ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานและองค์กรเกี่ยวกับแนวโน้มการนำเครื่องมือ Remote Monitoring and Management (RMM) ไปใช้ในทางมิชอบโดยผู้ไม่หวังดี เพื่อควบคุมเครื่องคอมพิวเตอร์ คงสิทธิ์การเข้าถึงระบบ และใช้เป็นช่องทางสนับสนุนการโจมตี
ในปัจจุบัน เครื่องมือ Remote Monitoring and Management (RMM) มีการนำมาใช้อย่างแพร่หลายในหลายองค์กร ไม่ว่าจะเป็นการดูแลเครื่องคอมพิวเตอร์ การสนับสนุนผู้ใช้งาน การบริหารจัดการระบบ การตรวจสอบสถานะเครื่องปลายทาง การถ่ายโอนไฟล์ และการสั่งงานระบบผ่าน remote shell หรือ remote desktop ซึ่งเป็นประโยชน์ต่อผู้ดูแลระบบในการบริหารจัดการอุปกรณ์จำนวนมากได้อย่างมีประสิทธิภาพ
ในทางกลับกัน เครื่องมือเหล่านี้เริ่มถูกนำไปใช้ในทางมิชอบโดยผู้ไม่หวังดีมากขึ้น เนื่องจากเป็นเครื่องมือที่ถูกต้องตามกฎหมาย มีฟังก์ชันการควบคุมระบบที่ครบถ้วน ใช้งานได้สะดวก และในบางกรณีเป็นซอฟต์แวร์แบบโอเพนซอร์สหรือสามารถใช้งานได้ฟรี ทำให้ผู้โจมตีสามารถนำไปใช้เป็นเครื่องมือควบคุมระบบ แทนการใช้มัลแวร์แบบดั้งเดิมที่อาจถูกตรวจจับได้ง่ายกว่า [1]
ในกรณีของเครื่องมือ MeshAgent ซึ่งเป็น agent ของ MeshCentral สำหรับบริหารจัดการเครื่องปลายทาง พบว่ามีแนวโน้มถูกนำมาใช้ในการโจมตีมากขึ้น โดยผู้โจมตีอาจติดตั้ง MeshAgent ลงบนเครื่องที่ถูกบุกรุก แล้วกำหนดค่าให้เชื่อมต่อกลับไปยัง MeshCentral server ที่ผู้โจมตีควบคุม เพื่อใช้สั่งรันคำสั่ง โอนย้ายไฟล์ ควบคุมหน้าจอ หรือคงการเข้าถึงระบบอย่างต่อเนื่อง ประเด็นสำคัญคือ MeshAgent / MeshCentral ไม่ใช่มัลแวร์โดยตัวเอง แต่เป็นเครื่องมือประเภท Dual-Use Tool หรือเครื่องมือที่สามารถใช้งานได้ทั้งในทางที่ถูกต้องและในทางที่ผิด หากองค์กรไม่มีการควบคุมและเฝ้าระวังการใช้งาน RMM อย่างเหมาะสม อาจทำให้แยกแยะได้ยากว่าการใช้งานดังกล่าวเป็นกิจกรรมของผู้ดูแลระบบจริง หรือเป็นการควบคุมเครื่องโดยผู้โจมตี
รายละเอียดด้านความเสี่ยงและแนวโน้มภัยคุกคาม [2]
จากข้อมูลที่มีการเผยแพร่และกรณีการตรวจพบในหลายเหตุการณ์ พบว่าผู้ไม่หวังดีมีแนวโน้มใช้ MeshAgent หรือเครื่องมือ Remote Monitoring and Management (RMM) อื่น ๆ หลังจากเจาะเข้าสู่ระบบได้แล้ว เช่น จาก phishing บัญชีรั่ว ช่องโหว่ของระบบ หรือ webshell บน server โดยมีรูปแบบสำคัญดังนี้
• ใช้เป็นช่องทางกลับเข้าระบบ ผู้โจมตีอาจติดตั้ง MeshAgent หรือ RMM ไว้บนเครื่องที่ถูกเจาะ เพื่อให้สามารถกลับมาควบคุมเครื่องได้ภายหลัง แม้เครื่องจะถูกรีสตาร์ทแล้ว
• ใช้เป็นเครื่องมือสั่งงาน ผู้โจมตีอาจตั้ง server ควบคุมของตนเอง แล้วให้เครื่องเหยื่อเชื่อมต่อกลับไป เพื่อสั่งรันคำสั่ง โอนย้ายไฟล์ หรือเปิด remote shell ได้
• ตรวจจับได้ยากกว่ามัลแวร์ทั่วไป เนื่องจาก RMM เป็นเครื่องมือที่ถูกกฎหมาย และมักใช้การเชื่อมต่อแบบ HTTPS คล้ายการใช้งานเว็บปกติ หากไม่มีรายการเครื่องมือที่อนุญาต อาจแยกได้ยากว่าเป็นผู้ดูแลระบบหรือผู้โจมตี
• ใช้ร่วมกับ ransomware ผู้โจมตีอาจใช้ RMM เพื่อสำรวจเครือข่าย ขโมยข้อมูล และเตรียมติดตั้ง ransomware ในขั้นตอนสุดท้าย โดย MeshAgent เริ่มถูกพบในเหตุการณ์ ransomware มากขึ้น แม้ยังไม่แพร่หลายเท่า AnyDesk, ScreenConnect หรือ SimpleHelp
• ซ่อนตัวด้วยชื่อไฟล์หรือ path ที่ดูปกติ ผู้โจมตีอาจเปลี่ยนชื่อไฟล์หรือวางไฟล์ไว้ในตำแหน่งที่ดูเหมือน service ของระบบ เพื่อให้ผู้ดูแลระบบสังเกตได้ยาก จึงควรตรวจสอบ hash, process, service และปลายทางที่โปรแกรมเชื่อมต่อไปด้วย
ความเสี่ยงที่อาจเกิดขึ้น [3]
ThaiCERT ประเมินว่า หากผู้ไม่หวังดีสามารถติดตั้งหรือใช้งาน MeshAgent หรือเครื่องมือ RMM อื่น ๆ ภายในระบบของหน่วยงานได้ อาจก่อให้เกิดความเสี่ยงดังนี้
• ผู้โจมตีสามารถควบคุมเครื่องได้โดยไม่ได้รับอนุญาต
• ผู้โจมตีสามารถสั่งรันคำสั่ง สำรวจระบบ และเคลื่อนย้ายภายในเครือข่าย
• อาจมีการติดตั้งเครื่องมือเพิ่มเติม เช่น network scanner, credential tool หรือ malware
• อาจมีการขโมยข้อมูลหรือถ่ายโอนไฟล์ออกจากระบบ
• ใช้เป็นช่องทาง persistence เพื่อกลับเข้าระบบซ้ำ แม้แก้ไขช่องทางโจมตีแรกแล้ว
• ทำให้การตรวจจับยากขึ้น เนื่องจากพฤติกรรมบางส่วนคล้ายการทำงานของผู้ดูแลระบบ
• อาจถูกใช้เป็นส่วนหนึ่งของการโจมตี ransomware โดยขโมยข้อมูลก่อนเข้ารหัสไฟล์
• กระทบต่อระบบสำคัญ ระบบให้บริการประชาชน ระบบฐานข้อมูล หรือระบบภายในขององค์กร
ในมุมของหน่วยงาน ความเสี่ยงไม่ได้อยู่ที่ตัว MeshAgent เพียงอย่างเดียว แต่อยู่ที่การไม่มี visibility ว่าองค์กรอนุญาตให้ใช้ RMM ใดบ้าง เครื่องใดควรติดตั้ง agent เครื่องใดไม่ควรมีการเชื่อมต่อ remote access และ agent ที่พบเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่
วิธีแก้ไขและป้องกัน [4]
เพื่อป้องกันไม่ให้เครื่องมือ Remote Monitoring and Management (RMM) ถูกนำไปใช้เป็นช่องทางควบคุมระบบโดยผู้ไม่หวังดี หน่วยงานควรเริ่มจากการตรวจสอบว่าในองค์กรมีการใช้งานเครื่องมือ remote access ใดบ้าง เครื่องมือใดได้รับอนุญาต และเครื่องใดไม่ควรมีโปรแกรมลักษณะนี้ติดตั้งอยู่ โดยเฉพาะเครื่องผู้ดูแลระบบ เครื่องเซิร์ฟเวอร์ และระบบสำคัญขององค์กร
• สำรวจเครื่องมือ RMM หรือโปรแกรม remote access ทั้งหมดที่มีการใช้งานในองค์กร เช่น AnyDesk, ScreenConnect, SimpleHelp, RustDesk, Splashtop, TeamViewer, MeshAgent และเครื่องมือที่มีลักษณะคล้ายกัน
• จัดทำรายการเครื่องมือ RMM ที่อนุญาตให้ใช้งานอย่างชัดเจน โดยระบุชื่อเครื่องมือ ผู้รับผิดชอบ เครื่องที่อนุญาตให้ติดตั้ง และเซิร์ฟเวอร์ หรือ domain ที่เครื่องมือดังกล่าวสามารถเชื่อมต่อได้
• ตรวจสอบเครื่องปลายทางและเซิร์ฟเวอร์ ว่ามีการติดตั้ง RMM ที่ไม่อยู่ในรายการอนุญาตหรือไม่ หากพบเครื่องมือที่ไม่ทราบที่มา ควรตรวจสอบทันทีว่าใครเป็นผู้ติดตั้ง ใช้เพื่อวัตถุประสงค์ใด และเชื่อมต่อไปยังปลายทางใด
• ตรวจสอบการเชื่อมต่อของเครื่องมือ RMM ว่าเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่ หากพบการเชื่อมต่อไปยังเซิร์ฟเวอร์ ภายนอกที่ไม่ทราบที่มา หรือไม่เกี่ยวข้องกับงานของหน่วยงาน ควรถือเป็นเหตุการณ์ต้องสงสัย
• จำกัดสิทธิ์ผู้ใช้งานทั่วไปไม่ให้สามารถติดตั้งโปรแกรม สร้าง service หรือเพิ่ม agent ได้เองโดยไม่จำเป็น เพื่อลดโอกาสที่ผู้โจมตีจะฝังเครื่องมือควบคุมระบบไว้ในเครื่อง
• บังคับใช้ Multi-Factor Authentication (MFA) กับระบบ remote access, VPN, RMM console, บัญชีผู้ดูแลระบบ และระบบบริหารจัดการสำคัญทั้งหมด
• ใช้ application control หรือ allowlisting เพื่ออนุญาตให้รันเฉพาะโปรแกรมที่องค์กรกำหนดไว้ และป้องกันการเปิดใช้งาน RMM ที่ไม่ได้รับอนุญาต
• บล็อกหรือจำกัดการเชื่อมต่อไปยัง RMM เซิร์ฟเวอร์ ภายนอกที่ไม่เกี่ยวข้องกับองค์กร ผ่าน firewall, proxy, DNS filtering หรือ EDR policy
• ตรวจสอบ log จาก endpoint, firewall, proxy, DNS, VPN, identity provider และ EDR อย่างต่อเนื่อง โดยเฉพาะ log ที่เกี่ยวข้องกับการติดตั้งโปรแกรมใหม่ การสร้าง service การเชื่อมต่อออกไปยังปลายทางภายนอก และการใช้งาน remote access นอกเวลาทำการ
• กำหนดขั้นตอนรับมือเมื่อพบ RMM ต้องสงสัย เช่น แยกเครื่องออกจากเครือข่ายชั่วคราว เก็บหลักฐาน ตรวจสอบปลายทางที่เชื่อมต่อ ตรวจสอบบัญชีที่เกี่ยวข้อง และตรวจสอบว่าเครื่องอื่นในเครือข่ายมีพฤติกรรมลักษณะเดียวกันหรือไม่
IOCs ที่เกี่ยวข้อง
รายการ IOCs ต่อไปนี้เป็นข้อมูลที่เกี่ยวข้องกับกรณีตรวจพบการใช้งาน MeshAgent / RMM และเครื่องมือที่เกี่ยวข้องในการควบคุมระบบ โดยหน่วยงานสามารถนำไปใช้ประกอบการตรวจสอบ เฝ้าระวัง และทำ threat hunting ภายในระบบที่เกี่ยวข้อง
ทั้งนี้ การตรวจพบ IOCs เพียงรายการใดรายการหนึ่งอาจยังไม่สามารถสรุปได้ทันทีว่าเป็นการบุกรุกระบบ หน่วยงานควรพิจารณาร่วมกับบริบทของระบบ ประวัติการใช้งาน เครื่องมือที่ได้รับอนุญาต พฤติกรรมของบัญชีผู้ใช้งาน และ log จากแหล่งข้อมูลอื่นประกอบด้วย
SHA-256
• e82ecbe3823046a27d8c39cc0a4acb498f415549946c9ff0e241838b34ed5a21
• 460acbb38b0bdb3d227de65010b1a323f448ec196860ce4979c0b8314763eb56
• dcf99ae0aa31fee1c5d3d6d53c99e8d11b0cb82cdb3ab81248ace279fe639708
MD5
• b8053bcd04ce9d7d19c7f36830a9f26b
ThaiCERT ขอให้หน่วยงานนำ IOCs ข้างต้นไปตรวจสอบในระบบที่เกี่ยวข้อง เช่น endpoint, server, proxy, firewall, DNS log, EDR และ SIEM โดยเฉพาะการตรวจสอบการเชื่อมต่อไปยัง C2 domain / URL การพบ hash หรือ path ที่เกี่ยวข้องกับ MeshAgent / RMM และการพบ webshell บนระบบ web application หากพบข้อมูลตรงกับ IOC หรือพบพฤติกรรมที่สอดคล้องกัน ควรดำเนินการสืบสวนเหตุการณ์ แยกเครื่องที่เกี่ยวข้องออกจากเครือข่าย และตรวจสอบการแพร่กระจายไปยังระบบอื่นโดยเร็ว
แหล่งอ้างอิง
[1] https://dg.th/e6bwnhvpk5
[2] https://dg.th/j8s6vncyiz
[3] https://dg.th/rl1y29vdx0
[4] https://dg.th/gzvxjiflkw