Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน ช่องโหว่ร้ายแรงใน Windows DNS Server อาจถูกแฮกเครื่องได้ ควรรีบอัปเดตแพตช์ประจำเดือนกรกฎาคม 2563

เมื่อวันที่ 14 กรกฎาคม 2563 บริษัท Microsoft ได้ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 123 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 18 จุด และเป็นช่องโหว่ระดับสำคัญ (Important) จำนวน 105 จุด ในรอบนี้หนึ่งในช่องโหว่ระดับวิกฤตนั้นมีผลกระทบสูงและอาจถูกใช้โจมตีเพื่อเจาะระบบและแพร่กระจายมัลแวร์ในเครือข่ายได้ ผู้ดูแลระบบควรรีบตรวจสอบและอัปเดตแพตช์โดยด่วน

ช่องโหว่ที่ควรให้ความสำคัญเป็นพิเศษในแพตช์รอบนี้คือช่องโหว่ชื่อ SIGRed (CVE-2020-1350) ซึ่งเป็นช่องโหว่ในบริการ Windows DNS Server ตัวช่องโหว่มีผลกระทบตั้งแต่ Windows Server 2003 ไปจนถึง 2019 สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในการประมวลผล DNS response ที่มีขนาดใหญ่เกินกว่าที่ระบบจะรองรับได้ ส่งผลให้สามารถโจมตีในลักษณะ remote code execution (RCE) เพื่อสั่งให้เครื่องเซิร์ฟเวอร์ประมวลผลคำสั่งอันตรายได้ เนื่องจากรูปแบบการโจมตีมีความซับซ้อนต่ำ สามารถโจมตีได้จากระยะไกล การโจมตีสามารถทำได้แบบอัตโนมัติและหากโจมตีสำเร็จจะได้สิทธิ์ในระดับสูง ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS เต็ม 10 ทั้งนี้ตัวช่องโหว่ดังกล่าวยังมีลักษณะ wormable ซึ่งหมายความว่าสามารถแพร่กระจายไปยังเครื่องอื่น ๆ ภายในเครือข่ายได้อีกด้วย

ทางบริษัท Check Point ได้เผยแพร่รายละเอียดทางเทคนิคของช่องโหว่นี้ อีกทั้งเริ่มมีการพัฒนาโค้ดเพื่อใช้โจมตีช่องโหว่นี้แล้ว เพื่อป้องกันและลดความเสี่ยงถูกโจมตี ผู้ดูแลระบบควรตรวจสอบและอัปเดตแพตช์โดยเร็ว หากยังไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถตั้งค่าเพื่อลดความเสี่ยงตามคำแนะนำของ Microsoft ตามลิงก์ดังต่อไปนี้ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

วันที่: 2020-07-15 | ที่มา: Bleeping Computer, CheckPoint | Share on Facebook Share on Twitter Share on Google+
ไทยเซิร์ตเปิดเว็บไซต์ Threat Group Cards Portal รวมข้อมูลกลุ่มผู้โจมตี ใช้งานร่วมกับ MISP ได้

ไทยเซิร์ตเปิดให้บริการเว็บไซต์ Threat Group Cards Portal ซึ่งเป็นระบบที่นำข้อมูลจากหนังสือ Threat Group Cards: A Threat Actor Encyclopedia มาจัดทำให้อยู่ในรูปแบบของเว็บไซต์เพื่อให้สามารถสืบค้นข้อมูลได้ง่าย โดยตัวเว็บไซต์จะประกอบไปด้วยข้อมูลกลุ่มผู้โจมตี เครื่องมือหรือมัลแวร์ที่เกี่ยวข้อง และสถิติการโจมตี

ข้อมูลที่เผยแพร่เป็นการรวบรวมจากแหล่งเปิด จุดประสงค์ของการพัฒนาระบบดังกล่าวเพื่อให้นักวิจัยหรือผู้ที่ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์ใช้เป็นแหล่งอ้างอิงหรือศึกษาข้อมูลเพิ่มเติมเพื่อประกอบการวิเคราะห์ โดยนอกจากระบบจะรองรับการสืบค้นข้อมูลผ่านเว็บไซต์แล้วยังเปิดให้ดาวน์โหลดข้อมูลในรูปแบบ JSON และ MISP เพื่อนำไปใช้งานต่อในรูปแบบอื่นได้อีกด้วย

ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมและใช้งานระบบดังกล่าวได้จาก https://apt.thaicert.or.th/

วันที่: 2020-07-15 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ในโปรแกรม Zoom อาจถูกแฮกเครื่องได้หากใช้งานบน Windows 7 หรือเก่ากว่า มีแพตช์แล้วควรรีบอัปเดต

[อัปเดตล่าสุด 13 กรกฎาคม 2563]

บริษัท ACROS Security ได้รายงานช่องโหว่ในโปรแกรม Zoom ที่อาจส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อจากระยะไกลได้ (RCE) โดยช่องโหว่ดังกล่าวมีผลกระทบหากใช้งานโปรแกรม Zoom บนระบบปฏิบัติการ Windows 7 หรือเก่ากว่า

อย่างไรก็ตาม รายละเอียดช่องโหว่และวิธีการโจมตียังไม่ถูกเปิดเผย โดยเบื้องต้นทาง ACROS Security ระบุว่าการโจมตีช่องโหว่นี้ต้องอาศัยผู้ใช้ร่วมด้วย เช่น การเปิดไฟล์ที่มีโค้ดอันตรายฝังอยู่ ทั้งนี้ ทาง Zoom ได้ออกแพตช์แก้ไขช่องโหว่แล้วเมื่อวันที่ 10 กรกฏาคม 2563 ล่าสุดยังไม่พบรายงานการโจมตีช่องโหว่นี้

เพื่อหลีกเลี่ยงและลดผลกระทบจากช่องโหว่ ผู้ที่ยังใช้งานโปรแกรม Zoom บน Windows 7 ควรรีบอัปเดตให้เป็นแพตช์ล่าสุดเวอร์ชัน 5.1.3 หรืออัปเกรดไปใช้งานระบบปฏิบัติการเวอร์ชันใหม่

วันที่: 2020-07-10 | ที่มา: 0patch, ZDNet | Share on Facebook Share on Twitter Share on Google+
สรุปข้อมูลช่องโหว่ใน security product ของ Palo Alto Networks, F5, Citrix, และ Juniper Networks

[อัปเดตล่าสุด 10 กรกฎาคม 2563]

ตั้งแต่ช่วงปลายเดือนมิถุนายน 2563 เป็นต้นมา มีรายงานช่องโหว่ระดังสูงในผลิตภัณฑ์ด้านความมั่นคงปลอดภัยที่นิยมใช้งานในองค์กร ประกอบด้วย Palo Alto Networks, F5, Citrix, และ Juniper โดยหลายช่องโหว่นั้นการโจมตีสามารถเกิดได้จากระยะไกลและหากโจมตีสำเร็จผู้โจมตีจะสามารถควบคุมอุปกรณ์หรือเข้าถึงข้อมูลในเครือข่ายได้ ผู้ดูแลระบบควรตรวจสอบและติดตั้งแพตช์โดยเร็ว

ผู้ผลิต: Palo Alto Networks
ผลิตภัณฑ์: PAN-OS 9.1, 9.0, 8.1, และ 8.0 (ช่องโหว่นี้ไม่มีผลกระทบกับ PAN-OS 7.1)
วันที่ประกาศ: 29 มิถุนายน 2563
ข้อมูลช่องโหว่: PAN-OS มีข้อผิดพลาดในการตรวจสอบการยืนยันตัวตนผ่าน SAML ส่งผลให้ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลสำคัญในระบบได้ ช่องโหว่นี้มีรหัส CVE-2020-2021 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 10
สถานะแพตช์: มีแพตช์ให้กับ PAN-OS 9.1, 9.0, และ 8.1 แต่ไม่แพตช์ให้กับ PAN-OS 8.0 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนทางเทคนิค
สถานะการโจมตี: ยังไม่พบรายงานการโจมตี แต่เริ่มมีการพัฒนาโค้ดสำหรับทดสอบช่องโหว่แล้ว
ข้อมูลเพิ่มเติม: https://security.paloaltonetworks.com/CVE-2020-2021

ผู้ผลิต: F5
ผลิตภัณฑ์: BIG-IP
วันที่ประกาศ: 1 กรกฎาคม 2563 อัปเดตล่าสุด 10 กรกฎาคม 2563
ข้อมูลช่องโหว่: ระบบบริการจัดการอุปกรณ์ (TMUI) มีช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายได้จากระยะไกล ตัวช่องโหว่มีรหัส CVE-2020-5902 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 10
สถานะแพตช์: มีแพตช์แล้ว และมีรายงานว่าวิธี mitigate ช่องโหว่นั้นอาจไม่สามารถช่วยป้องกันได้ ควรติดตั้งแพตช์โดยเร็ว
สถานะการโจมตี: โค้ดโจมตีช่องโหว่ถูกเผยแพร่สู่สาธารณะ มีรายงานการโจมตีแล้ว
ข้อมูลเพิ่มเติม: https://support.f5.com/csp/article/K52145254

ผู้ผลิต: Citrix
ผลิตภัณฑ์: ADC, Gateway, และ SD-WAN WANOP
วันที่ประกาศ: 7 กรกฎาคม 2563
ข้อมูลช่องโหว่: Citrix ออกแพตช์แก้ไขช่องโหว่ทั้งหมด 11 จุด โดยมีบางช่องโหว่ที่สามารถสั่งรันโค้ดอันตรายบนอุปกรณ์ได้ อย่างไรก็ตาม ช่องทางการโจมตียังมีความซับซ้อนและอาจต้องอาศัยการเข้าถึงเครือข่ายภายในร่วมด้วย
สถานะแพตช์: มีแพตช์แล้ว
สถานะการโจมตี: มีรายงานการสแกนเพื่อหาอุปกรณ์ที่ยังไม่ได้แพตช์ เริ่มมีการวิเคราะห์แพตช์เพื่อพัฒนาโค้ดสำหรับโจมตีช่องโหว่แล้ว
ข้อมูลเพิ่มเติม: https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/

ผู้ผลิต: Juniper Networks
ผลิตภัณฑ์: Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, และ 19.3 บนอุปกรณ์ SRX Series
วันที่ประกาศ: 8 กรกฎาคม 2563
ข้อมูลช่องโหว่: Junos OS ที่เปิด ICAP redirect service ข้อผิดพลาดในการประมวลผล HTTP message ส่งผลให้ระบบหยุดทำงาน (DoS) หรืออาจถูกสั่งรันโค้ดอันตรายได้ (RCE) ช่องโหว่นี้มีรหัส CVE-2020-1654 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 9.8
สถานะแพตช์: มีแพตช์แล้ว
สถานะการโจมตี: ยังไม่พบรายงานการโจมตี และยังไม่พบการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่
ข้อมูลเพิ่มเติม: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11031&cat=SIRT_1&actp=LIST

ทั้งนี้ ไทยเซิร์ตได้ประสานเพื่อแจ้งเตือนหน่วยงานในประเทศไทยที่อาจได้รับผลกระทบจากช่องโหว่เหล่านี้แล้ว โดยจะอัปเดตข้อมูลช่องโหว่และรายงานการโจมตีให้ทราบเป็นระยะ

วันที่: 2020-07-10 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ OS Command Injection ใน GlobalProtect portal อาจถูกแฮกอุปกรณ์ได้ ควรแพตช์

เมื่อวันที่ 8 กรกฎาคม 2563 บริษัท Palo Alto Networks ได้แจ้งเตือนช่องโหว่ OS Command Injection ใน PAN-OS ซึ่งเป็นซอฟต์แวร์ที่รันอยู่บนระบบ GlobalProtect ที่เป็นบริการในลักษณะ VPN/firewall ที่นิยมใช้ในองค์กรหลายแห่ง ช่องโหว่นี้ส่งผลให้ผู้ประสงค์ร้ายสามารถ brute force หน้า GlobalProtect portal เพื่อสั่งรันโค้ดอันตรายบนตัวอุปกรณ์ได้ โดยหากโจมตีสำเร็จจะได้สิทธิ์ root ของตัวอุปกรณ์ด้วย อย่างไรก็ตาม การจะโจมตีช่องโหว่นี้ได้นั้นผู้โจมตีจำเป็นต้องรู้ข้อมูลที่เกี่ยวข้องกับการตั้งค่าของตัวอุปกรณ์ด้วย ช่องโหว่นี้มีรหัส CVE-2020-2034 ระดับความรุนแรง CVSS base score อยู่ที่ 8.1

ช่องโหว่นี้ถูกแก้ไขแล้วใน PAN-OS 9.1.3, 8.1.15, และ 9.0.9 ส่วน PAN-OS เวอร์ชัน 8.0 และ 7.1 นั้นเนื่องจากสิ้นสุดระยะเวลาสนับสนุนแล้วจึงไม่มีอัปเดต ทั้งนี้ ตัวช่องโหว่มีผลกระทบเฉพาะกับระบบที่เปิดใช้งาน GlobalProtect portal เท่านั้น ถึงแม้จะยังไม่มีรายงานการโจมตีผ่านช่องโหว่ดังกล่าวและยังไม่พบตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ แต่ผู้ดูแลระบบควรตรวจสอบเวอร์ชันของ PAN-OS ที่ใช้งานและควรอัปเดตเวอร์ชันใหม่โดยเร็ว

วันที่: 2020-07-09 | ที่มา: Palo Alto Networks, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์แก้ไขช่องโหว่ระดับวิกฤตใน Windows Codecs Library ปล่อยอัปเดตผ่าน Microsoft Store

เมื่อวันที่ 30 มิถุนายน 2563 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ระดับวิกฤตจำนวน 2 จุด (CVE-2020-1425 และ CVE-2020-1457) ใน Windows Codecs Library ซึ่งเป็นไลบรารีที่ใช้สำหรับเล่นไฟล์มัลติมีเดีย โดยทั้ง 2 ช่องโหว่เป็นประเภท Remote Code Execution ที่ส่งผลให้ผู้ไม่หวังดีสามารถส่งโค้ดอันตรายมาประมวลผลบนเครื่องของเหยื่อได้จากระยะไกลได้ การโจมตีทำได้โดยหลอกให้เหยื่อเปิดไฟล์รูปภาพที่มีโค้ดอันตรายฝังอยู่ ทั้งนี้ ยังไม่พบรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าว

ความพิเศษของแพตช์ในรอบนี้คือทาง Microsoft ได้ปล่อยอัปเดตออกมานอกช่วงเวลาปกติ (โดยปกติแพตช์ประจำเดือนจะออกมาทุกวันอังคารที่สองของเดือน) และเป็นการปล่อยแพตช์ผ่านทาง Microsoft Store ไม่ใช่ Windows Update อย่างที่เคยทำ

อย่างไรก็ตาม ช่องโหว่ดังกล่าวมีผลกระทบเฉพาะกับระบบที่ติดตั้ง HEVC codec ผ่านทาง Microsoft Store หรือมีโปรแกรมดังกล่าวติดตั้งมาพร้อมเครื่องตั้งแต่แรก เพราะฉะนั้นผู้ใช้ที่ไม่ได้ติดตั้งโปรแกรมดังกล่าวก็ไม่จำเป็นต้องอัปเดต ส่วนผู้ที่ติดตั้งโปรแกรมจะได้รับการอัปเดตให้เป็นเวอร์ชันใหม่โดยอัตโนมัติ โดยผู้ใช้สามารถตรวจสอบข้อมูลการติดตั้งแพตช์ได้โดยการเข้าไปที่ Settings เลือก Apps & Features เลือก HEVC แล้วเลือก Advanced Options หากพบว่าโปรแกรม HEVC เป็นเวอร์ชัน 1.0.31822.0, 1.0.31823.0, หรือใหม่กว่า แสดงว่าเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่แล้ว แต่หากยังเป็นเวอร์ชันเก่าสามารถติดตั้งอัปเดตได้โดยเข้าไปที่ Microsoft Store แล้วเลือก Download and updates

หมายเหตุ: ในตอนที่ประกาศข้อมูลแพตช์ในครั้งแรกนั้นทาง Microsoft ได้ระบุว่าช่องโหว่นี้มีผลกระทบกับ Windows 10 และ Windows Server 2019 แต่ต่อมาได้มีการแก้ไขให้เหลือแค่มีผลกระทบเฉพาะกับ Windows 10

วันที่: 2020-07-02 | ที่มา: ZDNet, Microsoft, Microsoft | Share on Facebook Share on Twitter Share on Google+
ใบรับรอง HTTPS ที่ออกหลัง 1 กันยายน 2563 ต้องมีอายุไม่เกิน 398 วัน มิฉะนั้นเบราว์เซอร์จะไม่รองรับ

เว็บไซต์ ZDNet ได้รายงานว่าผู้พัฒนาเบราว์เซอร์หลักทั้ง 3 ราย คือ Apple, Google, และ Mozilla ได้ตกลงข้อกำหนดให้ลดอายุใบรับรอง HTTPS ของเว็บไซต์เหลือแค่ 398 วันแล้ว โดยจะเริ่มจากใบรับรองที่ถูกออกตั้งแต่วันที่ 1 กันยายน 2563 เป็นต้นไป หากเว็บไซต์ใดใช้ใบรับรองที่มีอายุเกินกว่านั้นจะถูกแจ้งว่าการออกใบรับรองไม่ถูกต้อง ซึ่งอาจส่งผลกระทบต่อการใช้งานเว็บไซต์หรือแอปพลิเคชันที่ใช้การเชื่อมต่อแบบ HTTPS ได้

ใบรับรอง HTTPS นั้นมีจุดประสงค์หลักเพื่อใช้เข้ารหัสลับข้อมูลที่รับส่งระหว่างเครื่องของผู้ใช้กับเว็บเซิร์ฟเวอร์และใช้เพื่อยืนยันความถูกต้องของเว็บไซต์ ตามหลักแล้วใบรับรอง HTTPS ที่เชื่อถือได้นั้นควรออกโดยผู้ให้บริการออกใบรับรอง (Certificate Authority หรือ CA) ซึ่งปัจจุบันมีทั้งผู้ให้บริการที่ออกใบรับรองให้ฟรีและแบบที่คิดค่าบริการ ใบรับรอง HTTPS จะมีอายุการใช้งานที่จำกัด โดยผู้ให้บริการออกใบรับรองและผู้พัฒนาเบราว์เซอร์ได้หารือกันเป็นระยะ ๆ เพื่อกำหนดช่วงอายุของใบรับรองที่เหมาะสม ในช่วงแรกนั้นอายุเฉลี่ยของใบรับรองจะอยู่ที่ประมาณ 8 ปี ต่อมาค่อย ๆ ลดลงเรื่อย ๆ จนเหลือ 5 ปี, 3 ปี, และปัจจุบันอายุเฉลี่ยอยู่ที่ 2 ปี โดยเมื่อกลางปี 2562 ผู้พัฒนาเบราว์เซอร์ได้เสนอให้กำหนดอายุสูงสุดของใบรับรองคือ 1 ปี และตั้งแต่ต้นปี 2563 เป็นต้นมา ทาง Apple, Google, และ Mozilla ได้ประกาศว่าจะกำหนดให้เบราว์เซอร์รองรับเฉพาะใบรับรองที่มีอายุไม่เกิน 398 วัน โดยเริ่มตั้งแต่ใบรับรองที่ออกตั้งแต่วันที่ 1 กันยายน 2563 เป็นต้นไป โค้ดการตรวจสอบใบรับรองได้ถูกเพิ่มในเบราว์เซอร์หลักของผู้พัฒนาทั้ง 3 รายแล้ว (ในข่าวต้นทางยังไม่มีรายละเอียดในประเด็นนี้จากทาง Microsoft)

สาเหตุที่ผู้พัฒนาเบราว์เซอร์ต้องการให้ใบรับรอง HTTPS มีอายุสั้นลง เนื่องจากในช่วงหลังนั้นมีการออกใบรับรอง HTTPS เพื่อใช้ในการหลอกลวงหรือการโจมตีทางไซเบอร์เพิ่มมากขึ้น เช่น ใช้กับเว็บไซต์ฟิชชิ่ง มัลแวร์ หรือแม้กระทั่งผู้ให้บริการออกใบรับรองผิดพลาดเอง ซึ่งหลายครั้งกระบวนการแจ้งและเพิกถอนใบรับรองที่ถูกนำไปใช้ในทางที่ผิดนั้นใช้เวลานาน บางกรณีอาจใช้เวลาเป็นปี ทำให้การจำกัดขอบเขตความเสียหายนั้นทำได้ยาก รวมทั้งมีข้อกังวลว่าการโจมตีเพื่อถอดรหัสลับข้อมูลที่รับส่งผ่าน HTTPS นั้นอาจทำได้ง่ายขึ้นในอนาคตอันใกล้ การทำให้ใบรับรอง HTTPS มีอายุสั้นลงจึงจะช่วยให้กระบวนการถอดรหัสลับข้อมูลจาก HTTPS นั้นมีค่าใช้จ่ายที่สูงขึ้นตามไปด้วยได้

นโยบายการเปลี่ยนแปลงอายุของใบรับรอง HTTPS นั้นทำให้ผู้ให้บริการออกใบรับรองจำเป็นต้องปรับปรุงกระบวนการทำงานใหม่เพื่อให้ใบรับรองที่ออกหลังจากวันที่ 1 กันยายน 2563 เวลา 00:00 GMT/UTC นั้นมีอายุสูงสุดไม่เกิน 398 วัน ส่วนผู้ดูแลเว็บไซต์ก็จำเป็นต้องเปลี่ยนใบรับรองใหม่ทุกปี และหากเว็บไซต์ใดใช้ใบรับรองที่ไม่ตรงตามข้อกำหนดดังกล่าว ผู้ใช้ก็อาจพบการแจ้งเตือนว่าเว็บไซต์นั้นใช้งานใบรับรองที่ไม่น่าเชื่อถือ อย่างไรก็ตาม ใบรับรอง HTTPS ที่ออกก่อนวันที่ 1 กันยายน 2563 จะยังไม่ได้รับผลกระทบจากนโยบายนี้ และยังถือว่าใช้งานได้ตามปกติจนกว่าจะหมดอายุ

ทั้งนี้ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของผู้พัฒนาเบราว์เซอร์

วันที่: 2020-06-29 | ที่มา: ZDNet | Share on Facebook Share on Twitter Share on Google+
ผลสำรวจความเสี่ยงด้านไซเบอร์ของการทำงานจากที่บ้าน พบองค์กรส่วนใหญ่ยังขาดแนวทางรับมือ อาจเสี่ยงถูกแฮกและข้อมูลรั่วไหล

จากการระบาดของไวรัส COVID-19 ทำให้องค์กรต่าง ๆ เริ่มส่งเสริมให้พนักงานทำงานจากที่บ้านมากขึ้น เป็นผลให้พนักงานต้องปรับตัวมาใช้เทคโนโลยีในการสื่อสารและทำงานจากระยะไกล อย่างไรก็ตาม การจะใช้งานเทคโนโลยีอย่างมั่นคงปลอดภัยได้นั้นองค์กรต้องเตรียมความพร้อมทั้งด้านนโยบาย เทคโนโลยี และบุคลากร เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทาง IBM Security และ Morning Consult ได้จัดทำผลสำรวจเรื่องความมั่นคงปลอดภัยทางไซเบอร์และการทำงานจากที่บ้าน โดยพบว่าหลายองค์กรยังขาดแนวทางการรับมือที่เหมาะสม ซึ่งอาจก่อให้เกิดความเสี่ยงทั้งการถูกเจาะระบบและความเสี่ยงข้อมูลรั่วไหลได้

ตัวอย่างความเสี่ยง เช่น พนักงาน 52% ต้องใช้คอมพิวเตอร์ส่วนตัวในการทำงาน โดยในจำนวนดังกล่าวมี 61% ที่ระบุว่าไม่ได้รับการสนับสนุนเครื่องมือด้านความมั่นคงปลอดภัยจากทางองค์กร นอกจากนี้ 45% ยังระบุว่าไม่ได้รับการฝึกอบรมเรื่องการปกป้องข้อมูลหรือการปกป้องอุปกรณ์เพื่อให้สามารถทำงานจากที่บ้านได้อย่างมั่นคงปลอดภัยแต่อย่างใด

นอกจากการสนับสนุนด้านเทคโนโลยีแล้ว นโยบายคุ้มครองข้อมูลส่วนบุคคลก็เป็นอีกปัจจัยสำคัญในการช่วยลดความเสี่ยง ซึ่งจากผลสำรวจพบพนักงานกว่า 41% มีความจำเป็นต้องทำงานกับข้อมูลส่วนบุคคล แต่พนักงานกว่าครึ่งกลับไม่ทราบหรือไม่แน่ใจเกี่ยวกับนโยบายในการรักษาข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งเมื่อต้องทำงานกับข้อมูลดังกล่าวจากที่บ้านหรือต้องส่งต่อข้อมูลนั้นให้กับบุคคลอื่น ซึ่งความไม่ชัดเจนเหล่านี้อาจก่อให้เกิดความเสี่ยงข้อมูลรั่วไหลและส่งผลกระทบเป็นวงกว้างได้

เพื่อลดความเสี่ยงที่อาจเกิดขึ้น องค์กรต่าง ๆ จึงควรเตรียมความพร้อมเพื่อให้พนักงานสามารถทำงานจากที่บ้านอย่างปลอดภัย ทั้งดานเครื่องมือ การอบรมเพื่อสร้างความตระหนัก รวมถึงกำหนดและประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน ทั้งนี้ รายงานดังกล่าวเป็นผลสำรวจจากผู้ตอบแบบสอบถามในสหรัฐฯ โดยข้อมูลข้างต้นเป็นเพียงการสรุปประเด็นบางส่วนเท่านั้น ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานฉบับเต็ม (http://filecache.mediaroom.com/mr5mr_ibmnews/186506/IBM_Security_Work_From_Home_Study.pdf)

วันที่: 2020-06-25 | ที่มา: PR Newswire, Dark Reading | Share on Facebook Share on Twitter Share on Google+
Microsoft เผยข้อแนะนำแนวทางการป้องกันเซิร์ฟเวอร์ Exchange จากการถูกโจมตี

องค์กรหลายแห่งใช้ Microsoft Exchange เป็นช่องทางหลักในการทำงานและการสื่อสาร ไม่ว่าจะเป็นอีเมล ปฏิทิน หรือใช้บันทึกข้อมูลพนักงานและผู้ติดต่อ ที่ผ่านมาเซิร์ฟเวอร์ Exchange มักตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ จุดประสงค์เพื่อขโมยข้อมูลหรือเข้าถึงบัญชีที่มีสิทธิ์ระดับสูง ซึ่งหลายครั้งหากโจมตีเซิร์ฟเวอร์ Exchange ได้สำเร็จ ผู้ไม่หวังดีก็อาจสามารถควบคุมระบบเครือข่ายทั้งหมดได้ ทาง Microsoft ได้เผยแพร่ข้อแนะนำในการป้องกันเซิร์ฟเวอร์ Exchange โดยอ้างอิงจากรูปแบบพฤติกรรมของผู้โจมตี

การโจมตีเซิร์ฟเวอร์ Exchange นั้นหลัก ๆ แล้วสามารถทำได้ 2 ช่องทาง โดยช่องทางแรกคือโจมตีเครื่องคอมพิวเตอร์ของผู้ใช้ในองค์กรเพื่อติดตั้งมัลแวร์ขโมยรหัสผ่าน จากนั้นใช้รหัสผ่านดังกล่าวล็อกอินเข้าไปยังเซิร์ฟเวอร์ Exchange อีกที ส่วนวิธีโจมตีช่องทางที่สองคือเจาะผ่านช่องโหว่ของบริการในเซิร์ฟเวอร์ Exchange โดยตรง เช่น ช่องโหว่ของ IIS ซึ่งเป็นซอฟต์แวร์สำหรับให้บริการเว็บไซต์

ทาง Microsoft ได้วิเคราะห์การโจมตีเซิร์ฟเวอร์ Exchange ที่เกิดขึ้นในช่วงเดือนเมษายน 2563 โดยได้สรุปแนวทางการตรวจสอบและป้องกันการโจมโดยอ้างอิงจากพฤติกรรมที่ผิดปกติได้ดังนี้

Initial access

  • ผู้โจมตีอัปโหลดไฟล์ web shell เข้าไปไว้ในพาธของเซิร์ฟเวอร์ Exchange เพื่อที่จะเข้ามาควบคุมเครื่องเซิร์ฟเวอร์ผ่านช่องทางดังกล่าวในภายหลัง
  • แนวทางการตรวจสอบสามารถใช้วิธีเฝ้าระวังและแจ้งเตือนการสร้างไฟล์ใหม่ในพาธของ Exchange เนื่องจากไฟล์ในพาธดังกล่าวไม่ควรมีการเปลี่ยนแปลงเองโดยผู้ดูแลระบบไม่ได้ดำเนินการ

Reconnaissance

  • หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีจะรันคำสั่งเพื่อรวบรวมข้อมูลของระบบ เช่น ตรวจสอบระดับสิทธิ์ของผู้ใช้ที่ล็อกอินอยู่ หรือข้อมูลไอพีของเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่าย โดยในบางกรณีผู้โจมตีอาจรันคำสั่งของ Exchange management shell เพื่อรวบรวมข้อมูลสภาพแวดล้อมอื่น ๆ ด้วย เช่น บัญชีอีเมลที่ให้บริการ
  • ในขั้นตอนนี้อาจปรากฎคำสั่งที่ผู้โจมตีใช้ในการรวบรวมข้อมูล รวมถึงอาจมีประวัติการเรียกโพรเซส เช่น PowerShell ด้วย

Persistence

  • หากเซิร์ฟเวอร์ Exchange มีการตั้งค่าให้สามารถล็อกอินได้ด้วยสิทธิ์ของผู้ดูแลระบบ ผู้โจมตีอาจสร้างบัญชีผู้ใช้ใหม่เพิ่มขึ้นมาเพื่อใช้ล็อกอินในภายหลัง หรืออาจใช้วิธีติดตั้งเครื่องมือประเภท remote access เพื่อใช้เชื่อมต่อ
  • แนวทางการตรวจสอบอาจใช้วิธีตรวจสอบบัญชีผู้ใช้ที่ผิดปกติหรือพอร์ตที่เซิร์ฟเวอร์เปิดให้เข้าถึงได้

Credential access

  • ในบางครั้งการรวบรวมข้อมูลบัญชีผู้ใช้จากเซิร์ฟเวอร์ Exchange อาจได้ข้อมูลที่สามารถใช้ล็อกอินเป็นผู้ดูแลระบบ domain ได้ ทาง Microsoft พบการโจมตีเพื่อขโมยข้อมูล SAM จาก Registry, ขโมยข้อมูล LSASS จากแรม, หรือใช้งานโปรแกรม Mimikatz เพื่อรวบรวมรหัสผ่าน
  • การสังเกตความผิดปกติอาจดูได้จากล็อกการรวบรวมข้อมูล หรือล็อกการส่งไฟล์จากเซิร์ฟเวอร์ออกไปยังเครื่องคอมพิวเตอร์ภายนอก

Lateral movement

  • หลังจากที่รวบรวมข้อมูลบัญชีผู้ใช้และรหัสผ่านได้แล้ว ผู้โจมตีก็จะนำข้อมูลนั้นไปล็อกอินเข้าใช้งานคอมพิวเตอร์เครื่องอื่นในเครือข่ายต่อผ่านช่องทาง WMI, Schedule Task, หรือ PsExec ทั้งนี้ในบางกรณีอาจมีการสั่งปิดโปรแกรมแอนติไวรัสหรือระบบความมั่นคงปลอดภัยของเครื่องปลายทางด้วยเพื่อไม่ให้มีการแจ้งเตือน
  • แนวทางการตรวจสอบความผิดปกติอาจดูได้จากประวัติการล็อกอิน ล็อกการเชื่อมต่อเครือข่าย หรือการรันโปรแกรมที่น่าสงสัย

Collection

  • ทาง Microsoft พบการใช้ Exchange management shell เพื่อ export อีเมลของเป้าหมายแล้วส่งข้อมูลดังกล่าวออกไปยังเครือข่ายภายนอก โดยในบางกรณีอาจมีการใช้ PowerShell ร่วมด้วย
  • การตรวจสอบและเฝ้าระวังการ export อีเมลจากเซิร์ฟเวอร์อาจช่วยแจ้งเตือนพฤติกรรมผิดปกติได้

Exfiltration

  • อีเมลหรือข้อมูลอื่น ๆ ที่ผู้โจมตี export ออกมาจากเซิร์ฟเวอร์จะถูกบีบอัดเพื่อรวมเป็นไฟล์เดียว โดยอาจตั้งชื่อไฟล์หลอกและวางไฟล์ดังกล่าวไว้ในพาธที่ผู้ดูแลระบบอาจไม่ได้สังเกต เช่น ตั้งชื่อไฟล์เป็น .tmp หรือหลอกว่าเป็นไฟล์ log

ข้อแนะนำแนวทางการป้องกัน

  1. ติดตั้งแพตช์ความมั่นคงปลอดภัยเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการโจมตีช่องโหว่
  2. ติดตั้งแอนติดไวรัสและเปิดใช้งานระบบความมั่นคงปลอดภัยเพิ่มเติม เช่น MFA และ firewall รวมถึงตั้งค่าบล็อคพฤติกรรมที่อาจเป็นอันตราย เช่น PsExec หรือ WMI
  3. ทบทวนสิทธิ์และตรวจสอบประวัติการใช้งานของบัญชีที่สามารถล็อกอินเข้ามายังเซิร์ฟเวอร์ได้
  4. ควรใช้บัญชีผู้ดูแลระบบแบบจำกัดสิทธิ์เท่าที่จำเป็น ไม่ควรใช้งานในลักษณะบัญชีเดียวเข้าถึงทุกระบบได้ทั้งหมด
  5. เฝ้าระวังการโจมตีและจัดลำดับความสำคัญของการแจ้งเตือนที่เป็นอันตราย

ทั้งนี้ ผู้ที่สนใจสามารถศึกษารายละเอียดและข้อแนะนำอื่น ๆ ได้จากบทความฉบับเต็ม

วันที่: 2020-06-25 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+
องค์กรที่ติดมัลแวร์เรียกค่าไถ่ Maze อาจถูกสอดแนมขโมยข้อมูลซ้ำได้เพราะผู้ประสงค์ร้ายยังอยู่ในระบบ

มัลแวร์เรียกค่าไถ่ Maze นั้นมีรายงานการโจมตีเพิ่มมากขึ้นตั้งแต่ช่วงครึ่งแรกของปี 2563 โดยผู้ประสงค์ร้ายนอกจากจะเข้ารหัสลับไฟล์ในเครื่องแล้วยังขโมยข้อมูลสำคัญออกไปเพื่อข่มขู่เรียกค่าไถ่ให้เหยื่อยอมจ่ายเงินเพื่อไม่ให้เผยแพร่ข้อมูลดังกล่าวด้วย รายละเอียดเพิ่มเติมและข้อมูลที่เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ Maze สามารถศึกษาได้จากบทความ https://www.thaicert.or.th/newsbite/2020-06-15-02.html

องค์กรที่ไม่ยอมจ่ายเงินตามที่ผู้ประสงค์ร้ายเรียกร้องจะถูกนำไฟล์ออกมาเผยแพร่สู่สาธารณะ จากรายงานล่าสุดพบว่าไฟล์ที่ถูกนำออกมาเผยแพร่นั้นไม่ได้มีแค่ไฟล์ที่ถูกขโมยออกไปก่อนที่มัลแวร์เรียกค่าไถ่จะเริ่มทำงานแต่ยังมีไฟล์ใหม่ที่ถูกสร้างขึ้นมาระหว่างการกู้คืนระบบด้วย โดยในรายงานพบว่าผู้ประสงค์ร้ายได้เผยแพร่ไฟล์ขององค์กรแห่งหนึ่งที่ตกเป็นเหยื่อ ซึ่งเป็นเอกสารที่เจ้าหน้าที่ไอทีได้ติดต่อกับหน่วยงานภายนอกเพื่อขอความช่วยเหลือกู้คืนระบบ เหตุการณ์นี้ทำให้สามารถยืนยันได้ว่าหลังจากที่แพร่กระจายมัลแวร์เรียกค่าไถ่แล้วผู้ประสงค์ร้ายจะยังเข้ามาอยู่ในระบบเพื่อสอดแนมอีเมลและติดตามสถานะการกู้คืนระบบขององค์กรที่ตกเป็นเหยื่อด้วย

ข้อแนะนำในการรับมือหากพบว่าระบบถูกโจมตี

  • ตัดการเชื่อมต่อเครือข่ายและปิดเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ทันทีเพื่อยับยั้งความเสียหายและลดโอกาสการแพร่กระจาย
  • การวิเคราะห์ความเสียหายควรตรวจสอบทั้งเครื่องคอมพิวเตอร์ที่ใช้งานภายในและระบบที่เปิดให้เข้าถึงได้จากสาธารณะ
  • ตัวอย่างข้อมูลที่ควรวิเคราะห์ เช่น ช่องโหว่ของระบบ และเครื่องมือหรือช่องทางที่ผู้ประสงค์ร้ายติดตั้งไว้เพื่อใช้เชื่อมต่อเข้ามาในภายหลัง
  • ในระหว่างการประสานงานเพื่อแก้ไขปัญหาควรเลี่ยงใช้ช่องทางการสื่อสารอื่นที่ไม่ใช่อีเมลขององค์กรเพราะผู้ประสงค์ร้ายอาจติดตามสถานการณ์ผ่านอีเมลได้
  • หากเป็นไปได้ควรติดตั้งระบบใหม่และเปลี่ยนรหัสผ่านของบัญชีทั้งหมดเนื่องจากผู้ประสงค์ร้ายอาจได้รหัสผ่านไปแล้ว
วันที่: 2020-06-22 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่งอีเมลแอบอ้างเป็นไปรษณีย์ไทย หลอกให้ดาวน์โหลดไฟล์มัลแวร์

เมื่อวันที่ 19 มิถุนายน 2563 ไทยเซิร์ตได้รับรายงานการโจมตีผ่านอีเมล โดยแอบอ้างว่าเป็นการแจ้งจัดส่งพัสดุจากบริษัทไปรษณีย์ไทย เนื้อหาในอีเมลเป็นภาษาไทย มีลิงก์ให้ดาวน์โหลดไฟล์จากเว็บไซต์ฝากไฟล์ โดยเป็นไฟล์ .7z ที่ข้างในมีไฟล์ .exe

จากการตรวจสอบพบว่าไฟล์ดังกล่าวเป็นมัลแวร์ที่ถูกสร้างขึ้นมาเพื่อโจมตีแบบเจาะจงเป้าหมาย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูล เช่น รหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์และรหัสผ่านของโปรแกรมเชื่อมต่อ FTP ทั้งนี้ไทยเซิร์ตได้แจ้งประสานกับผู้ให้บริการเว็บไซต์ฝากไฟล์เพื่อขอให้ยุติการเผยแพร่ไฟล์ดังกล่าวแล้ว

ข้อแนะนำ หากได้รับอีเมลที่มีลักษณะน่าสงสัยและมีลิงก์หรือมีไฟล์แนบ ควรพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบดังกล่าวเพราะอาจเป็นมัลแวร์ได้ หากได้รับอีเมลดังกล่าวผ่านระบบอีเมลขององค์กรควรแจ้งให้ผู้ดูแลระบบทราบเพื่อตรวจสอบและปิดกั้นการเข้าถึงเว็บไซต์อันตรายรวมถึงปิดกั้นการรับอีเมลจากผู้ไม่หวังดี

ข้อมูล IOC

URL: www[.]mediafire[.]com/file/ywwqvog1kn630oy/thpost_220620121201.7z/file

File name: thpost 220620121201.7z
MD5: c72a5a6d2badd3032d8cebc13c06852b
SHA-1: 3af75516d622b8e52f04fbedda9dc8dcf427d13c
SHA-256: 74034df9b5146383f6f26de5fec7b9480e4b9a786717f39a22e38805a5936c9b

File name: thpost 220620121201.exe
MD5: e7386aa09a575bd96f8ecbfeea71e38f
SHA-1: 441cdf1dedb9cbfbe6720816eb6b8e06231139b5
SHA-256: e17b5d2bf4c65ec92161c6a26c44c28a3b2793f38d2b2afe2e73bd8ebbab98ae

วันที่: 2020-06-19 | ที่มา: WiseWays | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา NHS ของอังกฤษส่งผลตรวจ COVID-19 ผิดเบอร์ ส่งผลให้ข้อมูลส่วนตัวรั่วไหล

หน่วยงานบริการสาธารณสุขแห่งชาติของสหราชอาณาจักร (National Health Service หรือ NHS) ได้พัฒนาระบบติดตามการสัมผัสเชื้อ COVID-19 ในชื่อ Test & Trace โดยระบบดังกล่าวได้เปิดให้ผู้ที่สนใจสามารถลงทะเบียนเพื่อรับผลตรวจเชื้อผ่านทาง SMS ได้ เมื่อวันที่ 17 มิถุนายน 2563 มีรายงานว่าระบบดังกล่าวได้ส่ง SMS แจ้งผลตรวจผิดเบอร์ ซึ่งอาจก่อให้เกิดปัญหาข้อมูลส่วนบุคคลรั่วไหล

ใน SMS ที่ทาง NHS ส่งแจ้งผลการตรวจเชื้อ COVID-19 นั้นมีข้อมูลส่วนบุคคล ประกอบด้วยชื่อ วันเดือนปีเกิด และผลการตรวจ ซึ่งถือเป็นข้อมูลที่มีความอ่อนไหว การที่ข้อมูลเหล่านี้ถูกส่งไปยังผู้ที่ไม่ใช่เจ้าของข้อมูลนั้นอาจก่อให้เกิดความเสียหายตามมาได้ ทั้งนี้ยังไม่มีคำชี้แจงว่าความผิดพลาดดังกล่าวเกิดขึ้นได้อย่างไร แต่มีผู้ตั้งข้อสังเกตว่าตอนที่เปิดให้ลงทะเบียนเพื่อใช้งานระบบดังกล่าวนั้นมีช่องให้กรอกข้อมูลหมายเลขโทรศัพท์ แต่ตัวระบบไม่มีขั้นตอนในการยืนยันความถูกต้องของข้อมูลดังกล่าว ทำให้ผู้สมัครอาจกรอกหมายเลขโทรศัพท์ผิดจนเป็นเหตุให้ระบบส่ง SMS ไปยังเลขหมายของผู้อื่น

กรณีศึกษานี้เป็นตัวอย่างที่ดีของการออกแบบระบบเพื่อรักษาความเป็นส่วนตัว โดยหากระบบนั้นจำเป็นต้องส่งข้อมูลที่มีความอ่อนไหว ควรมีการตรวจสอบและยืนยันว่าช่องทางที่จะส่งข้อมูลออกไปนั้นเป็นผู้รับตัวจริง เช่น ในขั้นตอนการกรอกหมายเลขโทรศัพท์เพื่อลงทะเบียนควรมีการส่งรหัสยืนยันไปทาง SMS เพื่อให้แน่ใจว่าผู้สมัครใช้หมายเลขโทรศัพท์ดังกล่าวจริงและสามารถใช้ช่องทางดังกล่าวเพื่อรับข้อความได้จริง รวมทั้งควรมีช่องทางให้ผู้ที่ได้รับข้อมูลผิดพลาดสามารถแจ้งไปยังผู้ให้บริการเพื่อขอให้ตรวจสอบและแก้ไขข้อมูลให้ถูกต้องได้

วันที่: 2020-06-18 | ที่มา: Graham Cluley | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน มัลแวร์เรียกค่าไถ่ Maze ระบาด นอกจากเข้ารหัสลับไฟล์อาจข่มขู่ให้จ่ายเงินเพื่อไม่ให้เปิดเผยข้อมูล

ไทยเซิร์ตได้รับรายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่สายพันธุ์ Maze (หรือ ChaCha) ซึ่งเป็นมัลแวร์ที่มีการโจมตีมาตั้งแต่ช่วงเดือนพฤษภาคม 2562 กลุ่มหน่วยงานที่ตกเป็นเป้าหมาย เช่น ภาคธุรกิจ การผลิต หรือด้านพลังงาน ตัวมัลแวร์แพร่กระจายโดยอาศัยคนสั่งการ (human-operated ransomware) ทำให้ลักษณะการโจมตีนั้นจะใกล้เคียงกับการโจมตีแบบเจาะจงเป้าหมาย (targeted attack) แนวทางการโจมตีแบบสังเขปเป็นดังนี้

  1. ผู้ประสงค์ร้ายเจาะช่องโหว่ของระบบเป้าหมาย (เช่น brute force รหัสผ่านของบริการ remote desktop หรือโจมตีผ่านช่องโหว่ของบริการ VPN) หรือโจมตีด้วยการหลอกผู้ใช้ในองค์กร (เช่น ส่งอีเมลฟิชชิ่งหรือแนบไฟล์มัลแวร์) เพื่อเข้ามายังเครือข่ายภายใน
  2. เมื่อสามารถเข้าถึงเครือข่ายภายในได้แล้ว จะสำรวจและรวบรวมข้อมูลอยู่เป็นระยะเวลาหนึ่ง โดยอาจมีการเชื่อมต่อไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่าย (lateral movement) หรือสร้างช่องทางลับ (backdoor) สำหรับเชื่อมต่อเข้ามาอีกในภายหลัง
  3. อาจมีการรวบรวมข้อมูลบัญชีผู้ใช้ หรือขโมยรหัสผ่านของผู้ดูแลระบบ Active Directory ด้วย เพื่อให้ได้สิทธิ์การทำงานในระดับที่สูงขึ้น
  4. ขั้นตอนสุดท้ายของการโจมตีคือสั่งติดตั้งมัลแวร์เรียกค่าไถ่ ทั้งนี้ผู้โจมตีอาจเข้ามาอยู่ในระบบนานหลายสัปดาห์หรืออาจเป็นเดือนก่อนที่จะลงมือ

นอกจากนี้ มีรายงานว่าผู้ประสงค์ร้ายอาจขโมยไฟล์ข้อมูลสำคัญขององค์กรที่ตกเป็นเหยื่อออกไปด้วย จุดประสงค์เพื่อข่มขู่ว่าหากเหยื่อไม่ยอมจ่ายเงินค่าไถ่จะเผยแพร่ข้อมูลลับนั้นออกสู่สาธารณะ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-05-18-01.html)

มัลแวร์เรียกค่าไถ่ Maze และมัลแวร์อื่นที่แพร่กระจายโดยอาศัยคนสั่งการนั้นมีรายงานการโจมตีเพิ่มมากขึ้นในช่วงครึ่งแรกของปี 2563 โดยทาง Microsoft ได้วิเคราะห์รูปแบบการโจมตีและแนวทางการป้องกันไว้ ซึ่งผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความที่ทางไทยเซิร์ตได้สรุปและเรียบเรียงไว้ก่อนหน้านี้ (https://www.thaicert.or.th/newsbite/2020-05-01-01.html)

เนื่องจากระบบที่ถูกโจมตีโดยมัลแวร์เรียกค่าไถ่ Maze นั้นอาจมีข้อมูลรั่วไหลหรือถูกฝังช่องทางลับไว้ด้วย ดังนั้นการกู้คืนระบบจากข้อมูลสำรองนั้นอาจไม่เพียงพอเพราะผู้โจมตีอาจกลับเข้ามาสั่งติดตั้งมัลแวร์ซ้ำอีกครั้งได้ผ่านช่องทางลับที่ถูกสร้างไว้ก่อนหน้า

ข้อแนะนำในการตรวจสอบและเฝ้าระวังเมื่อต้องกู้คืนระบบหลังถูกโจมตี

  1. ตรวจสอบช่องทางหรือบริการต่าง ๆ ที่เปิดให้สามารถเข้าถึงได้จากระยะไกล เช่น บริการ remote desktop หรือ VPN โดยควรอัปเดตแพตช์และเฝ้าระวังการเชื่อมต่อที่ผิดปกติอย่างสม่ำเสมอ (เช่น การล็อกอินผิดพลาดเกิดจำนวนที่กำหนด)
  2. ตรวจสอบการล็อกอินที่ผิดปกติหรือมีพฤติกรรมที่น่าสงสัย เช่น ล็อกอินนอกเวลางาน หรือล็อกอินจากต่างประเทศ (หากผู้ใช้ไม่ได้เดินทางไปต่างประเทศ) ซึ่งเหตุการณ์เหล่านี้อาจเกิดจากผู้ประสงค์ร้ายสามารถเข้าควบคุมบัญชีได้
  3. ตรวจสอบรายชื่อบัญชีผู้ใช้ที่น่าสงสัย ซึ่งผู้ประสงค์ร้ายอาจสร้างบัญชีดังกล่าวไว้เพื่อเชื่อมต่อกลับเข้ามาในภายหลัง
  4. ตรวจสอบประวัติการเรียกโพรเซส หรือประวัติการเรียกใช้งานสคริปต์ (เช่น PowerShell) หากมีการเก็บล็อกเหล่านี้ไว้
  5. ตรวจสอบประวัติการเชื่อมต่อกับเครื่องควบคุมและสั่งการมัลแวร์ (command & control) หรือการส่งข้อมูลออกไปยังเครือข่ายภายนอกในลักษณะที่ผิดปกติ ซึ่งอาจเป็นไปได้ว่าเป็นการส่งข้อมูลที่ขโมยออกไป โดยอาจตรวจสอบได้จากล็อกของ firewall
  6. หากเป็นไปได้ควรเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ทั้งหมดด้วย เพราะผู้ประสงค์ร้ายอาจได้ข้อมูลรหัสผ่านไปก่อนหน้านี้แล้ว
  7. หลังจากที่ได้ตรวจสอบ กำจัดมัลแวร์ หรือติดตั้งระบบใหม่แล้ว ควรเฝ้าระวังการโจมตีอย่างสม่ำเสมอเพราะผู้ประสงค์ร้ายอาจใช้ช่องทางที่ยังหลงเหลืออยู่เชื่อมต่อเข้ามาโจมตีอีกได้

ทั้งนี้ ผู้ดูแลระบบสามารถใช้ข้อมูล IoC (Indicator of Compromise) จากบทความของ McAfee และ FireEye เพื่อตรวจสอบการเชื่อมต่อที่ผิดปกติและค่าแฮชของไฟล์มัลแวร์ที่เกี่ยวข้อง

วันที่: 2020-06-15 | ที่มา: McAfee, FireEye, Malpedia | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ในเราเตอร์ D-Link รุ่น DIR-865L ควรอัปเดตแพตช์หรือเปลี่ยนไปใช้รุ่นอื่น

เราเตอร์ D-Link รุ่น DIR-865L นั้นเป็นเราเตอร์สำหรับใช้งานตามบ้านที่ออกวางจำหน่ายมาตั้งแต่ช่วงปี 2555 โดยปัจจุบันได้สิ้นสุดระยะเวลาสนับสนุนทางเทคนิคแล้ว อย่างไรก็ตาม เราเตอร์รุ่นนี้ได้รับความนิยมสูงในช่วงที่วางจำหน่าย จึงทำให้ถึงแม้ปัจจุบันจะเป็นเราเตอร์รุ่นเก่าแล้วแต่ก็อาจยังมีการใช้งานอยู่

บริษัท Palo Alto Networks ได้รายงานช่องโหว่จำนวน 6 จุดในเฟิร์มแวร์ของเราเตอร์ D-Link รุ่น DIR-865L โดยเป็นเฟิร์มแวร์เวอร์ชันที่ออกมาในปี 2561 ซึ่งเป็นช่วงสุดท้ายของระยะการสนับสนุนตัวผลิตภัณฑ์แล้ว ช่องโหว่ที่ถูกค้นพบนี้มี 1 จุดที่เป็นระดับวิกฤต (Critical) และที่เหลือเป็นระดับสูง (High) ผลกระทบหากโจมตีช่องโหว่สำเร็จนั้นอาจทำให้ผู้ไม่หวังดีสามารถควบคุมเราเตอร์ ติตตั้งมัลแวร์ ขโมยข้อมูล หรือใช้งานเราเตอร์เพื่อเป็นฐานในการโจมตีได้

เมื่อวันที่ 26 พฤษภาคม 2563 บริษัท D-Link ได้ออกแพตช์แก้ไขช่องโหว่ให้กับเราเตอร์ดังกล่าว อย่างไรก็ตาม แพตช์รอบนี้เป็นเวอร์ชันทดสอบ (Beta) และได้แก้ไขช่องโหว่แค่ 3 จุดจากทั้งหมด 6 จุด โดยทาง D-Link ระบุว่าการใช้งานผลิตภัณฑ์ที่สิ้นสุดระยะเวลาสนับสนุนไปแล้วนั้นอาจมีความเสี่ยง และได้แนะนำให้ผู้ที่ยังใช้งานอุปกรณ์รุ่นเก่าอยู่เปลี่ยนไปใช้อุปกรณ์ที่ใหม่กว่า เพื่อให้มีความมั่นคงปลอดภัยในการใช้งาน

วันที่: 2020-06-15 | ที่มา: Palo Alto, D-Link, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Clear