ว่าโดเมนที่ยังไม่มีผู้จดทะเบียนสามารถส่งผลต่อกระบวนการตรวจสอบความเป็นเจ้าของโดเมนของ TLS/SSL CA ได้ และหลังจากนั้น Google ได้ยื่นคำร้องต่อ CAB Forum ให้ยกเลิกการตรวจสอบความเป็นเจ้าของแบบอิง WHOIS
  • งานวิจัยครั้งนี้นำปัญหากลุ่มเดียวกันคือ โครงสร้างพื้นฐานที่หมดอายุและถูกปล่อยทิ้ง ไปใช้กับระบบนิเวศของเว็บเชลล์และแบ็กดอร์
  • นักวิจัยจดทะเบียนโดเมนที่หมดอายุซึ่งแบ็กดอร์อีกชั้นหนึ่งภายในแบ็กดอร์พึ่งพาอยู่ใหม่ เพื่อสังเกตทราฟฟิกที่โฮสต์ที่ติดเชื้อส่งออกมา
  • วิธีนี้ในทางทฤษฎีอาจสร้างจุดยืนที่สามารถยึดครองและควบคุมโฮสต์ที่ถูก compromise ได้ แต่นักวิจัยได้ทำให้ชื่อโฮสต์ส่วนใหญ่คลุมเครือเพื่อไม่ให้เพิ่มความเสี่ยงต่อระบบ
  • จนถึงตอนนี้มีการสังเกตพบแบ็กดอร์ที่ยังทำงานอยู่แบบไม่ซ้ำกันมากกว่า 4,000 รายการ และตัวเลขยังเพิ่มขึ้นต่อเนื่อง

เว็บเชลล์คือเครื่องมือควบคุมจากระยะไกลที่ทิ้งไว้หลังการเจาะระบบ

  • เว็บเชลล์ คือโค้ดที่ถูกนำไปวางไว้หลังเว็บเซิร์ฟเวอร์ถูกเจาะ เพื่อทำหน้าที่เป็นแบ็กดอร์ให้ผู้โจมตีดำเนินการต่อได้
  • รูปแบบง่าย ๆ คือโค้ดสั่งรันคำสั่งใน PHP เช่น <?php system($_GET['exec']);?>
  • รูปแบบที่ซับซ้อนขึ้นมีเว็บเชลล์อย่าง c99shell, r57shell, China Chopper ซึ่งอาจมีความสามารถดังนี้
    • รันคำสั่ง
    • ลบ แก้ไข อัปโหลด ย้าย หรือเปลี่ยนชื่อไฟล์
    • รันโค้ด
    • ลบตัวเอง
    • ติดตั้งแบ็กดอร์เพิ่ม เช่น connect-back, bindshell
    • brute force FTP
    • SQL client
  • c99shell และ r57shell ถูกยกมาเป็นตัวอย่างของเว็บเชลล์ที่เคยถูกใช้อย่างแพร่หลายในอดีต

ตำแหน่งถูกเปิดเผยกลับไปยังผู้สร้างเว็บเชลล์

  • r57shell มีโค้ดที่โหลดภาพขนาด 0 ไบต์จาก rst.void.ru ซึ่งภายนอกดูเหมือนส่งข้อมูลเวอร์ชันของเชลล์ปัจจุบันกลับไป
  • แต่ในความเป็นจริง ตำแหน่งของเว็บเชลล์ที่เพิ่งถูกติดตั้งใหม่จะถูกเปิดเผยต่อเจ้าของ rst.void.ru ผ่าน ส่วนหัว Referer ของคำขอ HTTP
  • หมายความว่าแม้ผู้โจมตีจะเจาะเป้าหมายและติดตั้งเว็บเชลล์เอง ผู้สร้างเว็บเชลล์ก็ยังอาจได้รับตำแหน่งนั้นไปด้วย
  • ในกรณีของ c99shell แม้ข้อมูลรับรองจะถูก hardcode ไว้ แต่การเรียก @extract($_REQUEST["c99shcook"]) สามารถเขียนทับตัวแปรในสโคปปัจจุบันได้
  • extract ไม่ปลอดภัยเมื่อใช้กับข้อมูลที่ไม่น่าเชื่อถือ และผู้โจมตีสามารถใส่ค่า md5_pass และ login ผ่านพารามิเตอร์คำขอ c99shcook เพื่อแทนที่ตัวแปรยืนยันตัวตนเดิมและผ่านการตรวจสอบได้

บันทึกเฉพาะ callback ด้วยโดเมนมากกว่า 40 โดเมน

  • นักวิจัยรวบรวมเว็บเชลล์หลายภาษา หลายเป้าหมาย และหลายยุคสมัย จากนั้นถอดโค้ดที่ถูก obfuscate ด้วย base64 และวิธีอื่น ๆ เพื่อดึง โดเมนที่ยังไม่มีผู้จดทะเบียน ซึ่งดูเหมือนถูกใช้สำหรับ callback ออกมา
  • จากนั้นจึงจดทะเบียนโดเมนจำนวนมากมากกว่า 40 โดเมนผ่าน AWS Route53 API
  • ตัวอย่างโดเมนมี aljazeera7.com, alturks.com, caspian-pirates.org, h0ld-up.info, w2img.com, odayexp.com, nettekiadres.com และอื่น ๆ
  • พวกเขาตั้งค่าใบรับรอง TLS แบบไวลด์การ์ดและเว็บเซิร์ฟเวอร์ Apache แล้วชี้โดเมนใหม่ทั้งหมดไปยังเซิร์ฟเวอร์สำหรับบันทึกล็อก
  • เซิร์ฟเวอร์บันทึกล็อกจะเพียงบันทึกคำขอขาเข้าและตอบกลับ 404 เท่านั้น โดยนักวิจัยไม่ได้ตอบกลับในลักษณะที่จะทำให้ระบบรันโค้ดต่อ เพียงแค่รับคำขอที่ระบบส่งออกมาเอง

callback ของเว็บเชลล์ที่ดูเหมือนเป็นเครื่องมือของ Lazarus

  • มีการสังเกตคำขอหลายพันครั้งที่พยายามดึงภาพ .gif จากโดเมนตระกูล w2img.com
  • นักวิจัยพบตัวอย่างแบ็กดอร์ที่สร้างคำขอเหล่านี้ และประเมินว่าคล้ายกับ เวอร์ชันที่เชื่อว่า Lazarus เคยใช้ในปี 2020
  • เมื่อเอาการ obfuscate ออก จะเห็นโค้ดในรูปแบบ CSS background:url(...) ที่โหลดไฟล์ .gif จาก img2.w2img.com
  • เมื่อเบราว์เซอร์ร้องขอภาพ เซิร์ฟเวอร์ล็อกจะเก็บคำขอพร้อม Referer เอาไว้ ทำให้ทราบตำแหน่งที่เว็บเชลล์ถูกติดตั้ง
  • จากแบ็กดอร์ตัวนี้เพียงตัวเดียว มีการสังเกตโดเมนที่ถูก compromise แบบไม่ซ้ำกันมากกว่า 3,900 โดเมน
  • แม้เบราว์เซอร์รุ่นใหม่จะเปลี่ยนให้ Referer เปิดเผยแค่โดเมน แต่ก็ยังพบกรณีที่ผู้โจมตีซึ่งใช้เบราว์เซอร์รุ่นเก่าส่ง URL ของเว็บเชลล์แบบเต็มมาด้วย

รวมถึงโดเมนรัฐบาลและสถาบันอุดมศึกษา

  • จากการค้นหาโดเมน .gov ใน Referer ของล็อก พบโดเมนที่เกี่ยวข้องกับรัฐบาลหลายรายการ
  • ตัวอย่างที่ยืนยันได้มีดังนี้
    • fhc.gov.ng: Nigeria Federal High Court
    • โดเมนตระกูล gov.cn
    • โดเมนตระกูล gov.bd
    • โดเมนตระกูล court.gov.cn
  • ในกรณีของ Nigeria Federal High Court มีแบ็กดอร์ต่างกัน 4 ตัวที่ส่งข้อมูลออกมา และแต่ละตัวก็ส่งไปยังโดเมนปลายทางคนละตัว
  • นักวิจัยสรุปว่าในบรรดาระบบที่ถูก compromise ทั้งหมดราว 4,000 ระบบ มีระบบ .gov อยู่ 4 ระบบ
  • ยังพบมหาวิทยาลัยและสถาบันอุดมศึกษาใน Thailand, China, South Korea และประเทศอื่น ๆ อยู่ในกลุ่มเป้าหมายที่ถูก compromise ด้วย

เว็บเชลล์ที่ส่งรหัสผ่านแบบ plaintext

  • แบ็กดอร์อีกประเภทหนึ่งไม่ได้พึ่งการโหลดภาพและ Referer แต่ส่ง URL และข้อมูลบางอย่างไปโดยตรงผ่านพารามิเตอร์
  • ในคำขอที่ส่งไปยัง odayexp.com มีพารามิเตอร์ url และพารามิเตอร์ p
  • ในโค้ดเว็บเชลล์ ASP ค่า p คือค่าของตัวแปร UserPass ซึ่งเป็น รหัสผ่าน ที่ใช้ล็อกอินเข้าเว็บเชลล์
  • กล่าวคือแม้ผู้โจมตีจะตั้งรหัสผ่านให้เว็บเชลล์ แต่รหัสผ่านนั้นก็ถูกส่งแบบ plaintext ไปยัง odayexp.com
  • เมื่อ watchTowr ได้ครอบครองโดเมนดังกล่าว ตำแหน่งของเว็บเชลล์และรหัสผ่านจึงถูกส่งเข้ามายังเซิร์ฟเวอร์บันทึกล็อกของนักวิจัย
  • ในล็อกยังพบคำขอที่มี localhost, IP ภายใน และเส้นทางทดสอบอยู่ด้วย ซึ่งบ่งชี้ว่ามีใครบางคนเคยปรับแก้หรือทดสอบฟังก์ชันนี้

ข้อจำกัดในการตีความและการดำเนินการต่อจากนี้

  • แม้เชลล์ที่สังเกตได้จะเอนเอียงไปทางเป้าหมายในจีน แต่นักวิจัยมองว่านี่อาจสะท้อนเพียงชุดข้อมูลตัวอย่างที่มีอยู่
  • แม้ source IP จะไม่น่าใช้เป็นหลักฐานเพราะพร็อกซีใช้งานได้ง่าย แต่คำขอที่ดูเหมือนเป็นทราฟฟิกของผู้โจมตีหรือการดูแลระบบในรูปแบบแปลก ๆ นั้นกระจุกตัวอย่างชัดเจนในช่วง IP ของ Hong Kong และ China
  • เว็บเชลล์แบบเปิด โดเมนที่หมดอายุ และซอฟต์แวร์ที่ถูกฝังแบ็กดอร์ แสดงให้เห็นว่าฝ่ายโจมตีก็ทำพลาดได้เหมือนฝ่ายป้องกัน
  • เช่นเดียวกับงานวิจัย .MOBI ก่อนหน้านี้ หากปล่อยให้โดเมนหมดอายุอีกครั้ง ปัญหาเดิมก็อาจเกิดซ้ำได้ จึงยังมีประเด็นเรื่องความรับผิดชอบอยู่
  • The Shadowserver Foundation จะรับช่วงโดเมนที่เกี่ยวข้องกับงานวิจัยครั้งนี้ไปทำ sinkhole

1 ความคิดเห็น

 
GN⁺ 2025-01-13
ความคิดเห็นบน Hacker News
  • คงไม่กล้าลองเองเพราะกลัว CFAA แต่ผลงานนี้เจ๋งจริง โดยเฉพาะเรื่องที่โดเมนของรัฐบาลหนึ่งมี แบ็กดอร์กาฝาก 4 ตัว เกาะอยู่ น่าขำดี
    สคริปต์คิดดี้เวลาเข้ายึดระบบ เขาไม่ลบแบ็กดอร์ของสคริปต์คิดดี้คนอื่นเพื่อจะได้ครองไว้คนเดียวกันหรือไงนะ
    อยากให้ทุกคนเลิกใช้คำว่า “ซื้อ” หรือ “เป็นเจ้าของ” กับโดเมนได้แล้ว คำว่า “เช่า” หรือ “ยืมใช้” น่าจะตรงกว่า และถ้ามันเป็นสิ่งที่ซื้อขาดได้จริง ก็คงไม่กลับมาให้ใช้งานได้ใหม่แบบครั้งนี้

    • ในบริบทแบบนี้ คำว่า “ซื้อ” หมายถึงอะไรกันแน่ก็ยังคลุมเครือ แม้แต่ประเทศก็พูดยากว่า “เป็นเจ้าของ” ccTLD ของตัวเอง แต่ ICANN ก็พยายามวางนโยบายไว้อย่างละเอียดว่า “ควรปฏิบัติต่อ ccTLD ราวกับเป็นของประเทศนั้น” เพื่อหลีกเลี่ยงความตึงเครียดในเนมสเปซของอินเทอร์เน็ต
      ดังนั้นกฎของ gTLD ส่วนใหญ่จึงไม่ใช้กับ ccTLD ประเทศหนึ่งจะถือว่า “เป็นเจ้าของ” ได้ก็แค่ในความหมายที่ว่า หาก ICANN หรือเซิร์ฟเวอร์ root-servers.net ไม่ตีความ TLD ให้ถูกต้อง ประเทศนั้นอาจใช้กำลังทหารปกป้องการใช้งาน ccTLD ของตนได้
    • ถ้ามองแบบเฉียง ๆ มาก ๆ ทรัพย์สินทั้งทางกายภาพและดิจิทัล ทั้งหมดก็อาจถือว่าเป็นการเช่าได้เหมือนกัน
    • มันเป็นเรื่องของธรรมชาติมนุษย์และ “หน้าที่” ของภาษาอังกฤษ คนเรายังเรียกรถที่ลีสมา หรือเบอร์โทรศัพท์ว่า “รถของฉัน”, “เบอร์ของฉัน” และแม้จะมีสินเชื่อบ้านแบบแทบไม่ลงเงินตัวเอง ก็ยังเรียกว่า “บ้านของฉัน”
      มันเป็นการย่นย่อเชิงแนวคิดที่มองว่าความจริงอันยุ่งเหยิงนั้นเป็นสามัญสำนึกที่รู้อยู่แล้ว หรือไม่ก็ไม่เกี่ยวกับประเด็นตั้งแต่แรก
  • บทความนี้ดีมาก อ่านลื่นแต่ก็ยังตระหนักถึงผลกระทบของการเปิดเผยข้อมูล ทุกอย่างมีหลักฐานรองรับ แต่ก็ไม่ได้พยายามวางตัวให้จริงจังเกินไป
    อ่านสนุก ขณะเดียวกันก็จัดการกับ ปัญหาความปลอดภัยที่ร้ายแรง ได้ดี

    • ผมก็รู้สึกแบบเดียวกันกับบทความนี้และบทความก่อนหน้าเกี่ยวกับ .mobi มีบริบทเพียงพอ อธิบายดี น้ำเสียงเบาและเท่แบบไม่พยายามทำให้ดูเท่
      เนื้อหาครบถ้วนและไม่รก ทำให้สดใหม่เมื่อเทียบกับบล็อกโพสต์หรือบทวิเคราะห์ความปลอดภัยจำนวนมากที่มักพลาดจุดพวกนี้
    • ดีใจที่มี WordArt ด้วย แต่เสียดายที่ไม่ใช้เอฟเฟกต์สายรุ้ง
  • สงสัยว่าจะเกิดอะไรขึ้นถ้าใช้ เว็บเชลล์แบ็กดอร์ นี้ย้อนกลับไปลบเว็บเชลล์

    • ถ้าเป็น FBI และมีคำสั่งศาล ก็คงทำแบบนั้นได้ [1] ถ้าเป็นแฮ็กเกอร์เกรย์แฮตชาวรัสเซียก็อาจทำได้เหมือนกัน [2] แต่ถ้าเป็นบุคคลทั่วไปในสหรัฐฯ ก็น่าจะต้องแบกรับ ความเสี่ยงด้าน CFAA ค่อนข้างมาก
      อย่างที่ผู้เขียนบทความนี้บอกไว้ พวกเขาระมัดระวังโดยหยุดอยู่แค่การรับและบันทึกทราฟฟิก ไม่ได้ส่งคำตอบที่น่าสนใจหรือโต้ตอบกับเว็บเชลล์
      [1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
      [2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
  • ไม่แน่ใจว่าผมเข้าใจส่วนนี้ถูกไหม มีคำอธิบายว่า CSS ทำให้ดึงภาพพื้นหลังจาก URL หนึ่ง จนเบราว์เซอร์ร้องขอไฟล์ .gif จาก w2img.com และมีคำอธิบายว่าเบราว์เซอร์สมัยใหม่เปิดเผยเฉพาะโดเมนใน referer แต่ผู้โจมตีที่ใช้เบราว์เซอร์เก่าจะส่ง URL ของเชลล์แบบเต็ม
    แต่ประโยคที่ว่า “ผู้โจมตีใช้เบราว์เซอร์เก่า” ฟังดูแปลก เดิมทีผู้โจมตีควบคุม เซิร์ฟเวอร์ ที่ให้บริการ CSS และเบราว์เซอร์ก็ควรเป็นของ ผู้ใช้ ผู้บริสุทธิ์ที่เข้าไปยังเซิร์ฟเวอร์ที่ถูกยึดไม่ใช่หรือ ถ้าอย่างนั้นคนที่ใช้เบราว์เซอร์น่าจะเป็นเหยื่อ ไม่ใช่ผู้โจมตี
    ผมไม่เข้าใจว่าในสถานการณ์ไหนผู้โจมตีเป็นคนใช้เบราว์เซอร์

    • เว็บเชลล์คือหน้าเว็บ ซึ่งมักเป็นไฟล์ .php ที่ผู้โจมตีอัปโหลดไปยังไซต์หลังจากเจาะระบบด้วย RCE หรือวิธีคล้ายกัน แล้วผู้โจมตีก็เปิดหน้านั้นด้วยเบราว์เซอร์ของตัวเองเพื่อทำงานเพิ่มเติมบนเว็บเซิร์ฟเวอร์ที่ถูกเจาะ
      แต่ ไฟล์เว็บเชลล์สำเร็จรูป แบบนี้ถูกสร้างโดยผู้โจมตีอีกคน และถูกแจกจ่ายในสภาพที่ฝังแบ็กดอร์ไว้แล้ว ในกรณีนี้ CSS ภายในเว็บเชลล์จะทำให้เบราว์เซอร์ของผู้โจมตีรั่วตำแหน่งของเว็บเชลล์ไปยังโดเมนที่ผู้สร้างดั้งเดิมควบคุม
  • ขอพูดนอกเรื่องนิดหนึ่ง แต่ไม่เข้าใจว่าทำไมฟอนต์ของตัวอักษร y ในบทความนี้ถึงดูแบบนั้น มันเด่นเกินไปจนขัดตา

    • เรื่องแบบนี้รบกวนตาค่อนข้างบ่อย ผมเลยปิด downloadable_fonts ไปแล้ว ผมมองว่าเว็บเป็นที่สำหรับอ่านตัวหนังสือ จึงไม่ชอบฟอนต์กำหนดเองที่ทำลายความอ่านง่าย
      เข้าใจว่านักออกแบบอยากได้สไตล์เฉพาะตัว แต่ในฐานะผู้ใช้ปลายทาง แทบไม่เคยอยากได้สิ่งนั้นเลย
    • ตัวดีไซน์ฟอนต์เป็นแบบนั้นเอง: https://abcdinamo.com/typefaces/favorit
    • ฟอนต์บางตัวดูเหมือนตั้งใจใส่องค์ประกอบแบบนี้เพื่อให้มีลักษณะจำแนกได้ ตลาดฟอนต์อิ่มตัวมาก การทำแบบนี้อาจช่วยให้โดดเด่นท่ามกลางงานที่คล้ายกันไปหมด
      ส่วนที่สะดุดตาอาจตั้งใจให้รำคาญนิด ๆ แต่ก็เหมือนคำพูดเชิงยั่วยุที่อย่างน้อยก็ยังต้องพอฟังขึ้นอยู่บ้าง ดูคล้ายกลยุทธ์ของบุคคลออนไลน์บางคนที่จงใจออกเสียงคำบางคำผิดซ้ำ ๆ หรือเน้นสำเนียงเกินจริง
      กลับมาที่ฟอนต์ ผมจำได้ว่าไซต์เนื้อเพลง Genius ก็เคยใช้วิธีคล้ายกันอยู่พักหนึ่ง ตอนกำลังตั้งตัวเขาใช้รูปทรงตัวอักษรเหลี่ยม ๆ ของฟอนต์ Programme ดูได้จากลิงก์ด้านล่าง ตอนนี้ยังใช้ Programme อยู่ แต่เหมือนว่าตั้งแต่สักพักก่อนหันไปใช้รูปทรงปกติแล้ว น่าจะเพราะแบบเดิมรบกวนสายตาและทำให้อ่านยากจริง ๆ
      https://www.typewolf.com/programme
  • บทความมีคำผิดอยู่หลายจุด ใน “with the hopes of painting a paint a clear picture” คำว่า a paint ไม่จำเป็น และใน “we the following stood out” คำว่า we ก็ไม่จำเป็น
    อีกอย่าง “Atleast there will be memes...” คำว่า “Atleast” ก็สะกดผิด

  • เห็นมีการพูดถึง h0no แล้วความทรงจำเก่า ๆ ผุดขึ้นมาเลย เหมือนได้ย้อนกลับไปยุค darpanet/m00/#darknet/dikline

  • สงสัยว่าทำไมโดเมนแทบทั้งหมดถูกปิดบัง แต่กลับเหลือโดเมนของ Federal High Court of Nigeria ไว้
    แม้ไม่ได้เขียนไว้อย่างชัดเจน แต่หวังว่าจะผ่านกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบแล้ว

  • ดูเหมือน 99% จะอาศัยการ ยึดโดเมนหมดอายุ แต่ไม่ได้บอกเลยหรือว่าทำอย่างไร?

    • ไม่แน่ใจว่าคุณได้อ่านบทความจริง ๆ หรือเปล่า เขาอธิบายไว้ละเอียดพอสมควร ไม่ได้ “ไฮแจ็ก” ระเบียน DNS แต่ซื้อโดเมนที่หมดอายุและกลับมาให้จดได้ใหม่
      ส่วนเดียวที่ไม่ได้อธิบายคือพวกเขาหาเชลล์ออนไลน์ได้อย่างไร ซึ่งก็มีเหตุผลชัดเจน และตามคำของผู้เขียน มันเป็นของที่ “ตกจากท้ายรถบรรทุก” นั่นเอง