Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน พบการโจมตีช่องโหว่ใน Oracle WebLogic อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบอัปเดต

เมื่อวันที่ 29 ตุลาคม 2563 นักวิจัยจากสถาบัน SANS ได้รายงานปริมาณทราฟฟิกการโจมตีเซิร์ฟเวอร์ที่ใช้งาน Oracle WebLogic เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยการโจมตีนี้เจาะจงช่องโหว่ CVE-2020-14882 ซึ่งเป็นช่องโหว่ระดับวิกฤต (Critical) ประเภท Remote Code Execution (RCE) ใน Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0 ส่งผลให้ผู้ไม่หวังดีสามารถแฮกควบคุมเครื่องได้จากระยะไกล

การโจมตีช่องโหว่ CVE-2020-14882 นั้นไม่ซับซ้อน ผู้ไม่หวังดีสามารถส่งรีเควสต์ HTTP GET ไปยังเซิร์ฟเวอร์ Oracle WebLogic ได้โดยไม่ต้องยืนยันตัวตน ซึ่งหากโจมตีสำเร็จจะสามารถสั่งรันโค้ดอันตรายบนเครื่องเซิร์ฟเวอร์ได้ ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS 9.8 เต็ม 10 รายละเอียดของช่องโหว่สามารถศึกษาเพิ่มเติมได้จาก CVE Base (https://www.cvebase.com/cve/2020/14882) ตัวอย่าง log การโจมตีสามารถดูได้จาก SANS (https://isc.sans.edu/diary/26734)

ทั้งนี้ ช่องโหว่ดังกล่าว ทาง Oracle ได้ออกแพตช์แก้ไขไปตั้งแต่วันที่ 20 ตุลาคม 2563 แล้ว เพื่อป้องกันและลดความเสี่ยง ผู้ดูแลระบบควรรีบอัปเดตแพตช์โดยด่วน

วันที่: 2020-10-30 | ที่มา: Bleeping Computer, The Register | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ควรรีบแพตช์และตรวจสอบการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยง

เมื่อวันที่ 29 ตุลาคม 2563 บริษัท Microsoft ได้แจ้งเตือนการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ซึ่งเป็นช่องโหว่ใน Netlogon Remote Protocol ที่ใช้งานร่วมกับระบบ Active Directory ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแอบอ้างสิทธิของบัญชีในโดเมนเพื่อยึดเครื่องเซิร์ฟเวอร์ได้ แพตช์สำหรับแก้ไขช่องโหว่ดังกล่าวถูกปล่อยให้อัปเดตตั้งแต่เดือนสิงหาคม 2563 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-09-15-01.html) โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

นอกจากรายงานการโจมตีแล้ว ทาง Microsoft ยังได้ปรับปรุงข้อแนะนำการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยงจากช่องโหว่ Zerologon ด้วย โดยสามารถแบ่งขั้นตอนการดำเนินงานออกได้เป็น 4 ช่วง ดังนี้

  1. UPDATE คือการติดตั้งแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2563 หรือใหม่กว่าให้กับเครื่องที่ทำหน้าที่เป็น Domain Controller
  2. FIND คือการตรวจสอบ log event ID 5829 ใน Domain Controller เพื่อค้นหาเครื่องในเครือข่ายที่ยังไม่ได้เชื่อมต่อ Netlogon แบบ secure channel
  3. ADDRESS คือการตรวจสอบ log event ID 5827 และ 5828 ใน Domain Controller เพื่อค้นหาและแก้ไขปัญหาเครื่องในเครือข่ายที่ถูกปฏิเสธการล็อกอิน
  4. ENABLE คือการตั้งค่า Netlogon ให้ล็อกอินแบบ secure channel หรือยอมอนุญาตให้ล็อกอินผ่านช่องทางที่มีช่องโหว่ได้

ทั้งนี้ ทาง Microsoft ได้ให้ข้อมูลเพิ่มเติมว่า จะเริ่มเปิดใช้การตั้งค่า Domain Controller ในแบบ enforcement mode ในแพตช์เดือนกุมภาพันธ์ 2564 ซึ่งอาจมีผลกระทบกับระบบที่ยังไม่รองรับ ผู้ดูแลระบบควรตรวจสอบข้อมูลและรายละเอียดการตั้งค่าเพิ่มเติมจากบทความข้อแนะนำของทาง Microsoft (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc)

วันที่: 2020-10-30 | ที่มา: Microsoft, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด HTML ที่มีสคริปต์ Cross-Site Scripting

เมื่อวันที่ 15 ตุลาคม 2563 ในสหราชอาณาจักรมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD (อ้างอิง https://www.companysearchesmadesimple.com/company/uk/12956509/script-src-https-mjt-xss-ht-script-ltd/) ซึ่งข้อความดังกล่าวเป็นแท็ก HTML ที่มีโค้ดเรียกสคริปต์จากเว็บไซต์ภายนอกมาแสดงผล เป็นเทคนิคการโจมตีในลักษณะ Cross-Site Scripting (XSS) อย่างไรก็ตาม ชื่อบริษัทดังกล่าวถูกเปลี่ยนเป็น THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD ในหน้าค้นหารายชื่อบริษัทของเว็บไซต์รัฐบาล (อ้างอิง https://find-and-update.company-information.service.gov.uk/company/12956509)

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่มีผู้จดทะเบียนชื่อบริษัทโดยใช้อักขระพิเศษ เมื่อเดือนธันวาคม 2559 เคยมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า ; DROP TABLE "COMPANIES";-- LTD (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-01-05-01.html) ซึ่งข้อความดังกล่าวเป็นคำสั่งโจมตีแบบ SQL injection เพื่อลบฐานข้อมูล

สาเหตุที่บริษัทดังกล่าวสามารถจดทะเบียนด้วยชื่อในลักษณะนี้ได้เนื่องจากกฎหมายของสหราชอาณาจักรอนุญาตให้มีการใช้อักขระพิเศษ เช่น ' < > / ? ในชื่อของบริษัทได้ (อ้างอิง https://www.legislation.gov.uk/uksi/2015/17/schedule/1/made) แต่อักขระพิเศษบางอย่างนั้นมีผลกระทบกับการแสดงผลของเว็บไซต์หรือการทำงานของระบบฐานข้อมูล เนื่องจากเป็นอักขระที่เกี่ยวข้องกับการเขียนสคริปต์หรือคำสั่ง ทำให้หากมีเว็บไซต์หรือแอปพลิเคชันใด ๆ ที่นำชื่อบริษัทเหล่านี้ไปจัดเก็บหรือประมวลผลโดยไม่มีกระบวนการจัดการกับอักขระพิเศษ (sanitize) ที่เหมาะสม ก็อาจส่งผลกระทบต่อการทำงานของระบบได้

วันที่: 2020-10-29 | ที่มา: Hacker News, Reddit | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่งอีเมลฟิชชิ่งโดยใช้ลิงก์ไปยัง Google Ads โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก PhishLabs ได้รายงานเทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยฟีเจอร์ redirect ของ Google Ads จุดประสงค์เพื่อหลบเลี่ยงระบบคัดกรองอีเมลสแปม โดยทางทีม PhishLabs พบว่าโครงสร้าง URL ของบริการ Google Ads นั้นเป็นในลักษณะ

hxxps://www[.]googleadservices[.]com/pagead/aclk?sa=[parameters]&adurl=[URL]

ซึ่งพารามิเตอร์ adurl ที่อยู่ท้ายสุดนั้นสามารถใส่ URL เพื่อพาไปยังเว็บไซต์อื่นได้ ผู้ประสงค์ร้ายจึงสามารถใช้ช่องทางนี้ในการส่งอีเมลเพื่อหลอกให้เหยื่อหลงเชื่อคลิกลิงก์ไปยังเว็บไซต์ฟิชชิ่งได้ (ตัวอย่าง URL แบบเต็มสามารถดูได้จากที่มา)

ทาง PhishLabs ระบุว่าการโจมตีแบบฟิชชิ่งที่อาศัยฟีเจอร์ redirect ของเว็บไซต์ที่มีความน่าเชื่อถือนั้นได้รับความนิยมในกลุ่มผู้ประสงค์ร้าย เนื่องจากไม่ต้องตั้งระบบ redirect เอง และระบบคัดกรองอีเมลสแปมส่วนใหญ่จะปล่อยผ่านอีเมลที่มีลิงก์ไปยังเว็บไซต์เหล่านี้เพราะถือว่าเป็นเว็บไซต์ที่น่าเชื่อถือ

ทั้งนี้ ทาง PhishLabs ระบุว่าพบการโจมตีในลักษณะนี้มาก่อนหน้านี้แล้ว โดยนอกจาก Google Ads แล้วก็ยังมีอีกหลายเว็บไซต์ที่สามารถใช้เพื่อโจมตีในลักษณะ redirect ได้อีกเช่นกัน

เนื่องจากรูปแบบการโจมตีในลักษณะนี้สามารถเล็ดรอดผ่านระบบคัดกรองอีเมลสแปมได้ รวมถึงการตรวจสอบความน่าเชื่อถือของเว็บไซต์ด้วยการพิจารณาจากโดเมนในลิงก์ที่แนบมากับอีเมลนั้นอาจจะไม่เพียงพอ เพื่อลดความเสี่ยง ผู้ใช้ควรพิจารณาความน่าเชื่อถือของอีเมล โดยหากพบลิงก์ที่ไม่ได้พาไปยังเว็บไซต์จริงของผู้ให้บริการ หรือพบการ redirect ไปยัง URL ปลายทางที่น่าสงสัย ควรพิจารณาความถูกต้องของเว็บไซต์ดังกล่าวก่อนกรอกข้อมูลเพื่อล็อกอินหรือทำธุรกรรม

วันที่: 2020-10-28 | ที่มา: PhishLabs | Share on Facebook Share on Twitter Share on Google+
ถอดบทเรียนจากผลการสืบสวนกรณีการแฮก Twitter คนร้ายโทรไปหลอกว่าเป็นเจ้าหน้าที่ไอที พาเข้าเว็บฟิชชิ่ง ไม่มีกระบวนการแจ้งเตือนภายใน

จากเหตุการณ์การแฮกบัญชีผู้ใช้ Twitter จำนวนมากเมื่อช่วงกลางเดือนกรกฎาคม 2563 เพื่อหลอกให้โอนเงินผ่าน bitcoin รวมมูลค่าความเสียหายกว่า 118,000 ดอลลาร์สหรัฐฯ นั้น ในเบื้องต้นทาง Twitter แจ้งว่าพนักงานถูกหลอกให้มอบสิทธิเข้าถึงระบบแอดมินให้กับผู้ประสงค์ร้าย จนเป็นเหตุให้บัญชีผู้ใช้ Twitter คนอื่น ๆ ถูกเข้าถึงหรือถูกสวมรอยโพสต์ข้อความโดยไม่ได้รับอนุญาตได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-07-20-01.html)

เมื่อวันที่ 14 ตุลาคม 2563 รัฐนิวยอร์กได้ออกรายงานผลการสืบสวนกรณีการแฮกบัญชีในครั้งนี้ ซึ่งจากรายงานมีประเด็นน่าสนใจที่สามารถถอดบทเรียนมาปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของหน่วยงานได้ สาระสำคัญจากรายงานฉบับดังกล่าวสามารถสรุปได้ดังนี้

  • ลำดับการโจมตีมีทั้งหมด 3 ขั้นตอน ประกอบด้วยการใช้เทคนิค social engineering เพื่อเข้าถึงระบบภายในของ Twitter จากนั้นยึดครองบัญชีผู้ใช้ที่มีมูลค่าสูงเพื่อขายสิทธิในการเข้าถึงบัญชีนั้น และสุดท้ายคือการใช้บัญชีดังกล่าวโพสต์หลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย ซึ่งเหตุการณ์ทั้งหมดนี้เกิดขึ้นภายในเวลา 24 ชั่วโมง
  • ในการโจมตีด้วยเทคนิค social engineering นั้นผู้ประสงค์ร้ายใช้วิธีโทรศัพท์เข้าไปหลอกพนักงานของ Twitter โดยแอบอ้างว่าเป็นเจ้าหน้าที่ help desk ของฝ่ายไอที ติดต่อเข้ามาเนื่องจากได้รับแจ้งว่ามีผู้ใช้รายงานปัญหาในการเชื่อมต่อ VPN โดยในการสนทนานั้นผู้ประสงค์ร้ายได้หลอกให้เหยื่อเข้าไปยังเว็บไซต์ฟิชชิ่งที่ทำหลอกว่าเป็นบริการ VPN ของ Twitter จุดประสงค์เพื่อขโมยบัญชีผู้ใช้และรหัสผ่าน
  • อย่างไรก็ตาม เมื่อผู้ประสงค์ร้ายนำข้อมูลดังกล่าวไปล็อกอินในเว็บไซต์จริงของ Twitter ก็พบว่าหลายบัญชีนั้นไม่สามารถล็อกอินได้เนื่องจากพนักงานคนดังกล่าวได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication หรือ MFA)
  • มีพนักงานของ Twitter อย่างน้อย 1 คนให้ข้อมูลเพิ่มเติมว่า เมื่อพบการแจ้งเตือนการล็อกอินที่ผิดปกติและได้แจ้งไปยังฝ่ายเฝ้าระวังการทุกจริต แต่ก็ถูกเพิกเฉยเพราะเจ้าหน้าที่คิดว่าผู้ประสงค์ร้ายนั้นโกหก
  • เมื่อผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีของพนักงาน Twitter ได้ ก็พบว่าบัญชีดังกล่าวนั้นไม่มีสิทธิเข้าถึงระบบแอดมิน อย่างไรก็ตาม ผู้ประสงค์ร้ายก็ใช้สิทธิของบัญชีดังกล่าวในการเข้าไปดูข้อมูลในระบบ Intranet ของ Twitter จนพบข้อมูลที่บ่งบอกถึงวิธีในการเข้าระบบแอดมินได้ จากนั้นผู้ประสงค์ร้ายจึงเริ่มยึดบัญชีของพนักงานที่มีสิทธิเข้าถึงระบบดังกล่าว
  • หลักจากที่ผู้ประสงค์ร้ายได้สิทธิในการเข้าถึงระบบแอดมินและสามารถยึดครองบัญชีใด ๆ ในระบบได้ ก็เริ่มยึดครองบัญชีที่มีมูลค่าสูงและนำบัญชีดังกล่าวไปขายต่อในตลาดมืด และในเวลาต่อมาได้มีการเผยแพร่ตัวอย่างภาพ screenshot ระบบแอดมินของ Twitter ออกสู่สาธารณะ
  • จากนั้นผู้ประสงค์ร้ายเริ่มยึดครองบัญชีประเภท verified account ซึ่งเป็นบัญชีของผู้มีชื่อเสียงและได้รับการตรวจสอบยืนยันจากทาง Twitter ว่าเป็นบัญชีจริง โดยได้นำบัญชีดังกล่าวไปโพสต์ข้อความเพื่อหลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย อ้างว่าจะได้เงินตอบแทนมูลค่าสูง เหตุการณ์นี้มีผู้ตกเป็นเหยื่อหลงเชื่อโอนเงินไปเป็นจำนวนมาก
  • มีบัญชีผู้ Twitter ทั้งหมด 130 บัญชีที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต และมี 45 บัญชีที่ถูกนำไปใช้โพสต์หลอกให้โอน bitcoin ในรายการเหล่านี้มีทั้งหมด 7 บัญชีที่ผู้ประสงค์ร้ายดาวน์โหลดข้อมูลทั้งหมดของบัญชี รวมถึงข้อความ direct message ออกไป ทั้งนี้ทาง Twitter ระบุว่ามีประมาณ 36 บัญชีที่ผู้ประสงค์ร้ายสามารถเข้าถึง direct message ของบัญชีดังกล่าวได้
  • ถึงแม้ว่าเหตุการณ์การโจมตีจะเริ่มต้นขึ้นตั้งแต่ช่วงบ่ายของวันที่ 14 กรกฎาคม 2563 ตามเวลาในสหรัฐฯ แต่กว่าที่ทีม incident response ของทาง Twitter จะได้รับรายงานและเริ่มดำเนินการนั้นก็เป็นช่วงเช้าของวันที่ 15 กรกฎาคม โดยใช้เวลาเกือบหนึ่งชั่วโมงในการตัดผู้ประสงค์ร้ายออกจากระบบ นอกจากนี้ยังมีกระบวนการจำกัดความเสียหายอื่น ๆ เพิ่มเติมในระหว่างที่กำลังแก้ปัญหา เช่น ระงับการเข้าถึงระบบแอดมินเป็นการชั่วคราว ระงับการเปลี่ยนรหัสผ่านและการโพสต์ข้อความของบัญชีที่ถูกแฮก ยกเลิกสิทธิ์ในการเข้าถึงระบบภายในและให้พนักงานเปลี่ยนรหัสผ่านทั้งหมด เป็นต้น อย่างไรก็ตาม ในขั้นตอนของการแจ้งรายงานสถานการณ์ต่อสาธารณะนั้นทาง Twitter ไม่ได้ให้ข้อมูลที่ชัดเจนเพียงพอ จนทำให้เกิดความสับสนในการสื่อสาร

ในรายงานฉบับนี้นอกจากจะมีรายละเอียดเรื่องการสืบสวนกรณี Twitter ถูกแฮกแล้ว ยังมีเรื่องการสืบสวนร่วมกับบริษัทคริปโทเคอร์เรนซีด้วย เนื่องจากลูกค้าของบริษัทเหล่านั้นถูกหลอกให้โอนเงินออกไป รวมถึงมีบัญชี Twitter ของบริษัทคริปโทเคอร์เรนซีบางรายถูกแฮกและถูกใช้โพสต์หลอกให้โอนเงินด้วย ทั้งนี้ ผู้ให้บริการคริปโทเคอร์เรนซีบางรายได้สั่งระงับการโอนเงินไปยังบัญชีของผู้ประสงค์ร้ายในทันทีที่มีการประกาศว่าระบบของ Twitter ถูกแฮก จุดประสงค์เพื่อระงับความเสียหายและป้องกันไม่ให้มีผู้ตกเป็นเหยื่อเพิ่ม

สรุปสาเหตุและที่มาของปัญหาที่เกิดขึ้น

  • Twitter ไม่มีผู้ปฏิบัติงานในตำแหน่ง Chief Information Security Officer หรือ CISO ตั้งแต่เดือนธันวาคม 2562 หรือกว่า 7 เดือนก่อนที่จะถูกแฮก ซึ่งการไม่มีผู้กำหนดทิศทางด้านความมั่นคงปลอดภัยทำให้เกิดจุดอ่อนทั้งในด้านบุคลากรและกระบวนการประสานงาน
  • จากสถานการณ์ COVID-19 ทำให้ Twitter เริ่มปรับให้พนักงานทำงานจากที่บ้านได้ตั้งแต่เดือนมีนาคม 2563 โดยมีการใช้ VPN เพื่อเชื่อมต่อเข้ามายังระบบของบริษัท เนื่องจากมีพนักงานที่พบปัญหาการเชื่อมต่อ VPN จริง จึงทำให้ผู้ประสงค์ร้ายสามารถใช้ข้ออ้างนี้ในการหลอกลวงได้
  • ถึงแม้จะมีหลายหน่วยงานได้จัดทำข้อแนะนำด้านความมั่นคงปลอดภัยในการทำงานจากนอกสถานที่ แต่ Twitter ก็ไม่ได้ปฏิบัติตามข้อแนะนำใด ๆ จึงทำให้ระบบมีจุดอ่อนทั้งในแง่การป้องกันเชิงเทคนิค (เช่น เปิดใช้งาน MFA) และการสร้างความตระหนักให้กับผู้ใช้งาน

สรุปบทเรียนและข้อแนะนำ

  • บริษัทคริปโทเคอร์เรนซีควรบล็อคการโอนเงินไปยังบัญชีที่ถูกระบุว่าเกี่ยวข้องกับการหลอกลวงเพื่อจำกัดความเสียหาย โดยอาจเพิ่มมาตรการหน่วงเวลาในการโอนเงินไปยังบัญชีที่เพิ่มขึ้นมาใหม่ เพื่อให้ผู้ใช้มีเวลาทบทวนและตัดสินใจ รวมถึงติดตามข่าวสารว่าบัญชีนั้นเกี่ยวข้องกับการหลอกลวงหรือไม่ก่อนที่เงินจะถูกโอนออกไปจริง
  • บริษัทที่ให้บริการควรมีผู้บริหารที่รับผิดชอบด้านการกำหนดนโยบายและการตัดสินใจด้านความมั่นคงปลอดภัย ควรมีกระบวนการควบคุมการเข้าถึงและเปิดใช้งานการล็อกอินอย่างมั่นคงปลอดภัย จัดอบรมสร้างความตระหนักให้กับพนักงาน รวมถึงเฝ้าระวังการโจมตีและทบทวนกระบวนการแจ้งเตือนให้รวดเร็ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้จากที่มา

วันที่: 2020-10-28 | ที่มา: New York State | Share on Facebook Share on Twitter Share on Google+
ENISA เผยภาพรวมภัยคุกคามทางไซเบอร์ในปี 2020 พบการโจมตีโดยอาศัยสถานการณ์ COVID-19 เพิ่มมากขึ้น ส่วนใหญ่เป็นมัลแวร์ การโจมตีเว็บไซต์ และอีเมลฟิชชิ่ง

เมื่อวันที่ 20 ตุลาคม 2563 หน่วยงาน The European Union Agency for Cybersecurity หรือ ENISA ซึ่งรับผิดชอบงานด้านความมั่นคงปลอดภัยไซเบอร์ในสหภาพยุโรป ได้เผยแพร่รายงาน Threat Landscape Report 2020 ซึ่งเป็นการสรุปภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในภูมิภาคยุโรป ตั้งแต่เดือน มกราคม 2562 จนถึงเมษายน 2563

ในรายงานฉบับปี 2563 นี้ ทาง ENISA ได้แบ่งเนื้อหาออกเป็น 22 ส่วน แยกเป็นเนื้อหาสำหรับผู้อ่านทั่วไปและเนื้อหาเชิงเทคนิค โดยในส่วนของฝั่งผู้อ่านทั่วไปนั้นจะเป็นในเชิงภาพรวมและเชิงกลยุทธ์ สำหรับใช้วางแผนรับมือ ส่วนเนื้อหาของฝั่งเทคนิคนั้นจะมีทั้งข้อมูลรายละเอียดการโจมตีและข้อมูลเชิงสถิติ

ทาง ENISA รวบรวมสถิติของภัยคุกคามที่พบมากที่สุดจำนวน 15 อันดับ โดยในปี 2563 สถิติภัยคุกคามทางไซเบอร์ที่พบมากที่สุด 3 อันดับแรก ได้แก่ การแพร่กระจายมัลแวร์ การโจมตีเว็บไซต์ และการโจมตีแบบฟิชชิ่ง โดยภาพรวม สถิติการโจมตีหลัก ๆ นั้นจะยังคล้ายคลึงกับสถิติของปีก่อนหน้า โดยพบข้อสังเกตสำคัญคือ การโจมตีโดยอาศัยเนื้อหาที่เกี่ยวข้องกับการแพร่ระบาดของโรค COVID-19 เป็นตัวหลอกล่อนั้นมีเพิ่มมากขึ้น อย่างไรก็ตาม จากสถานการณ์ดังกล่าวก็ทำให้บริษัทต่าง ๆ เริ่มให้ความสำคัญและเตรียมความพร้อมเพื่อรับมือภัยคุกคามทางไซเบอร์มากขึ้นด้วย

การศึกษาภาพรวมภัยคุกคามทางไซเบอร์ จะทำให้เห็นภาพว่าสภาพแวดล้อมในพื้นที่และในช่วงเวลานั้นมีภัยคุกคามประเภทใดบ้าง มากน้อยเพียงใด ซึ่งข้อมูลที่ได้สามารถนำมาใช้ประเมินความเสี่ยง ทั้งในแง่สถิติ และการวิเคราะห์แนวโน้มเพื่อวางแผนรับมือร่วมด้วย ทั้งนี้ ผู้ที่สนใจสามารถอ่านและดาวน์โหลดรายงานฉบับเต็มได้จากเว็บไซต์ของ ENISA (https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends)

วันที่: 2020-10-27 | ที่มา: ENISA | Share on Facebook Share on Twitter Share on Google+
FIRST ออกแนวปฏิบัติด้านจริยธรรมสำหรับผู้ปฏิบัติงานด้าน incident response

FIRST หรือ Forum of Incident Response and Security Teams เป็นองค์กรด้านการแลกเปลี่ยนข้อมูลข่าวสารและสนับสนุนการให้ความรู้ด้านความมั่นคงปลอดภัย ตลอดจนพัฒนาแนวทางการรับมือและแก้ไขปัญหาสถานการณ์ภัยคุกคามทางไซเบอร์ มีหน่วยงาน CERT หรือ CSIRT จากประเทศต่าง ๆ ทั่วโลกเข้าร่วม โดย ThaiCERT ก็เป็นหนึ่งในสมาชิกของ FIRST ด้วยเช่นกัน

เมื่อวันที่ 21 ตุลาคม 2563 องค์กร FIRST ได้ออกแนวปฏิบัติด้านจริยธรรม (ethical guideline) สำหรับผู้ปฏิบัติงานด้าน incident response ภายใต้ชื่อ EthicsfIRST จุดประสงค์เพื่อใช้เป็นแนวทางและหลักการทำงานที่ควรยึดถือ เนื่องจากผู้ปฏิบัติงานด้าน incident response นั้นมีโอกาสเข้าถึงข้อมูลช่องโหว่ ข้อมูลส่วนบุคคล ข้อมูลที่มีระดับชั้นความลับ รวมถึงต้องรับผิดชอบด้านการประสานงานและการตัดสินใจ ทั้งกับผู้ที่แจ้งเหตุและผู้ได้รับผลกระทบ จึงจำเป็นต้องมีหลักการทำงานเพื่อให้สามารถตัดสินใจเลือกปฏิบัติในสิ่งที่เหมาะสม

แนวปฏิบัตินี้มีทั้งหมด 12 ข้อ สรุปแต่ละข้อได้ดังนี้

  1. รักษาความน่าเชื่อถือและความไว้วางใจ เช่น การรักษาข้อตกลงร่วมกันของทีม
  2. การรับแจ้ง ประสานงาน และเปิดเผยข้อมูลช่องโหว่ ต้องจำกัดแค่ผู้ที่เกี่ยวข้อง และเลือกวิธีดำเนินการที่เกิดความเสียหายน้อยที่สุด
  3. รักษาความลับ เช่น เปิดเผยหรือส่งต่อข้อมูลโดยเคารพข้อตกลง Traffic Light Protocol (TLP)
  4. เมื่อได้รับแจ้งเหตุ ควรตอบกลับผู้แจ้งภายในเวลาที่เหมาะสม รวมถึงควรอัปเดตความคืบหน้าให้ผู้แจ้งรับทราบเป็นระยะ
  5. เมื่อได้รับสิทธิในการเข้าถึงระบบใด ๆ ควรดำเนินการภายใต้ขอบเขตของระบบที่ได้รับอนุญาต และต้องได้รับการอนุมัติก่อนเปลี่ยนแปลงการตั้งค่าใด ๆ
  6. แจ้งสถานการณ์และความเสี่ยงในการปฏิบัติงานให้ผู้ที่เกี่ยวข้องทราบ ครอบคลุมทั้งในด้านความปลอดภัย (safety) และความมั่นคงปลอดภัย (security)
  7. หากต้องปฏิบัติงานกับข้อมูลส่วนบุคคลหรือข้อมูลที่มีระดับชั้นความลับต้องเคารพสิทธิมนุษยชน ไม่ควรตัดสินใจโดยใช้อคติ
  8. รักษาสภาพแวดล้อมในการทำงานเพื่อถนอมสุขภาพกายและสุขภาพจิตของผู้ร่วมปฏิบัติงาน
  9. ศึกษาและพัฒนาความรู้อย่างสม่ำเสมอเพื่อให้สามารถปฏิบัติงานที่รับผิดชอบได้ดียิ่งขึ้น รวมถึงบำรุงรักษาระบบที่เกี่ยวข้องให้พร้อมกับการให้บริการ
  10. การรวบรวมพยานหลักฐานเพื่อวิเคราะห์เหตุภัยคุกคามต้องเคารพสิทธิของเจ้าของข้อมูล กฎหมาย และความเป็นส่วนตัว
  11. เมื่อต้องปฏิบัติงานในเรื่องที่เกี่ยวข้องกับกฎหมาย ควรเคารพกฎหมายของแต่ละประเทศ และดำเนินการภายใต้สิทธิที่ได้รับอนุญาต
  12. ตรวจสอบความถูกต้องของข้อมูลก่อนส่งต่อให้กับผู้อื่น กระบวนการทำงานในขั้นตอนต่าง ๆ ควรมีหลักฐานและความโปร่งใส

ในภาคผนวกของแนวปฏิบัตินี้ระบุว่า หากต้องตัดสินใจในกรณีที่แนวปฏิบัติบางข้อนั้นขัดแย้งกันเอง (dilemma) ควรยึดหลักการและเหตุผลเพื่อชี้แจงกับผู้ที่เกี่ยวข้องเพื่อหาวิธีการปฏิบัติงานที่ขัดต่อจริยธรรมน้อยที่สุด ทั้งนี้ ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากเว็บไซต์ของ EthicsfIRST (https://ethicsfirst.org/)

วันที่: 2020-10-22 | ที่มา: DarkReading | Share on Facebook Share on Twitter Share on Google+
พบการโจมตีช่องโหว่ใน Google Chrome อาจถูกแฮกเครื่องได้ ควรรีบอัปเดต

เมื่อวันที่ 20 ตุลาคม 2563 บริษัท Google ได้ออกโปรแกรม Google Chrome เวอร์ชัน 86.0.4240.111 เพื่อแก้ไขช่องโหว่หมายเลข CVE-2020-15999 ซึ่งเป็นช่องโหว่ประเภท Memory Corruption ในไลบรารี FreeType ที่ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขค่าในหน่วยความจำเพื่อสั่งรันโค้ดอันตรายในเครื่องของเหยื่อได้

ช่องโหว่นี้มีผลกระทบกับ Google Chrome ทั้งบนระบบปฏิบัติการ Windows, Mac และ Linux ทั้งนี้ มีรายงานว่าพบการโจมตีผ่านช่องโหว่แล้ว แต่ยังไม่มีข้อมูลว่าโจมตีในวงกว้างหรือโจมตีในวงจำกัด ผู้ใช้งานควรรีบอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง

วันที่: 2020-10-22 | ที่มา: Google, The Hacker News | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการแพร่กระจายมัลแวร์ Emotet ผ่านอีเมล แนบไฟล์ Microsoft Word หลอกว่าเป็น Windows Update

Emotet เป็นมัลแวร์ประเภท banking trojan ขโมยข้อมูลทางการเงิน ที่ผ่านมามัลแวร์ Emotet ใช้อีเมลเป็นช่องทางหลักในการแพร่กระจาย โดยส่วนใหญ่เป็นการส่งไฟล์แนบในลักษณะแอบอ้างว่าเป็นใบเสร็จสินค้า รายการซื้อขาย หรือสถานการณ์เกี่ยวกับโรค Covid-19 เพื่อหลอกล่อให้เหยื่อเปิดอ่านไฟล์แนบและสั่งรันโค้ดอันตรายเพื่อติดตั้งมัลแวร์

เมื่อเดือนตุลาคม 2563 มีรายงานว่าผู้แพร่กระจายมัลแวร์ Emotet ได้ใช้กลวิธีใหม่ในการหลอกล่อให้เหยื่อเปิดไฟล์ โดยส่งอีเมลในลักษณะแจ้งว่าเป็นเรื่องเกี่ยวกับ Windows Update โดยในอีเมลดังกล่าวแนบไฟล์ Microsoft Word หากเหยื่อหลงเชื่อเปิดไฟล์ดังกล่าว จะพบข้อความแจ้งว่าต้องคลิกที่ปุ่ม Enable Content เพื่อทำงานต่อ

หากเหยื่อหลงเชื่อ คลิกปุ่ม Enable Content สคริปต์อันตรายที่ถูกฝังไว้ในไฟล์ Microsoft Word จะถูกเรียกขึ้นมาทำงาน จากนั้นมัลแวร์ Emotet จะถูกดาวน์โหลดมาติดตั้งในเครื่อง ซึ่งส่งผลให้เครื่องที่ตกเป็นเหยื่อถูกขโมยข้อมูลทางการเงิน รวมถึงถูกใช้ส่งอีเมลแพร่กระจายมัลแวร์ Emotet ต่อไปยังเครื่องอื่น

เพื่อหลีกเลี่ยงและป้องกันความเสียหายที่อาจเกิดขึ้น ผู้ใช้ควรระมัดระวังการเปิดไฟล์แนบในอีเมล โดยหากพบไฟล์แนบในลักษณะ Microsoft Office ที่เปิดแล้วพบข้อความแจ้งว่าให้คลิกปุ่ม Enable Content ให้สงสัยว่าอาจเป็นมัลแวร์ ควรสอบถามผู้ที่ส่งไฟล์เพื่อให้แน่ใจก่อนดำเนินการต่อ หากไม่สามารถยืนยันความน่าเชื่อถือของไฟล์ดังกล่าวได้ ควบลบไฟล์และแจ้งผู้ที่เกี่ยวข้องเพื่อให้ตรวจสอบเพราะอาจเป็นมัลแวร์ ทั้งนี้ ควรอัปเดตแพตช์ของระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และฐานข้อมูลของโปรแกรมแอนติไวรัสอย่างสม่ำเสมอ

วันที่: 2020-10-20 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์แก้ไขช่องโหว่ประจำเดือนตุลาคม 2563 บางรายการมีโค้ดโจมตีช่องโหว่แล้ว ควรรีบอัปเดต

เมื่อวันที่ 14 ตุลาคม 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 87 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 12 จุด และช่องโหว่สำคัญ (Important) จำนวน 74 จุด ทั้งนี้มีช่องโหว่จำนวน 6 จุดที่ถูกเปิดเผยไปก่อนที่จะมีแพตช์แต่ยังไม่พบรายงานการโจมตี

ในแพตช์รอบนี้มีการแก้ไขช่องโหว่ที่น่าสนใจจำนวน 2 จุด โดยเป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ที่ส่งผลให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ดังนี้

  • CVE-2020-16898 เป็นช่องโหว่ใน Windows IPv6 stack ช่องโหว่นี้ถูกตั้งชื่อว่า Bad Neighbor เนื่องจากตัวช่องโหว่อยู่ในส่วนของโพรโทคอล ICMPv6 Neighbor Discovery การโจมตีทำได้โดยการส่งแพ็คเก็ต Router Advertisement ที่แฝงคำสั่งอันตรายไปยังเครื่องของเหยื่อ ช่องโหว่นี้มีระดับความรุนแรง CVSS 9.8 จากรายงาน โค้ดสำหรับทดสอบช่องโหว่ถูกเผยแพร่ในวงจำกัด ยังไม่พบการโจมตีหรือการเผยแพร่โค้ดโจมตีแบบสาธารณะ อย่างไรก็ตาม มีความเป็นไปได้สูงที่ช่องโหว่นี้จะถูกใช้โจมตีเป็นวงกว้างในอนาคตอันใกล้ ทาง Microsoft แนะนำว่าหากยังไม่สามารถติดตั้งแพตช์ได้ควรปิด ICMPv6 RDNSS เป็นการชั่วคราว (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898) รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Bad Neighbor สามารถดูได้จากเว็บไซต์ของ McAfee (https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/)
  • CVE-2020-16952 เป็นช่องโหว่ใน Microsoft SharePoint การโจมตีทำได้โดยการอัปโหลด SharePoint application package ที่มีโค้ดอันตรายฝังอยู่ขึ้นไปบนเซิร์ฟเวอร์ ช่องโหว่นี้มีระดับความรุนแรง CVSS 8.6 ตัวอย่างโค้ดโจมตีช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะแล้ว (https://srcincite.io/advisories/src-2020-0022/)

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรพิจารณาอัปเดตแพตช์ เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

วันที่: 2020-10-14 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
NIST SP 1800-11 ออกแล้ว สรุปแนวทางการฟื้นฟูระบบหลังติดมัลแวร์เรียกค่าไถ่หรือถูกทำลายข้อมูล

เมื่อวันที่ 22 กันยายน 2563 หน่วยงาน NIST ของสหรัฐฯ ได้เผยแพร่เอกสาร Special Publications รหัส 1800-11 ภายใต้ชื่อ Data Integrity: Recovering from Ransomware and Other Destructive Events เนื้อหาหลักจะเน้นไปที่กระบวนการฟื้นฟูระบบหลังติดมัลแวร์เรียกค่าไถ่หรือถูกทำลายข้อมูล โดยจะแบ่งออกเป็น 3 ส่วน คือ การออกแบบระบบเพื่อเตรียมพร้อมรับมือการโจมตี ตัวอย่างแนวทางการรับมือ และคู่มือการตั้งค่าระบบในรูปแบบ step-by-step

แนวทางการฟื้นฟูระบบในเอกสารฉบับนี้นอกจากจะมีเรื่องการกู้คืนข้อมูลที่ถูกทำลายแล้ว ยังรวมไปถึงการตรวจสอบว่าข้อมูลใดบ้างที่ถูกเปลี่ยนแปลงแก้ไข และวิเคราะห์สาเหตุที่ทำให้เกิดเหตุการณ์ดังกล่าวด้วย (เทียบได้กับกระบวนการ Protect และ Detect ใน NIST Cybersecurity Framework) ตัวอย่างกรณีศึกษาที่มีในเอกสารฉบับนี้ประกอบด้วยการฟื้นฟูระบบจากมัลแวร์เรียกค่าไถ่ การแก้ไขหรือลบไฟล์ การลบ virtual machine การเปลี่ยนแปลงสิทธิใน active directory และการแก้ไขฐานข้อมูล

เอกสารนี้มีทั้งหมด 454 หน้า แต่มีเนื้อหาหลักประมาณ 70 หน้า โดยส่วนที่เหลือจะเป็นภาคผนวกแนวทางการตั้งค่าระบบพร้อมภาพประกอบ ครอบคลุมบริการและเครื่องมือที่ได้รับความนิยม ซึ่งผู้ดูแลระบบสามารถนำไปใช้อ้างอิงในการปฏิบัติงานได้ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมและดาวน์โหลดเอกสารได้จากเว็บไซต์ของ NIST (https://csrc.nist.gov/publications/detail/sp/1800-11/final)

วันที่: 2020-09-25 | ที่มา: Help Net Security | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา Shopify ทำข้อมูลลูกค้ารั่วไหลเพราะคนในแอบขโมยข้อมูล (insider threat)

Shopify เป็นแพลตฟอร์มสำหรับสร้างเว็บไซต์อีคอมเมิร์ซ รองรับทั้งการแสดงผลร้านค้าและการชำระเงิน เมื่อวันที่ 22 กันยายน 2563 บริษัท Shopify ได้ประกาศแจ้งสถานการณ์ข้อมูลรั่วไหล โดยสาเหตุเกิดจากพนักงานฝ่ายสนับสนุนจำนวน 2 คนเข้าถึงข้อมูลบันทึกการชำระเงินของลูกค้ากว่า 200 รายโดยไม่ได้รับอนุญาต หลังจากที่ตรวจพบเหตุการณ์ดังกล่าวทางบริษัทได้ตัดสิทธิ์พนักงานทั้ง 2 คนออกจากระบบและสั่งดำเนินการสอบสวนทางกฎหมายทันที ทั้งนี้ ทาง Shopify แจ้งว่าอยู่ระหว่างการรวบรวมรายชื่อลูกค้าที่ได้รับผลกระทบ แต่ก็ยืนยันว่าข้อมูลที่พนักงานสามารถเข้าถึงได้นั้นมีเฉพาะข้อมูลพื้นฐาน เช่น ชื่อ อีเมล ที่อยู่ และประวัติการซื้อขายสินค้า แต่ไม่มีข้อมูลทางการเงินหลุดออกไปแต่อย่างใด

กรณีศึกษานี้เป็นตัวอย่างเหตุการณ์ภัยคุกคามจากคนใน (insider threat) ซึ่งเป็นสิ่งที่สามารถเกิดขึ้นได้ในทุกองค์กร เป้าหมายมีได้ตั้งแต่การฉ้อฉล ขโมยทรัพย์สินทางปัญญา ไปจนถึงสร้างความเสียหาย สาเหตุของการเกิดนั้นมีได้ทั้งจากตัวพนักงานและจากปัญหาภายในองค์กร ทั้งนี้ ภัยคุกคามจากคนในนั้นไม่ได้หมายถึงแค่คนในเป็นคนก่อเหตุ แต่ยังหมายรวมถึงเหตุการณ์ที่คนในกระทำผิดโดยไม่เจตนา หรือถูกข่มขู่บังคับเพื่อให้กระทำการทุจริตได้ด้วย ทาง Software Engineering Institute ของ Carnegie Mellon University ได้ให้ข้อแนะนำในการป้องกันภัยคุกคามจากคนในไว้ดังนี้

  • จัดทำทะเบียนสินทรัพย์ และกำหนดมาตรการป้องกันตามระดับความสำคัญของสินทรัพย์นั้น ๆ
  • จัดให้มีมาตรการและทีมงานเพื่อตรวจสอบ ป้องกัน และตอบสนองเหตุการณ์ภัยคุกคามจากคนใน
  • กำหนดคู่มือการทำงานและแนวปฏิบัติให้ชัดเจน บังคับใช้นโยบายและการควบคุมอย่างเคร่งครัด เพื่อให้กระบวนการทำงานนั้นสามารถตรวจสอบและป้องกันความผิดพลาดได้
  • มีช่องทางในการเฝ้าระวังพฤติกรรมที่ผิดปกติทั้งจากภายนอกและภายในองค์กร เนื่องจากภัยคุกคามจากคนในไม่ได้หมายความว่าเหตุการณ์จะเกิดได้จากภายในองค์กรเท่านั้น แต่ยังสามารถโจมตีเข้ามาจากภายนอกองค์กรได้ด้วย
  • จัดให้มีการอบรมสร้างความตระหนักเรื่องภัยคุกคามจากคนใน โดยครอบคลุมทั้งพฤติกรรมมุ่งร้าย และการกระทำผิดโดยไม่เจตนา

รายละเอียดเพิ่มเติมเกี่ยวกับการป้องกันภัยคุกคามจากคนใน ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความของ SEI (https://insights.sei.cmu.edu/sei_blog/2017/11/5-best-practices-to-prevent-insider-threat.html)

วันที่: 2020-09-24 | ที่มา: Shopify, ZDNet | Share on Facebook Share on Twitter Share on Google+
พบการแพร่ระบาดของมัลแวร์ Cerberus เพิ่มมากขึ้นหลังจากที่ซอร์สโค้ดถูกปล่อยออกสู่สาธารณะ

Cerberus เป็นมัลแวร์ประเภท banking trojan ที่ทำงานบน Android จุดประสงค์หลักเพื่อสอดแนมและขโมยข้อมูลทางการเงิน ช่องทางการแพร่กระจายมีได้หลายวิธี เช่น หลอกให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์ไปติดตั้ง รวมถึงพบแอปพลิเคชันที่มีโค้ดของมัลแวร์ Cerberus ปรากฎบน Google Play Store ด้วย

ที่ผ่านมา Cerberus เป็นมัลแวร์สำเร็จรูปที่มีการซื้อขายในตลาดมืด ทำให้ผู้ที่ไม่มีความรู้ทางเทคนิคมากนักก็สามารถซื้อมัลแวร์มาใช้โจมตีได้ ในงาน Kaspersky NEXT 2020 ที่ถูกจัดขึ้นเมื่อช่วงกลางเดือนกันยายน 2563 ทีมนักวิจัยจาก Kaspersky รายงานว่าพบการเปิดประมูลขายซอร์สโค้ดของมัลแวร์ Cerberus ในเว็บไซต์ใต้ดิน สาเหตุคาดเกิดจากทีมพัฒนาต้องการย้ายไปสร้างมัลแวร์ตัวอื่นจึงได้นำข้อมูลที่มีอยู่มาประกาศขาย อย่างไรก็ตาม การเปิดประมูลในครั้งนี้ไม่ได้มีผู้มาเข้าร่วมอย่างที่ทีมพัฒนาตั้งใจไว้ สุดท้ายจึงได้ปล่อยซอร์สโค้ดของมัลแวร์และข้อมูลอื่น ๆ ออกสู่สาธารณะ หลังจากเหตุการณ์ดังกล่าว ทาง Kaspersky ระบุว่าพบการแพร่ระบาดของมัลแวร์ Cerberus เพิ่มขึ้นอย่างรวดเร็ว โดยเหยื่อส่วนใหญ่อยู่ในกลุ่มประเทศแถบยุโรปและรัสเซีย

ในประเทศไทย ณ ขณะที่เผยแพร่บทความ ยังไม่พบรายงานการแพร่ระบาดของ Cerberus เวอร์ชันใหม่ (ในรายงานของ Kaspersky ระบุว่าเป็น Cerberus เวอร์ชัน 2) อย่างไรก็ตาม เมื่อช่วงต้นปี 2563 พบการโจมตีผู้ใช้งาน Android ในประเทศไทยด้วยการหลอกให้ดาวน์โหลดมัลแวร์ Cerberus มาติดตั้ง ตัวอย่างเช่น

ซึ่งทั้ง 2 เหตุการณ์นี้มีจุดร่วมที่คล้ายคลึงกันคือผู้ไม่หวังดีใช้วิธีส่ง SMS เพื่อแพร่กระจายมัลแวร์ รูปแบบการใช้ภาษาใน SMS นั้นไม่ใช่ลักษณะของผู้ที่คุ้นชินกับการใช้ภาษาไทย อีกทั้งการโจมตีก็อาศัยสถานการณ์ที่ผู้คนให้ความสนใจในช่วงเวลานั้น เช่น ข่าวการแพร่ระบาดของโรค COVID-19 หรือการใช้งานระบบ ไทยชนะ

เนื่องจากมัลแวร์ Cerberus เคยมีการแพร่ระบาดในประเทศไทยมาก่อนหน้านี้ อีกทั้งปัจจุบันซอร์สโค้ดของมัลแวร์ดังกล่าวสามารถเข้าถึงได้ง่ายขึ้น ทำให้มีแนวโน้มที่จะมีการนำมัลแวร์ดังกล่าวมาพัฒนาต่อเพื่อใช้โจมตีในลำดับถัดไป ผู้ใช้งานระบบปฏิบัติการ Android ควรพิจารณาก่อนติดตั้งแอปพลิเคชันใด ๆ ไม่ว่าจะเป็นการติดตั้งจากแหล่งภายนอกหรือจาก Google Play Store รวมถึงพิจารณาการให้สิทธิของแอปพลิเคชันตามความเหมาะสม และไม่ควรให้สิทธิที่อาจส่งผลกระทบต่อข้อมูลทางการเงิน เช่น สิทธิในการอ่าน SMS เนื่องจากเป็นช่องทางที่ใช้รับ OTP จากธนาคารเมื่อมีการทำธุรกรรมทางการเงิน

วันที่: 2020-09-21 | ที่มา: ZDNet, Bank Info Security | Share on Facebook Share on Twitter Share on Google+
พบอีเมลสแปมเริ่มใช้วิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก Trustwave รายงานว่าพบอีเมลสแปมจำนวนมากที่ใช้เทคนิคการเปลี่ยนรูปแบบของการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โดยหลักแล้ว การเข้าชมเว็บไซต์นั้นสามารถทำได้ 2 ลักษณะ คือเข้าผ่านโดเมน กับเข้าผ่านที่อยู่ IP โดยในการระบุที่อยู่ IPv4 จะเขียนในรูปแบบเลขฐาน 10 คั่นด้วยจุด เช่น 127.0.0.1 ส่วนการระบุที่อยู่ IPv6 จะเขียนในรูปแบบเลขฐาน 16 คั่นด้วยเครื่องหมายโคลอน เช่น 2001:db8:a0b:12f0::1

อย่างไรก็ตาม การระบุที่อยู่ IP นั้นยังสามารถเขียนให้อยู่ในรูปแบบอื่นได้ด้วย เช่น

เลขฐาน 8 (Octal): https://0330.0072.0307.0116 (แปลงจากเลขฐาน 10 เป็นฐาน 8)
เลขฐาน 16 (Hexadecimal): https://0xD83AC74E (แปลงจากเลขฐาน 10 เป็นฐาน 16)
Integer หรือ DWORD: https://3627730766 (แปลงจากเลขฐาน 16 เป็น integer)

เมื่อเข้าถึงที่อยู่ IP ในรูปแบบดังกล่าวผ่านทางเบราว์เซอร์ ตัวเบราว์เซอร์จะแปลงที่อยู่ IP ให้เป็นรูปแบบเลขฐาน 10 จากนั้นจะเริ่มค้นหาและพาผู้ใช้เข้าไปยังเว็บไซต์ตามที่อยู่ดังกล่าวตามกระบวนการปกติ ทำให้ผู้ประสงค์ร้ายสามารถใช้วิธีนี้ในการส่งอีเมลหลอกให้เหยื่อคลิกเข้าไปยังเว็บไซต์ปลอมได้ เนื่องจากในบางกรณีระบบคัดกรองอีเมลอาจไม่รองรับการเขียนระบุที่อยู่ IP ในรูปแบบดังกล่าว

ทาง Trustwave ให้ข้อมูลเพิ่มเติมว่า ตั้งแต่ช่วงกลางเดือนกรกฎาคม 2563 เป็นต้นมา พบอีเมลสแปมจำนวนมากที่ใช้วิธีเขียนที่อยู่ IP ในรูปแบบเลขฐาน 16 (ขึ้นต้นด้วย 0x ตามด้วยตัวเลขฐาน 16) นอกจากนี้ยังพบด้วยว่าเมื่อนำเมาส์ไปชี้บนที่อยู่ IP ที่เขียนในรูปแบบดังกล่าว โปรแกรมอ่านอีเมลแต่ละตัวจะแสดงผลลิงก์ปลายทางไม่เหมือนกัน โดย Thunderbird จะแสดงลิงก์ในลักษณะที่อยู่ IP ที่ถูกแปลงให้อยู่ในรูปแบบปกติแล้ว (เลขฐาน 10) ส่วนใน Outlook จะยังแสดงผลลิงก์ปลายทางเป็นตัวเลขฐาน 16

ทั้งนี้ การหลบเลี่ยงระบบคัดกรองอีเมลด้วยวิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP นั้นไม่ใช่เรื่องใหม่ แต่บางระบบตรวจจับอาจยังไม่รองรับ รวมทั้งตัวผู้ใช้เองก็อาจยังไม่ได้รับทราบว่าสามารถถูกโจมตีในลักษณะนี้ได้ ดังนั้นการติดตามข่าวสาร โดยเฉพาะอย่างยิ่งการศึกษาเทคนิคการโจมตีที่เกิดขึ้นอยู่ในปัจจุบัน ก็จะช่วยให้ผู้ใช้เกิดความตระหนักและลดความเสี่ยงที่จะเกิดขึ้นได้

วันที่: 2020-09-18 | ที่มา: Trustwave | Share on Facebook Share on Twitter Share on Google+
Clear