สรุปย่อ
เมื่อเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย ผู้ใช้งาน Twitter ที่มีชื่อว่า “SandboxEscaper” ได้เปิดเผยช่องโหว่ใหม่บนระบบปฏิบัติการ Windows ที่ยังไม่ได้มีการออกแพตซ์ใดๆ จาก Microsoft (zero-day) พร้อมทั้งได้มีการเผยแพร่ PoC code และไฟล์ที่สามารถใช้ในการทดสอบโจมตีช่องโหว่ดังกล่าวบน GitHub ซึ่งไฟล์ดังกล่าวถูกเขียนเพื่อโจมตี Windows 10 64-bit หลังจากนั้นไม่กี่ชั่วโมง Will Dormann นักวิจัยช่องโหว่จาก CERT Coordination Center ก็ได้ยืนยันความสำเร็จในการทดสอบโจมตีช่องโหว่ดังกล่าวบน Windows 10 64-bit ที่ได้ทำการแพตซ์ให้เป็นล่าสุดแล้ว และได้แจ้งเตือนช่องโหว่ดังกล่าวอย่างเป็นทางการ (Link) ช่องโหว่นี้เกิดขึ้นบน Advance Local Procedure Call (ALPC) Interface ที่ถูกใช้งานใน Task Scheduler ส่งผลให้สามารถเพิ่มสิทธิ์ของโปรเซสจาก local เป็น system ได้ (local privilege escalation)

รายละเอียดของช่องโหว่
ช่องโหว่ดังกล่าวเกิดจากความบกพร่องในการตรวจสอบ Permission ของ function ใน API ที่มีชื่อว่า “SchRpcSetSecurity” ซึ่งเป็นส่วนหนึ่งที่ถูกใช้บน ALPC interface (ใช้ในการคุยกันระหว่างโปรเซสภายในระบบปฏิบัติการ) ของ Task Scheduler ส่งผลให้ผู้โจมตีที่เป็น local user (รวมถึง Guest user) สามารถเรียกใช้ และนำไปกำหนด DACL (Discretionary Access Control List : เป็นตัวบ่งบอกว่าใครมีสิทธิ์ทำอะไรกับ Object ใดๆ บน Windows) ให้กับไฟล์ใดๆ บนเครื่อง ดังนั้นช่องโหว่จึงถูกใช้ในการแก้ไขสิทธิ์ให้กับ Hardlink ที่ตนเองได้สร้างไว้ใน c:\windows\tasks เพื่อให้ได้สิทธิ์ที่สูงขึ้น

วิธีการตรวจจับเบื้องต้น
จาก PoC ที่ได้รับการเผยแพร่ออกมานั้น เบื้องต้นสามารถเฝ้าระวัง และตรวจจับความผิดปกติได้จาก 2 วิธีการ ดังต่อไปนี้
1. ตรวจสอบว่ามีโปรเซสใดๆ ที่ผิดปกติทำงานอยู่ภายใต้โปรเซสที่มีชื่อ “spoolsv.

สรุปย่อ
ในวันที่ 22 สิงหาคม 2018 ที่ผ่านมา Apache ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติ (critical) ใน Apache Struts เพื่อแก้ไขช่องโหว่ CVE-2018-11776 ซึ่งเป็นช่องโหว่ remote code execution กระทบ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 และอาจส่งกระทบกับ Apache Struts รุ่นอื่นๆ ที่เลิกซัพพอร์ตแล้ว

ทั้งนี้ช่องโหว่ remote code execution ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงสุด เนื่องจากมีความเสี่ยงที่ผู้โจมตีจะรันคำสั่งอันตรายจนกระทั่งยึดครองทั้งระบบได้ ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน
เกี่ยวกับ Apache Struts
Apache Struts เป็น open source framework สำหรับทำเว็บแอปพลิเคชันด้วยภาษา Java ที่กำลังได้รับความนิยมอย่างมากในองค์กรทั่วโลก ในปี 2017เกิดการโจมตี Equifax โดยใช้ช่องโหว่ remote code execution บน Apache Struts (CVE-2017-5638) และเนื่องจาก Equifax ไม่ได้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวทำให้ข้อมูลลูกค้าหลุดกว่า 147ล้านคน สร้างความสูญเสียมูลค่ากว่า 600 ล้านดอลลาห์สหรัฐ
รายละเอียดของ CVE-2018-11776
นักวิจัยชื่อ Man Yue Mo จาก Semmle เป็นผู้ค้นพบช่องโหว่ CVE-2018-11776 และทำการแจ้งเตือน Apache Struts ตั้งแต่วันที่ 10 เมษายน 2018 ที่ผ่านมา เขาระบุว่าช่องโหว่ CVE-2018-11776 มีโอกาสที่จะทำให้เกิดความเสียหายได้มากกว่าการโจมตี Equifax เพราะสามารถโจมตีได้ง่ายกว่า เนื่องจากช่องโหว่ CVE-2018-11776 นี้อยู่บน core code ของ Apache Struts และไม่ต้องใช้ปลั๊กอินเสริมใดๆ ในการโจมตี ซึ่งช่องโหว่ดังกล่าวได้รับ CVSS v3 Base Score 9.8

ช่องโหว่ CVE-2018-11776 เกิดจากการไม่ตรวจสอบ input จากผู้ใช้ ทำให้ผู้โจมตีสามารถแทนที่ namespace ด้วยคำสั่งอันตรายได้ ซึ่ง Semmle ได้บอกจุดสังเกตที่ทำให้ถูกโจมตีผ่านช่องโหว่ CVE-2018-11776 คือ

Apache Struts ถูกตั้งค่าให้ alwaysSelectFullNamespace มีค่าเป็น True
Configuration file ของ Apache Struts มี <action ...> tag ที่ไม่ได้ระบุ optional namespace หรือมี <action ...> tag ที่ระบุเป็น wildcard namespace

ถึงแม้ว่าในขณะนี้ Apache Struts ที่ไม่ได้ตั้งค่าดังกล่าวจะปลอดภัย แต่เป็นไปได้ที่จะมีการโจมตีแบบอื่นขึ้นได้ในอนาคต จึงควรแก้ด้วยการอัปเดตแพตช์เป็นรุ่นล่าสุดมากกว่าการแก้ไขการตั้งค่า

ทั้งนี้ Recorded Future ได้ตรวจพบการพูดถึงวิธีโจมตีช่องโหว่ดังกล่าวอย่างมากในเว็บบอร์ดใต้ดินของจีนและรัสเซีย รวมถึงมีการเผยแพร่ Proof of Concept (POC) ของช่องโหว่นี้อย่างเปิดเผยทั่วไปแล้ว เช่น Apache Struts2 CVE-2018-11776 POC และ St2-057 Poc Example ผู้ดูแลระบบจึงควรทำการอัปเดต Apache Struts โดยด่วน
ผู้ที่ได้รับผลกระทบ
นอกจากผู้ใช้ Apache Struts ทั่วไปที่ใช้ Apache Struts รุ่น 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 จะได้รับผลกระทบแล้ว บริษัทต่างๆ ที่มีการใช้ Apache Struts ในผลิตภัณฑ์อย่าง Cisco ยังได้รับผลกระทบอีกด้วย โดย Cisco อยู่ระหว่างการตรวจสอบว่ามีผลิตภัณฑ์ใดบ้างที่ได้รับผลกระทบบ้าง
แนวทางแก้ไข

อัปเดต Apache Struts เป็นเวอร์ชั่น 2.3.35 หรือ 2.5.17
ตั้งค่า namespace อยู่เสมอ

ตรวจจับการโจมตี

เนื่องจากการโจมตีช่องโหว่ CVE-2018-11776 สามารถโจมตีได้ผ่านเน็ตเวิร์ค ทำให้ Web Application Firewall (WAF) ต่างๆ เช่น Imperva ได้ทำการเพิ่มการดักจับการโจมตีดังกล่าวเข้าไปในบริการแล้ว
สามารถตรวจจับได้ด้วย Snort rule

โดย Talos ออกคำแนะนำว่าสามารถตรวจจับได้ด้วย Snort rule SID 29639, 39190, 39191 และ 47634
และมีผู้เผยแพร่ Snort rule เพื่อใช้ในการตรวจจับ ดังนี้

แหล่งอ้างอิง

https://researchcenter.

สรุปย่อ
Intel ร่วมกับนักวิจัยเปิดเผยสามช่องโหว่ใหม่ภายใต้ชื่อ L1 Terminal Fault (L1TF) หรือ Foreshadow โดยเป็นการต่อยอดจากช่องโหว่ Meltdown ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคำสั่งและข้อมูลที่กำลังทำงานอยู่ในซีพียู รวมไปถึงส่วนของซีพียูที่ถูกป้องกันด้วยฟีเจอร์ป้องกันการเข้าถึงข้อมูลได้

ช่องโหว่ Foreshadow นี้ส่งผลโดยตรงกับคุณสมบัติของฟีเจอร์ Intel Software Guard Extensions (Intel SGX) ซึ่งมีหน้าที่สำคัญในการป้องกันการเข้าถึงข้อมูลจากโปรแกรม โค้ด ระบบปฏิบัติการหรือแม้แต่ hypervisor เองหากไม่ได้รับอนุญาตให้เข้าถึง

ในมุมของผู้ใช้งานนั้น ผลลัพธ์ของช่องโหว่ Foreshadow อาจคล้ายหรือใกล้เคียงกับผลลัพธ์ของช่องโหว่ Spectre หรือ Meltdown อย่างไรก็ตาม Foreshadow ระบุเฉพาะเจาะจงไปที่ซีพียูที่มีการใช้งานฟีเจอร์ป้องกัน Intel SGX ที่มักจะถูกเปิดใช้งานบนระบบที่ต้องการความปลอดภัยสูง และบ่งบอกว่าจะมีการป้องกันในระดับฮาร์ดแวร์ก็ยังคงได้รับผลกระทบอยู่เช่นกัน

รายละเอียดช่องโหว่
เมื่อวันที่ 14 สิงหาคม 2018 ที่ผ่านมา บริษัท Intel ร่วมกับนักวิจัยเปิดเผยสามช่องโหว่ใหม่ที่ส่งผลกระทบกับซีพียู (CPU) ยี่ห้อ Intel ซึ่งเป็นช่องโหว่ที่ใช้ประโยชน์จากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution เช่นเดียวกับช่องโหว่ Meltdown และ Spectre ที่เปิดเผยเมื่อต้นปี 2018 ที่ผ่านมา

กระบวนการ speculative execution เป็นกระบวนการที่พบได้ในซีพียูรุ่นใหม่ๆ เพื่อเพิ่มประสิทธิภาพการทำงานด้วยการทำงานล่วงหน้าในชุดคำสั่งใด ๆ ไปก่อนไม่ว่าเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ จะเป็นจริงหรือไม่ และจะนำข้อมูลเข้าและออกจากหน่วยความจำล่วงหน้า หากเงื่อนไขเป็นเท็จจึงลบข้อมูลและยกเลิกชุดคำสั่งที่ทำงานล่วงหน้า

ช่องโหว่ทั้งสามตัวนี้เป็นการใช้ประโยชน์จากกระบวนการ speculative execution เพื่ออ่านค่าของแคชระดับที่ 1 (L1 Cache) ซึ่งเป็นแคชอยู่ใกล้กับซีพียูที่สุด ช่องโหว่ทั้งสามถูกอ้างอิงด้วยศัพท์เทคนิคว่า L1 Terminal Fault หรือ L1TF 

ซึ่งแบ่งย่อยได้เป็น

L1 Terminal Fault – SGX หรือ CVE-2018-3615 หรือ Foreshadow
L1 Terminal Fault – OS/SMM หรือ CVE-2018-3620 หรือ Foreshadow-NG
L1 Terminal Fault – VMM หรือ CVE-2018-3646 หรือ Foreshadow-NG

ผลกระทบ
ช่องโหว่ L1 Terminal Fault – SGX ได้คะแนน CVSSv3 7.9 สามารถใช้โจมตี Intel Software Guard Extensions (SGX) ได้ โดย SGX เป็นเทคโนโลยีรักษาความปลอดภัยที่ใช้ในซีพียูของ intel ตั้งแต่ปี 2013 เป็นการรักษาความปลอดภัยของข้อมูลเพื่อให้อ่านหรือแก้ไขได้เฉพาะกระบวนการที่น่าเชื่อถือเท่านั้น ทำให้ทนทานต่อการโจมตีหลายรูปแบบ แต่ช่องโหว่ Foreshadow ทำให้ผู้โจมตีสามารถหลีกเลี่ยง SGX และอ่านข้อมูลภายในแคชระดับที่ 1 เช่น รหัสผ่านหรือคีย์เข้ารหัสได้ กระทบผู้ใช้ทั้งหมดที่ใช้ซีพียู Intel ที่มีการเปิดใช้งาน Intel SGX

ช่องโหว่ L1 Terminal Fault – OS/SMM ได้คะแนน CVSSv3 7.1 สามารถอ่านข้อมูลในเคอร์เนลของระบบปฎิบัติการ และข้อมูลใน system management mode (SMM) ผ่านแคชระดับที่ 1ได้ กระทบผู้ใช้ทั้งหมด

ช่องโหว่ L1 Terminal Fault – VMM ได้คะแนน CVSSv3 7.1 ทำให้อ่านข้อมูลบนระบบ hypervisor ได้ จึงอ่านค่าหน่วยความจำของเครื่องเสมือน (VM) อื่นบนซีพียูเดียวกันได้ กระทบผู้ใช้บริการเครื่องเสมือนบนคลาวด์  ระบบดาตาเซ็นเตอร์ และผู้ให้บริการคลาวด์โดยเฉพาะผู้ให้บริการคลาวด์ที่แชร์ซีพียูระหว่างเครื่องเสมือนของผู้ใช้หลายรายการเข้าด้วยกัน

ในขณะนี้ยังไม่มีการตรวจพบการใช้ช่องโหว่ทั้งสามในการโจมตีจริง
คำแนะนำสำหรับผู้ใช้งานทั่วไป
ช่องโหว่  L1 Terminal Fault – SGX และ L1 Terminal Fault – OS/SMM สามารถป้องกันได้โดยอัปเดต microcode ภายในซีพียู และอัปเดตระบบปฏิบัติการ ซึ่ง Microsoft ได้มีการอัปเดตเพื่อป้องกันไปในแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 แล้ว
คำแนะนำสำหรับผู้ใช้งานคลาวด์
ผู้ใช้งานคลาวด์ควรอ่านคำแนะนำความปลอดภัยเกี่ยวกับ L1TF ที่ผู้ให้บริการที่ตนเองใช้งาน และปฏิบัติตามคำแนะนำดังกล่าว โดยผู้บริการต่างๆ ได้ให้คำแนะนำไว้ดังนี้

Amazon Web Services
Google Cloud
Microsoft Azure
DigitalOcean
Linode 
Oracle 

 แหล่งอ้างอิง

https://www.

บทนำ
ในวันที่ 25 กรกฏาคม 2018 US-CERT ออกคำเตือนถึงความเป็นไปได้ที่จะเกิดการโจมตีระบบ ERP เพิ่มมากขึ้น โดยอ้างอิงจากรายงานร่วมระหว่าง Digital Shadows และ Onapsis ชื่อ ERP Applications Under Fire: How Cyber Attackers Target the Crown Jewels ซึ่งเป็นรายงานวิเคราะห์เกี่ยวกับการโจมตีระบบ ERP ของสองค่ายใหญ่ SAP และ Oracle

ทั้งนี้รายงานฉบับนี้เป็นการรายงานต่อมาจากรายงาน Wild Exploitation & Cyber-attacks On SAP Business Applications ของ Onapsis ในเดือนพฤษภาคม 2016 ซึ่ง US-CERT ได้ใช้อ้างอิงในการออกเตือนประกาศ US-CERT TA16-132A เกี่ยวกับการโจมตีระบบ SAP ที่กระทบกว่า 36 องค์กรระดับโลก โดยประเด็นที่องค์กรบกพร่องในการอัปเดตแพตช์ที่เหมาะสมและมีการตั้งค่าแอปพลิเคชันที่กระทบต่อความปลอดภัย

รายงาน ERP Applications Under Fire สรุปว่าระบบ ERP กำลังเป็นเป้าหมายของผู้โจมตีทางไซเบอร์ นอกจากนั้นยังพบว่ามีระบบ ERP ที่เชื่อมต่อกับอินเตอร์เน็ตหรือใช้งานบนระบบคลาวด์ที่ทุกคนสามารถเข้าถึงได้อยู่เป็นจำนวนมากซึ่งเป็นการเพิ่มโอกาสที่จะถูกโจมตีที่มากขึ้น ทั้งนี้ภายในรายงานยังมีการแนะนำวิธีในการจัดการความเสี่ยงที่เกิดขึ้นอีกด้วย
Key Finding
รายงาน ERP Applications Under Fire ทำการสรุปประเด็นสำคัญของรายงานไว้ 4 ข้อ ดังนี้

อาชญากรไซเบอร์ทำการพัฒนามัลแวร์เพื่อโจมตี ERP เช่น มัลแวร์ชื่อดังอย่าง Dridex ถูกอัปเดตในปี 2017 และเดือนกุมภาพันธ์ 2018 เพื่อโจมตี SAP โดยขโมยบัญชีผู้ใช้งานและรหัสผ่านของระบบ SAP ทำให้อาชญากรไซเบอร์เข้าถึงระบบ ERP ได้
ERP ตกเป็นเป้าหมายของกลุ่มบุคคลที่มีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง เช่น กลุ่มเพื่อโจรกรรมข้อมูลและก่อวินาศกรรม
มีการโจมตีใช้ประโยชน์จากช่องโหว่ที่เผยแพร่แล้วของ ERP มากขึ้นเมื่อเทียบกับการโจมตีผ่านช่องโหว่ zero-day เพื่อโจมตีระบบที่บกพร่องในการแพตช์และมีการตั้งค่าที่กระทบต่อความปลอดภัย
การใช้งานผ่านระบบคลาวด์, อุปกรณ์เคลื่อนที่และแนวโน้มของการย้ายระบบงานให้มีความทันสมัยมากขึ้นทำให้โอกาสและความเสี่ยงที่ระบบ ERP จะถูกโจมตีนั้นมีมากขึ้นตาม ทั้งนี้ผู้วิจัยพบว่ามี SAP และ Oracle ERP มากกว่า 17,000 แอปพลิเคชันที่เชื่อมต่อและสามารถเข้าถึงได้ผ่านอินเตอร์เน็ต โดยสามประเทศที่มีความเสี่ยงดังกล่าวสูงสุดได้แก่ สหรัฐอเมริกา เยอรมนี และสหราชอาณาจักรอังกฤษ

วิเคราะห์การโจมตี ERP ผ่าน i-secure Cyber Kill Chain
เพื่อช่วยในการทำความเข้าใจการโจมตีระบบ ERP มากขึ้น ทีมตอบสนองการโจมตีและภัยคุกคามจะทำการอธิบายการโจมตีตามหลักการของ i-secure Cyber Kill Chain ซึ่งจะประกอบด้วยขั้นตอนการโจมตีดังต่อไปนี้

Reconnaissance (ขั้นตอนการสำรวจและเก็บข้อมูล)
Delivery (ขั้นตอนการจัดส่งและพยายามโจมตี)
Exploitation (ขั้นตอนการโจมตีช่องโหว่)
Privilege Escalation (ขั้นตอนการยกระดับสิทธิ์)
Credential Access (ขั้นตอนการเข้าถึงข้อมูลบัญชีผู้ใช้งานและรหัสผ่าน)
Lateral Movement (ขั้นตอนการโจมตีไปยังระบบอื่นในเครือข่ายเดียวกัน)
Exfiltration (ขั้นตอนการนำข้อมูลออกจากระบบ)
Command and control (ขั้นตอนการติดต่อเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม)

Reconnaissance
การโจมตีทุกการโจมตีนั้นจำเป็นต้องเริ่มต้นด้วยการสำรวจและเก็บข้อมูลของเป้าหมายเสมอ จากการวิเคราะห์การโจมตีระบบ ERP หลายเหตุการณ์ ทีมตอบสนองการโจมตีและภัยคุกคามพบพฤติกรรมในการสำรวจและเก็บข้อมูลของเป้าหมายในลักษณะต่างๆ กันดังนี้

ผู้โจมตีมักมีการนำข้อมูลที่ได้จากเว็บบอร์ดใต้ดินของกลุ่มแฮกเกอร์มาทำการค้นหาเป้าหมาย โดยตัวอย่างด้านล่างคือคำค้นหาตามรูปแบบของ Google ที่ช่วยค้นหาระบบที่มีช่องโหว่อยู่ได้

ค้นหาระบบ ERP ที่สามารถเข้าถึงได้ผ่านอินเตอร์เน็ต โดยใช้เครื่องมือในรูปแบบของบริการเก็บและค้นหาข้อมูลบนอินเตอร์เน็ต อาทิ Shodan และ Censys
ค้นหาการใช้งานแอปพลิเคชัน Trello, Github หรือเว็บที่เปิดให้เข้าถึงได้ผ่านอินเตอร์เน็ตซึ่งมีการบันทึกบัญชีผู้ใช้งานและรหัสผ่านสำหรับเข้าถึงระบบ ERP เอาไว้

ค้นหาระบบแชร์ไฟล์ที่มีการตั้งค่าอย่างไม่เหมาะสม อาทิ ระบบที่ใช้งาน rsync, SMB FTP, และ Amzaon S3 เพื่อหาไฟล์การตั้งค่าของระบบ ERP ซึ่งอาจมีข้อมูลที่ใช้ในการเข้าถึงระบบ ERP ภายใน

Delivery
โดยส่วนมากนั้นผู้โจมตีมักจะพยายามโจมตีโดยการค้นหาไฟล์การตั้งค่าของระบบ ERP ก่อนจะพยายามเข้าถึงระบบ หรือในบางกรณีคือใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วในการโจมตี ซึ่งสามารถถูกตรวจจับได้หากมีการป้องกันอย่างดีพอ
Exploitation
การโจมตีระบบ ERP ที่สำเร็จนั้นมักขึ้นอยู่กับว่าในขั้นตอนของการสำรวจและเก็บข้อมูล ผู้โจมตีตรวจพบช่องโหว่อะไรที่สามารถใช้ประโยชน์ได้บ้าง อาทิ

หากเจอบัญชีผู้ใช้งานและรหัสในขั้นตอนของการสำรวจและเก็บข้อมูล ผู้โจมตีจะดำเนินการใช้ข้อมูลดังกล่าวในการเข้าถึงระบบโดยทันที
ทดลองเข้าถึงระบบ ERP ด้วยข้อมูลสำหรับยืนยันตัวตนที่เป็นค่าเริ่มต้นของระบบ เช่น ระบบ SAP HANA จะมีการรหัสผ่านเริ่มต้นคือ sap123 เสมอ
โจมตีระบบ ERP ด้วยช่องโหว่ที่มีอยู่แล้ว เช่น ช่องโหว่ CVE-2010-5326

Privilege Escalation + Credential Access + Lateral Movement
แม้ว่าจะยังไม่มีการรูปแบบพฤติกรรมที่ชัดเจน แต่การโจมตีโดยส่วนมากนั้นจะทำให้ผู้โจมตีได้สิทธิ์ของผู้ดูแลระบบโดยทันที ซึ่งทำให้ผู้โจมตีสามารถใช้สิทธิ์สูงสุดที่มีอยู่ในการเข้าถึงและโจมตีระบบอื่นๆ ได้
Exfiltration
หนึ่งในการโจมตีด้วยช่องโหว่ CVE-2010-5326 ผู้โจมตีมีการใช้คำสั่งตามรูปภายด้านล่างในการพยายามส่งข้อมูลออกจากระบบที่ยึดครองได้แล้ว

Command and control
ผู้โจมตีมักมีการเปลี่ยนเซิร์ฟเวอร์ที่ใช้ในการออกคำสั่งและควบคุมซึ่งถูกใช้ทั้งในการโจมตีและการรับไฟล์ที่ขโมยออกมาได้ไปเรื่อยๆ ตามรูปแบบการโจมตีและแตกต่างกันตามกลุ่มของผู้โจมตี ไม่สามารถระบุเฉพาะเจาะจงได้แน่นอน
คำแนะนำเบื้องต้นในการป้องกันและลดผลกระทบจากการโจมตีระบบ ERP

ดำเนินการตั้งค่าของระบบ ERP ให้เป็นไปตามคำแนะนำของผู้ผลิตหรือ Best Practices เสมอ
หมั่นประเมินช่องโหว่ของ ERP อย่างสม่ำเสมอ โดยอ้างอิงจากการอัปเดตแพตช์ของผู้ผลิต อาทิ SAP จะออกอัปเดตทุกเดือน และ Oracle จะออกรายไตรมาส นอกเหนือไปจากการประเมิณช่องโหว่ OS และอื่นๆ
ดำเนินการควบคุมสิทธิ์ของผู้ใช้งานให้เหมาะสม และคอยตรวจสอบพร้อมทั้งควบคุมการตั้งค่ารหัสผ่านของผู้ใช้าน
ค้นหาและกำจัดการเชื่อมต่อและการใช้งานที่ทำให้เกิดความเสี่ยงด้านความปลอดภัย โดยเฉพาะอย่างยิ่งการเชื่อมต่อเพื่อให้สามารถเข้าถึงได้จากระบบอินเตอร์เน็ต
หมั่นตรวจสอบและเฝ้าระวังพฤติกรรมการใช้งานของผู้ใช้งาน รวมไปถึงข้อมูลของระบบ ERP เมื่อมีการรั่วไหลออกสู่ภายนอก

Welcome GDPR !!!  หากใครได้มีการติดตามข่าวสารด้านความปลอดภัยจะพบว่าช่วงสัปดาห์ที่ผ่านมา มีรายงานกรณีข้อมูลของผู้ใช้งานรั่วไหลออกมาจากบริษัทต่างๆหลายแห่ง ซึ่งมีทั้งบริษัทที่อยู่ในยุโรป และในเอเชีย ทีมตอบสนองการโจมตีและภัยคุกคามจึงได้ทำการสรุปเหตุการณ์ต่างๆจากรายงานที่พบมา ดังนี้

(https://www.

สำหรับผู้อ่านที่ยังไม่คุ้นเคยกับปฏิบัติการและมัลแวร์ VPNFilter เราแนะนำให้อ่านบทความ "เผยปฏิบัติการมัลแวร์ VPNFilter โจมตีอุปกรณ์เน็ตเวิร์กกว่า 500,000 เครื่องทั่วโลก" เพื่อความเข้าใจที่มากขึ้นครับ 🙂
หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
โมดูลการโจมตีใหม่
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

หลังจากการค้นพบปฏิบัติการและมัลแวร์ VPNFilter เมื่อช่วงพฤษภาคมที่ผ่านมาซึ่งพุ่งเป้าโจมตีอุปกรณ์กว่า 500,000 รายการทั่วโลก ทีม Cisco Talos ได้ประกาศข้อเท็จจริงและข้อมูลเพิ่มเติมเกี่ยวกับปฏิบัติการดังกล่าวเมื่อวานที่ผ่านมาซึ่งรวมไปถึงรายการอุปกรณ์ที่ได้รับผลกระทบเพิ่มเติมและโมดูลการโจมตีใหม่ที่ถูกค้นพบในมัลแวร์ด้วย
โมดูลการโจมตีใหม่
มัลแวร์ VPNFilter เป็นหนึ่งในมัลแวร์ที่ถูกระบุว่ามีความซับซ้อนและมีการทำงานอย่างเป็นระบบระเบียบที่แตกต่างกับมัลแวร์ชนิดอื่นอย่างชัดเจน หนึ่งในศิลปะที่มัลแวร์ VPNFilter ได้นำมาปรับใช้นั้นคือการทำงานแบบเป็นโมดูล (modular) ซึ่งทำให้ผู้โจมตีสามารถปรับแต่งการทำงานของมัลแวร์เมื่ออยู่ในระบบของเหยื่อได้อย่างอิสระและเป็นไปตามความต้องการ

ในรายงานฉบับแรกของ Cisco Talos ได้มีการระบุถึงโมดูลการทำงานของมัลแวร์ในขั้นตอนที่ 3 คือเมื่อมัลแวร์ประสบความสำเร็จในการฝังตัวในระบบและมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (Command & Control Server) แล้วทั้งหมด 2 โมดูล ได้แก่

โมดูลสำหรับการดักจับข้อมูล (Packet Sniffer) เป็นโมดูลที่ถูกออกแบบให้ดักจับและตรวจสอบหาข้อมูลสำคัญที่ถูกส่งผ่านอุปกรณ์เครือข่ายที่มัลแวร์ฝังตัวอยู่
โมดูลสำหรับการเข้าถึงเครือข่าย Tor เป็นโมดูลที่ถูกออกแบบมาเพื่อให้มัลแวร์สามารถใช้งานเครือข่าย Tor เพื่อรับ-ส่งข้อมูลได้

สำหรับโมดูลล่าสุดที่ Cisco Talos นั้นคือโมดูลสำหรับการสอดแทรกเนื้อหาอันตรายลงไปในข้อมูลที่ถูกรับ-ส่งในเครือข่าย โดยมีชื่อเรียกโมดูลว่า 'ssler'

การทำงานในเบื้องต้นของโมดูล ssler นั้น มีรายละเอียดดังต่อไปนี้

มัลแวร์จะทำการติดตั้งโมดูล ตั้งค่าและเริ่มการทำงานโมดูล โดยการตั้งค่าดังกล่าวจะเป็นการระบุให้โมดูลคอยดักจับและแก้ไขเนื้อหาของที่ถูกรับ-ส่งมาจากแหล่งใดบ้าง ซึ่งสามารถระบุได้ทั้งช่วงหมายเลขไอพีแอดเดรสและโดเมนเนม
มัลแวร์จะทำการแก้ไข iptables ของอุปกรณ์เพื่อเปลี่ยนเส้นทางข้อมูล HTTP ให้ไปยังเซอร์วิสที่มัลแวร์เปิดรอไว้ที่พอร์ต 8888
เมื่อทราฟิกของเครือข่ายถูกบังคับให้วิ่งผ่านเซอร์วิสของโมดูล ssler มัลแวร์สามารถดำเนินการแก้ไขเนื้อหาได้อย่างอิสระ ทั้งการเปลี่ยน https:// เป็น http://, ทำ sslstripping, หรือแก้ไขการตั้งค่า HTTP header ในลักษณะต่างๆ เพื่อให้คุณสมบัติด้านความปลอดภัยลดลง
โมดูล ssler จะทำการดึงข้อมูลสำคัญ อาทิ ชื่อผู้ใช้งานและรหัสผ่านที่ถูกส่งในรูปแบบ Basic Authentication หรือ HTTP POST request ใดๆ ที่ถูกส่งไปยัง accounts.

สรุปย่อ
ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Snyk ได้ออกมาเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Zip Slip โดยการโจมตีช่องโหว่ดังกล่าวนั้นอาจทำให้เหยื่อทำการรันโค้ดอันตรายโดยไม่รู้ตัวเมื่อทำการคลายการบีบอัดหรือแตกไฟล์บีบอัดซึ่งถูกสร้างมาอย่างเฉพาะเจาะจง และนำไปสู่ความเสี่ยงต่อคุณสมบัติด้านความปลอดภัยในระบบได้

รายละเอียดช่องโหว่
ช่องโหว่ Zip Slip มีที่มาจากปัญหาของการไม่ตรวจสอบค่านำเข้าของไลบรารีที่ทำหน้าที่ในการคลายการบีบอัดของไฟล์อย่างถี่ถ้วน อีกทั้งไม่มีการทำไลบรารีกลางซึ่งมีความปลอดภัยมากพอในการจัดการกับไฟล์บีบอัด ส่งผลให้เกิดการพัฒนาซอฟต์แวร์หรือการเผยแพร่โค้ดต่างๆ ที่ทำงานได้แต่ไม่มีความปลอดภัย ซึ่งทำให้ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการทำให้เกิดการลักษณะการโจมตีที่เรียกว่า Directory Traversal ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

ช่องโหว่ Zip Slip นั้นถูกตรวจพบในไลบารีในภาษาโปรแกรมมิ่งหลายภาษา อาทิ JavaScript, Ruby, .NET และ Go รวมไปถึง Java ซึ่งมีการใช้โค้ดที่มีช่องโหว่เป็นจำนวนมาก ตัวอย่างหนึ่งของโค้ดที่มีช่องโหว่ในภาษา Java มีตามตัวอย่างด้านล่าง
Enumeration<ZipEntry> entries = zip.

หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.

สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

วิเคราะห์การโจมตี
การโจมตีในครั้งนี้นั้นอาศัยเทคนิคซึ่งมีชื่อเรียกว่า BGP hijacking ซึ่งหมายถึงการลักลอบเปลี่ยนเส้นทางการส่งข้อมูลในอินเตอร์เน็ตด้วยการประกาศเส้นทางใหม่ออกมา

อ้างอิงจากการทำงานโดยทั่วไปของระบบอินเตอร์เน็ต การที่เว็บไซต์หรือแหล่งข้อมูลจากเชื่อมต่อหากันได้นั้นจะต้องรู้ที่อยู่และเส้นทางที่จะไปมาหาสู่กัน ที่อยู่สำหรับเรียกหาเว็บไซต์หรือแหล่งข้อมูลอื่นๆ นั้นถูกบันทึกและจัดการในรูปแบบต่างๆ ด้วยระบบ Domain Name System (DNS) ส่วนการเชื่อมต่อหากัน (routing) ถูกดำเนินการด้วยการใช้โปรโตคอลสำหรับกำหนดเส้นทาง เช่น BGP อุปกรณ์ซึ่งทำหน้าที่เป็นตัวกลางระหว่างเว็บไซต์หรือแหล่งข้อมูลนั้นจะมีการรับส่งข้อมูลอ้างอิงจากโปรโตคอล BGP ระหว่างกันเพื่อให้สุดท้ายแล้วอุปกรณ์ตัวกลางที่เชื่อมต่อกันจนเกิดเป็นอินเตอร์เน็ตทราบเส้นทางที่จะไปหาเว็บไซต์หรือแหล่งข้อมูลซึ่งที่ปลายทาง

เมื่อการแลกเปลี่ยนเส้นทางการเชื่อมต่อและระบบสำหรับอ้างอิงชื่อทำงานประสานกัน การทำงานจะปรากฎตามรูปที่ 1 กล่าวคือ เมื่อผู้ใช้มีการพยายามเข้าถึงแหล่งข้อมูลด้วยการระบุชื่อโดเมนเนม ชื่อโดเมนเนมดังกล่าวจะถูกนำไปค้นหมายเลขไอพีแอดเดรสซึ่งถูกจัดการด้วยระบบ DNS เมื่อเซิร์ฟเวอร์ DNS ได้ทำการค้นหาหมายเลขไอพีแอดเดรสซึ่งเป็นของโดเมนเนมที่ผู้ใช้งานต้องการจะเข้าถึงแล้ว เซิร์ฟเวอร์ DNS ก็จะมีการตอบข้อมูลหมายเลขไอพีแอดเดรสกลับไปเพื่อให้ผู้ใช้งานสามารถใช้หมายเลขไอพีแอดเดรสดังกล่าวในการเข้าถึงแหล่งข้อมูลที่ผู้ใช้งานต้องการเข้าถึงได้

อย่างไรก็ตามหากมีการพยายามเปลี่ยนแปลงเส้นทางขึ้นด้วยจุดประสงค์ที่มุ่งร้าย ผลลัพธ์จะเกิดขึ้นตามรูปที่ 2

แม้ว่าสิทธิ์ในการกำหนดเส้นทางการรับส่งข้อมูลบนอินเตอร์เน็ตนั้นจะถูกจำกัดให้กับผู้ให้บริการเพียงบางรายเพื่อป้องกันไม่ให้มีการประกาศเส้นทางที่ไม่ถูกต้อง ผู้ประสงค์ร้ายก็ยังคงมีวิธีการบางอย่างที่จะเลียนแบบหน้าที่ของผู้ให้บริการในการ "ประกาศเส้นทางใหม่" ​ได้ สำหรับในกรณีของการโจมตีเพื่อขโมยสกุลเงินดิจิตอลนั้น ผู้ประสงค์ร้ายได้ทำการประกาศเส้นทางการส่งข้อมูลใหม่ทางโปรโตคอล BGP เพื่อหลอกล่อให้ผู้ใช้งานเชื่อมต่อไปยังเซิร์ฟเวอร์ DNS ที่ผู้ประสงค์ร้ายควบคุมอยู่ ทำให้ทันทีที่ผู้ใช้งานทำการเชื่อมต่อไปยังโดเมนเนมของเว็บไซต์ที่ต้องการ ข้อมูลหมายเลขไอพีแอดเดรสที่ได้รับจึงเป็นหมายเลขไอพีแอดเดรสที่ผู้ประสงค์ร้ายต้องการให้ผู้ใช้งานเข้าถึง โดยในตัวอย่างนี้คือหน้าเว็บไซต์ปลอมของบริการ myetherwallet.