OP-512 กลุ่มภัยคุกคามใหม่ มุ่งเป้าโจมตี Microsoft IIS Server ควรตรวจสอบและแยกเครือข่ายเซิร์ฟเวอร์ที่ได้รับผลกระทบทันที
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการโจมตีมุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft Internet Information Services (IIS) ที่เชื่อมต่อกับอินเทอร์เน็ต โดยกลุ่มภัยคุกคามใหม่ชื่อ OP-512 เพื่อฝังเว็บเชลล์ (Web Shell) ที่ถูกพัฒนาขึ้นเฉพาะ ความเสี่ยงที่เกิดขึ้นคือผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์จากระยะไกล ขโมยข้อมูลและแฝงตัวในระบบอย่างแนบเนียนด้วยการปลอมแปลงเวลาไฟล์ โดยกลุ่มที่ได้รับผลกระทบคือหน่วยงานที่ใช้งาน Microsoft IIS และ .NET Framework รุ่นเก่า โดยเฉพาะระบบที่มีการเปิดพื้นที่ให้อัปโหลดไฟล์จากภายนอก[1]
1. รายละเอียดภัยคุกคาม
OP-512 เป็นกลุ่มภัยคุกคามที่ยังไม่เคยถูกรายงานมาก่อน โดยมีเป้าหมายหลักเป็น เซิร์ฟเวอร์เว็บของไมโครซอฟท์ (Microsoft IIS) และใช้ web shell framework ที่พัฒนาขึ้นเฉพาะ ประกอบด้วย web shell จำนวน 3 รายการ เพื่อให้ผู้โจมตีสามารถเข้าถึงเครื่องที่ถูกบุกรุก จัดการไฟล์ สั่งรันคำสั่ง และรายงานตำแหน่งของ web shell กลับไปยังโครงสร้างพื้นฐานของผู้โจมตีโดยอัตโนมัติ
นักวิจัยด้านความปลอดภัยไซเบอร์ระบุว่า web shell framework ของ OP-512 มีความสามารถหลายอย่าง เช่น การสร้างตัวอย่างที่แตกต่างกันในแต่ละ deployment การจำกัดการเข้าถึงด้วยกลไกเข้ารหัสและตรวจสอบสิทธิ์ด้วย RSA และ RC4 รวมถึงการใช้เทคนิค timestomping เพื่อแก้ไขเวลา creation และ modification ของไฟล์ให้ดูเหมือนเป็นไฟล์เก่าที่มีอยู่ในระบบมาก่อน ส่งผลให้การตรวจจับด้วย signature หรือการตรวจสอบไฟล์ที่เพิ่งถูกสร้างขึ้นทำได้ยากขึ้น[2]
2. ลักษณะการโจมตี
2.1 ผู้โจมตีใช้ process ของ IIS Web Server คือ w3wp.exe เพื่อเขียน web shell ตัวแรกลงใน upload directory ของแอปพลิเคชัน
2.2 web shell ดังกล่าวมีความสามารถ self-reporting โดยส่งตำแหน่งของตัวเองกลับไปยังโดเมนที่ผู้โจมตีควบคุมผ่าน DNS query และหาก DNS ไม่สำเร็จจะใช้ HTTP request เป็นช่องทางสำรอง
2.3 ผู้โจมตีติดตั้ง command handler เพิ่มเติมในรูปแบบไฟล์ .ashx จำนวน 2 รายการ เพื่อใช้เป็นช่องทางสั่งรันคำสั่ง โดยต้องผ่านการตรวจสอบด้วย RSA signature และการเข้ารหัส RC4
2.4 web shell ทั้ง 3 รายการใช้เทคนิค timestomping โดยสแกนไฟล์และโฟลเดอร์รอบตัวเอง คำนวณค่าเวลาที่เหมาะสมจากไฟล์ใน directory แล้วแก้ไข timestamp ของตัวเองให้ดูกลมกลืนกับไฟล์เดิม
2.5 หลังจากฝัง web shell แล้ว ผู้โจมตีพยายามยกระดับสิทธิ์เป็นระดับ SYSTEM โดยโหลดเครื่องมือหลังการบุกรุก เช่น BadPotato, SweetPotato และ EfsPotato เข้าไปในหน่วยความจำของ process โดยตรง เพื่อลดร่องรอยบนดิสก์
2.6 แม้ endpoint protection จะสามารถ terminate process ที่เป็นอันตรายได้ แต่ IIS สามารถ restart worker process ใหม่โดยอัตโนมัติ ทำให้กิจกรรมของผู้โจมตีกลับมาทำงานซ้ำได้ หากไม่ได้ isolate host หรือแก้ไข root cause อย่างครบถ้วน
3. ผลกระทบ
3.1 ผู้โจมตีอาจสามารถเข้าถึงและควบคุม IIS Server ที่ถูกบุกรุกจากระยะไกล
3.2 อาจถูกใช้เป็นจุดตั้งต้นสำหรับการจารกรรมข้อมูล การสำรวจระบบภายใน หรือการเคลื่อนย้ายไปยังระบบอื่นในเครือข่าย
3.3 การใช้ web shell ที่เข้ารหัสและสร้างแตกต่างกันในแต่ละครั้งอาจทำให้การตรวจจับด้วย signature-based detection มีประสิทธิภาพลดลง
3.4 เทคนิค timestomping อาจทำให้การพิสูจน์หลักฐานและการจัดลำดับเวลาของเหตุการณ์ทำได้ยากขึ้น
3.5 หากลบเฉพาะไฟล์ web shell แต่ไม่ได้ตรวจสอบ ASP.NET temporary compilation directory อาจยังเหลือ malicious DLL หรือ compiled artifact ที่เกี่ยวข้องอยู่ในระบบ
3.6 หน่วยงานที่ใช้งาน IIS Server หรือ .NET Framework รุ่นเก่าที่เปิดให้เข้าถึงจากอินเทอร์เน็ตมีความเสี่ยงสูงกว่าปกติ โดยเฉพาะระบบที่มี upload directory และอนุญาตให้ประมวลผลไฟล์สคริปต์ เช่น .aspx, .ashx, .asp หรือ .asmx
4. ผลิตภัณฑ์หรือระบบที่ได้รับผลกระทบ
4.1 Microsoft Internet Information Services (IIS) Server ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
4.2 Windows Server ที่ใช้งาน IIS และ ASP.NET application โดยเฉพาะระบบที่มี upload directory
4.3 ระบบที่ยังใช้งาน .NET Framework รุ่นที่สิ้นสุดการสนับสนุน เช่น .NET Framework 4.0
4.4 ระบบที่มี ASP.NET temporary compilation directory และไม่มีการ monitor การสร้าง DLL ใหม่นอกช่วง deployment ปกติ
4.5 หน่วยงานที่มี IIS Server อยู่ใน DMZ หรือใช้เป็นระบบเชื่อมต่อระหว่างอินเทอร์เน็ตกับเครือข่ายภายใน แต่มีการตรวจสอบ log และพฤติกรรมของ web server process ไม่เพียงพอ
5. แนวทางการแก้ไขและป้องกัน
5.1 ตรวจสอบ IIS Server ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต โดยเฉพาะระบบที่ใช้งาน .NET Framework รุ่นเก่าหรือสิ้นสุดการสนับสนุน และเร่ง migration, decommission หรือแยก segment ออกจากระบบสำคัญ
5.2 ปิดการ execute script ใน upload directory โดยตรวจสอบ IIS handler mappings และ web.config เพื่อไม่ให้ไฟล์ .aspx, .ashx, .asp และ .asmx ทำงานในพื้นที่อัปโหลดไฟล์
5.3 ตรวจสอบและ monitor การสร้างไฟล์ใหม่ใน upload directory, web root และ ASP.NET temporary compilation directory โดยเฉพาะการสร้าง DLL ใหม่นอกช่วง deployment ปกติ
5.4 ตรวจสอบพฤติกรรมของ process w3wp.exe ที่ผิดปกติ เช่น การสร้างไฟล์ [.]aspx/[.]ashx ใหม่ การ spawn cmd[.]exe หรือ powershell[.]exe การโหลด .NET assembly แบบ reflective loading และการเชื่อมต่อ DNS/HTTP ออกไปยังปลายทางที่ไม่คุ้นเคย
5.5 ตรวจสอบ DNS log สำหรับ query ที่มี subdomain ยาวผิดปกติหรือมีลักษณะ hex-encoded โดยเฉพาะ query ที่เกิดจาก IIS Server หรือ web server host
5.6 ใช้ WAF, EDR, file integrity monitoring และ behavioral detection เพื่อเสริมการตรวจจับ เนื่องจาก web shell ของ OP-512 มีการสุ่มชื่อ method/variable และสร้าง hash แตกต่างกันในแต่ละครั้ง ทำให้ signature-based detection อาจไม่เพียงพอ
5.7 เมื่อพบ web shell ควร isolate host ทันที ไม่ควรเพียง terminate process เนื่องจาก IIS อาจ restart worker process ใหม่และทำให้เครื่องมือของผู้โจมตีกลับมาทำงานซ้ำได้
5.8 หลังลบ web shell ให้ตรวจสอบ ASP.NET temporary compilation directory และลบ compiled artifact ที่เกี่ยวข้อง รวมถึงตรวจสอบ root cause ของการบุกรุกก่อนปิด incident
5.9 จำกัด outbound DNS และ HTTP/HTTPS จาก web server เฉพาะปลายทางที่จำเป็น พร้อมบันทึก log และแจ้งเตือนเมื่อพบการเชื่อมต่อออกไปยังโดเมนหรือ IP ที่ไม่เคยใช้งานมาก่อน
แหล่งอ้างอิง