Clear
Lead Graphic Papers

ข่าวสั้น

Microsoft เผยข้อแนะนำแนวทางการป้องกันเซิร์ฟเวอร์ Exchange จากการถูกโจมตี

องค์กรหลายแห่งใช้ Microsoft Exchange เป็นช่องทางหลักในการทำงานและการสื่อสาร ไม่ว่าจะเป็นอีเมล ปฏิทิน หรือใช้บันทึกข้อมูลพนักงานและผู้ติดต่อ ที่ผ่านมาเซิร์ฟเวอร์ Exchange มักตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ จุดประสงค์เพื่อขโมยข้อมูลหรือเข้าถึงบัญชีที่มีสิทธิ์ระดับสูง ซึ่งหลายครั้งหากโจมตีเซิร์ฟเวอร์ Exchange ได้สำเร็จ ผู้ไม่หวังดีก็อาจสามารถควบคุมระบบเครือข่ายทั้งหมดได้ ทาง Microsoft ได้เผยแพร่ข้อแนะนำในการป้องกันเซิร์ฟเวอร์ Exchange โดยอ้างอิงจากรูปแบบพฤติกรรมของผู้โจมตี

การโจมตีเซิร์ฟเวอร์ Exchange นั้นหลัก ๆ แล้วสามารถทำได้ 2 ช่องทาง โดยช่องทางแรกคือโจมตีเครื่องคอมพิวเตอร์ของผู้ใช้ในองค์กรเพื่อติดตั้งมัลแวร์ขโมยรหัสผ่าน จากนั้นใช้รหัสผ่านดังกล่าวล็อกอินเข้าไปยังเซิร์ฟเวอร์ Exchange อีกที ส่วนวิธีโจมตีช่องทางที่สองคือเจาะผ่านช่องโหว่ของบริการในเซิร์ฟเวอร์ Exchange โดยตรง เช่น ช่องโหว่ของ IIS ซึ่งเป็นซอฟต์แวร์สำหรับให้บริการเว็บไซต์

ทาง Microsoft ได้วิเคราะห์การโจมตีเซิร์ฟเวอร์ Exchange ที่เกิดขึ้นในช่วงเดือนเมษายน 2563 โดยได้สรุปแนวทางการตรวจสอบและป้องกันการโจมโดยอ้างอิงจากพฤติกรรมที่ผิดปกติได้ดังนี้

Initial access

  • ผู้โจมตีอัปโหลดไฟล์ web shell เข้าไปไว้ในพาธของเซิร์ฟเวอร์ Exchange เพื่อที่จะเข้ามาควบคุมเครื่องเซิร์ฟเวอร์ผ่านช่องทางดังกล่าวในภายหลัง
  • แนวทางการตรวจสอบสามารถใช้วิธีเฝ้าระวังและแจ้งเตือนการสร้างไฟล์ใหม่ในพาธของ Exchange เนื่องจากไฟล์ในพาธดังกล่าวไม่ควรมีการเปลี่ยนแปลงเองโดยผู้ดูแลระบบไม่ได้ดำเนินการ

Reconnaissance

  • หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีจะรันคำสั่งเพื่อรวบรวมข้อมูลของระบบ เช่น ตรวจสอบระดับสิทธิ์ของผู้ใช้ที่ล็อกอินอยู่ หรือข้อมูลไอพีของเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่าย โดยในบางกรณีผู้โจมตีอาจรันคำสั่งของ Exchange management shell เพื่อรวบรวมข้อมูลสภาพแวดล้อมอื่น ๆ ด้วย เช่น บัญชีอีเมลที่ให้บริการ
  • ในขั้นตอนนี้อาจปรากฎคำสั่งที่ผู้โจมตีใช้ในการรวบรวมข้อมูล รวมถึงอาจมีประวัติการเรียกโพรเซส เช่น PowerShell ด้วย

Persistence

  • หากเซิร์ฟเวอร์ Exchange มีการตั้งค่าให้สามารถล็อกอินได้ด้วยสิทธิ์ของผู้ดูแลระบบ ผู้โจมตีอาจสร้างบัญชีผู้ใช้ใหม่เพิ่มขึ้นมาเพื่อใช้ล็อกอินในภายหลัง หรืออาจใช้วิธีติดตั้งเครื่องมือประเภท remote access เพื่อใช้เชื่อมต่อ
  • แนวทางการตรวจสอบอาจใช้วิธีตรวจสอบบัญชีผู้ใช้ที่ผิดปกติหรือพอร์ตที่เซิร์ฟเวอร์เปิดให้เข้าถึงได้

Credential access

  • ในบางครั้งการรวบรวมข้อมูลบัญชีผู้ใช้จากเซิร์ฟเวอร์ Exchange อาจได้ข้อมูลที่สามารถใช้ล็อกอินเป็นผู้ดูแลระบบ domain ได้ ทาง Microsoft พบการโจมตีเพื่อขโมยข้อมูล SAM จาก Registry, ขโมยข้อมูล LSASS จากแรม, หรือใช้งานโปรแกรม Mimikatz เพื่อรวบรวมรหัสผ่าน
  • การสังเกตความผิดปกติอาจดูได้จากล็อกการรวบรวมข้อมูล หรือล็อกการส่งไฟล์จากเซิร์ฟเวอร์ออกไปยังเครื่องคอมพิวเตอร์ภายนอก

Lateral movement

  • หลังจากที่รวบรวมข้อมูลบัญชีผู้ใช้และรหัสผ่านได้แล้ว ผู้โจมตีก็จะนำข้อมูลนั้นไปล็อกอินเข้าใช้งานคอมพิวเตอร์เครื่องอื่นในเครือข่ายต่อผ่านช่องทาง WMI, Schedule Task, หรือ PsExec ทั้งนี้ในบางกรณีอาจมีการสั่งปิดโปรแกรมแอนติไวรัสหรือระบบความมั่นคงปลอดภัยของเครื่องปลายทางด้วยเพื่อไม่ให้มีการแจ้งเตือน
  • แนวทางการตรวจสอบความผิดปกติอาจดูได้จากประวัติการล็อกอิน ล็อกการเชื่อมต่อเครือข่าย หรือการรันโปรแกรมที่น่าสงสัย

Collection

  • ทาง Microsoft พบการใช้ Exchange management shell เพื่อ export อีเมลของเป้าหมายแล้วส่งข้อมูลดังกล่าวออกไปยังเครือข่ายภายนอก โดยในบางกรณีอาจมีการใช้ PowerShell ร่วมด้วย
  • การตรวจสอบและเฝ้าระวังการ export อีเมลจากเซิร์ฟเวอร์อาจช่วยแจ้งเตือนพฤติกรรมผิดปกติได้

Exfiltration

  • อีเมลหรือข้อมูลอื่น ๆ ที่ผู้โจมตี export ออกมาจากเซิร์ฟเวอร์จะถูกบีบอัดเพื่อรวมเป็นไฟล์เดียว โดยอาจตั้งชื่อไฟล์หลอกและวางไฟล์ดังกล่าวไว้ในพาธที่ผู้ดูแลระบบอาจไม่ได้สังเกต เช่น ตั้งชื่อไฟล์เป็น .tmp หรือหลอกว่าเป็นไฟล์ log

ข้อแนะนำแนวทางการป้องกัน

  1. ติดตั้งแพตช์ความมั่นคงปลอดภัยเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการโจมตีช่องโหว่
  2. ติดตั้งแอนติดไวรัสและเปิดใช้งานระบบความมั่นคงปลอดภัยเพิ่มเติม เช่น MFA และ firewall รวมถึงตั้งค่าบล็อคพฤติกรรมที่อาจเป็นอันตราย เช่น PsExec หรือ WMI
  3. ทบทวนสิทธิ์และตรวจสอบประวัติการใช้งานของบัญชีที่สามารถล็อกอินเข้ามายังเซิร์ฟเวอร์ได้
  4. ควรใช้บัญชีผู้ดูแลระบบแบบจำกัดสิทธิ์เท่าที่จำเป็น ไม่ควรใช้งานในลักษณะบัญชีเดียวเข้าถึงทุกระบบได้ทั้งหมด
  5. เฝ้าระวังการโจมตีและจัดลำดับความสำคัญของการแจ้งเตือนที่เป็นอันตราย

ทั้งนี้ ผู้ที่สนใจสามารถศึกษารายละเอียดและข้อแนะนำอื่น ๆ ได้จากบทความฉบับเต็ม

วันที่: 2020-06-25 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+

Clear