อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้
ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ
ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ
แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ
- โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
- โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
- โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
- โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
- เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
- โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
- โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
- รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
- โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
- Telemetry จาก apklab.io ของ Avast ซึ่งรวบรวมรายชื่อแอปพลิเคชันใน Android และรายการ URL
- โครงการ parthdmaniar/coronavirus-covid-19-SARS-CoV-2-IoCs เผยแพร่ข้อมูล IOC ในรูปแบบหมายเลขไอพีแอดเดรส, ค่าแฮช, URL และรายการ CVE ให้ดาวโหลดไปใช้งานได้ฟรี
- โครงการ sophoslabs/covid-iocs จาก Sophos Labs แจกจ่ายในรูปแบบไฟล์ TXT มีทั้งแฮชของแอปปลอม, รายการโดเมนและข้อมูลจากแหล่งที่มาอื่นๆ
- โครงการ COVID-19 IOC จาก Managed Sentinal ครอบคลุม IOC แบบหมายเลขไอพีแอดเดรส, โดเมนเนม, URL และค่าแฮชบในรูปแบบ TXT พร้อม Kusto Query Language สำหรับเอาไปใช้ใน Azure Sentinel
- โครงการ ETOpen Ruleset สำหรับ Suricata และ SNORT จาก Proofpoint สำหรับใช้ใน IDS/IPS
- ตัวอย่างมัลแวร์และ IOC จากโครงการ MalwareBazaar โดย Abuse.ch
- โครงการ OSINT ของ Bambenek Consulting รวบรวมรายการ FQDN, หมายเลขไอพีแอดเดรสและ ASN ที่อาจเกี่ยวข้องกับภัยคุกคามจาก COVID-19 แนะนำให้คัดกรองก่อนใช้งานเนื่องจากโดยข้อมูลนี้มีรายการของโดเมนเนมจดใหม่ซึ่งยังไม่ได้มีการพิสูจน์ว่าเป็นอันตรายหรือไม่
- รายการโดเมนเนมต้องสงสัยและอาจมีความเกี่ยวข้องกับ COVID-19 จาก ThugCrowd
- รายการโดเมนเนมที่เกี่ยวข้องกับ COVID-19 สำหรับ Zeek จาก Critical Path Security
นอกเหนือจากบริการที่ให้ข้อมูลในเชิงข่าวสารถแล้ว ยังมีการรวมตัวของผู้เชี่ยวชาญด้านความปลอดภัยในการช่วยตอบสนองการโจมตีและภัยคุกคามให้กับหน่วยงานทางการแพทย์อย่าง CTI Leage ด้วย
แหล่งข้อมูลภัยคุกคามในเชิงของการวิเคราะห์และข่าว
รายการดังต่อไปนี้คือเว็บไซต์และบริการซึ่งคอยวิเคราะห์และแจ้งเตือนรูปแบบการโจมตีใหม่ๆ ที่ใช้ประโยชน์จากสถานการณ์ COVID-19 เราแนะนำให้ติดตามผ่าน RSS feed ในกรณีที่ต้องการรับข้อมูลในเชิงเทคนิคเกี่ยวกับภัยคุกคามครับ
- ~DISSECTING MALWARE
- Forcepoint X-Labs
- Baracuda Blog
- Kaspersky Official Blog
- MalwareBytes Labs
- Palo Alto Netwrosk Unit 42
- SANS Internet Storm Center
- Sophos News
- The PhishLabs Blog
- Malware and Stuff
- Anomali Blog
- Bitdefender Labs
- Cisco Talos
- FireEye Threat Research Blog
- Coronavirus Phishing Scams
- Cofense
- รวม Incidents และ Intelligence Reports โดย MishcondeReya/Covid-19-CTI
ข้อแนะนำในการใช้งาน
เราขอแนะนำให้ผู้ใช้งานอ่านรายละเอียดข้อมูลก่อนทุกครั้งว่ามีที่มาอย่างไร และนำไปใช้อย่างไรได้บ้าง รวมไปถึงปฏิบัติเงื่อนไขของการใช้งานข้อมูลอย่างเคร่งครัด
สำหรับลูกค้าบริการ Security Monitoring ของไอ-ซีเคียว ข้อมูลภัยคุกคามเหล่านี้จะถูกนำเข้าระบบเพื่อใช้ในการตรวจสอบและระบุหาการมีอยู่ของภัยคุกคามรูปแบบ COVID-19 themed โดยอัตโนมัติ
You must be logged in to post a comment.