หลังจากที่ได้รู้จักกับ Web Shell ว่าคืออะไร กันแล้วนั้นใน What is Web Shell?
แล้วรู้หรือไม่ว่าเราสามารถป้องกัน Web Server ของเราจากการโจมตีของ Web Shell ให้ดีขึ้นได้ด้วยระบบ Endpoint Detection and Response (EDR)
เพราะเบื้องหลังการโจมตีเหล่านั้นคือ กระบวนการที่ผู้โจมตีได้ป้อนชุดคำสั่ง (Input System Command) ผ่าน Web Browser ซึ่งจะทำให้ Web Server Process (เช่น IIS, PHP, JAVA, Node.
A recently identified vulnerability within the web application library (libwebp) has the potential to lead to RCE (Remote Code Execution) when exploited and can allow hackers to run malicious code in your system. This vulnerability is specifically a heap-based buffer overflow issue found within the libwebp library, which serves the purpose of decoding and encoding WebP image files.
ช่วงหลัง ๆ เราจะได้ยินคำว่า Webshell กันค่อนข้างบ่อยครั้ง วันนี้ i-secure จะพาเพื่อนๆ มารู้จักว่า Webshell ซึ่งเป็นหนึ่งในเทคนิคการโจมตีที่พบได้บ่อยมากๆ ในปัจจุบัน
Webshell คืออะไร และทำไมมันจึงเป็นวิธีการที่เหล่า Hacker นิยมใช้ในการโจมตีเหยื่อกันบ่อยครั้ง
ก่อนอื่น ต้องทำความเข้าใจวิธีคิดที่ Hacker คิดก่อน จุดมุ่งหมายหลักของ Hacker คือต้องการเข้าถึงข้อมูลของเหยื่อ เช่น เข้าถึงข้อมูลความลับ (Confidentiality) หรือเข้าไปดัดแปลงแก้ไขข้อมูลให้เปลี่ยนแปลงไป (Integrity) หรือไม่ก็ทำการขัดขวางไม่ให้ใครๆเข้าถึงข้อมูลนั้นๆได้ (Availability)
ดังนั้นการที่จะบรรลุวัตถุประสงค์นั้นได้ ก็คือต้องควบคุมเหยื่อให้ได้ จึงเป็นที่มาของ Webshell ที่จะเข้าไปคอยควบคุมเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเป้าหมายนั่นเอง
แล้ว Webshell คืออะไร?
Webshell คือไฟล์ที่ Hacker สร้างขึ้นมาเพื่อใช้สำหรับควมคุมเครื่อง Web Server ของเหยื่อหลังจาก Hacker พบช่องทางในการโจมตี โดย Webshell ถูกเขียนด้วยภาษาของ Web Application ยกตัวอย่างเช่นภาษา PHP เป็นต้น โดยใช้ประโยชน์จากคำสั่งหรือ Library ที่สามารถเรียกใช้งานของระบบ System Command หรือ OS Command คำสั่งเช่น “whoami” ,”ipconfig /all”, “mkdir” เป็นต้น
แผนผังการทำงานของ Webshell ที่รอรับ input จาก Attacker
Ref: https://www.
เนื่องจากภัยคุกคามทางด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่เกิดขึ้นในปัจจุบันมีความหลากหลายและซับซ้อนในรูปแบบ วิธีการ อีกทั้งช่องทางของการโจมตีก็เพิ่มขึ้นในทุกๆ วัน
สิ่งเหล่านี้ทำให้หลายองค์กรต้องหาวิธีการป้องกันการโจมตีเหล่านั้น ซึ่งโดยทั่วไปแล้วจะประกอบไปด้วยเครื่องมือหลากหลายชนิด ที่ต้องเลือกใช้ให้เหมาะสมกับช่องทางของการโจมตี อาทิเช่น Next-Generation Firewall, Web Application Firewall, Database Firewall, Next-Generation Endpoint และเครื่องมืออื่นๆ อีกมากมาย
ด้วยปัจจัยทางด้านความหลากหลายของเครื่องมือ ส่งผลให้แต่ละองค์กรจำเป็นต้องมีผู้เชี่ยวชาญ (Expert Cyber Security Engineer) ที่มีทักษะและความชำนาญในเครื่องมือดังกล่าวเป็นจำนวนมาก เพื่อที่จะทำการดูแลรักษาและปรับแต่งค่าของระบบให้สามารถป้องกันภัยคุกคามใหม่ๆ ได้เสมอ
สิ่งสำคัญคือผู้เชี่ยวชาญเหล่านี้จะต้องทำการเฝ้าระวังฯ เหตุการณ์ภัยคุกคามฯ โดยความท้าทายของการเฝ้าระวังฯ นั่นก็คือปริมาณของการแจ้งเตือน (Alerts) ที่เกิดขึ้นจาก Logs การใช้งานของแต่ละเครื่องมือ ซึ่งอาจจะมีปริมาณการแจ้งเตือนที่จำนวนมาก เนื่องจากเครื่องมือที่ใช้งานไม่ได้ทำการปรับ policy ที่เหมาะสม ทำให้เกิด false positive สูงตามมา อีกปัจจัยหนึ่งคือไม่ได้มีการจัดทำ Log Correlations รวมถึงไม่มี process ในการตอบสนอง และรับมือต่อภัยคุกคามฯ ที่เป็นมาตรฐานชัดเจน
องค์ประกอบหลักในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ
จากปัญหาดังกล่าว หลายๆ องค์กรจึงจำเป็นต้องมีหน่วยงานที่ดูแลรับผิดชอบทางด้าน Cyber Security หรือเริ่มมองหาผู้ให้บริการที่มีศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC) เข้ามาทำหน้าเฝ้าระวังและตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็วและทันท่วงที
ทั้งนี้ปัจจัยหลัก ๆ ในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ จะต้องประกอบไปด้วยองค์ประกอบหลักๆ ดังต่อไปนี้
People: ทีมงาน, ผู้เชี่ยวชาญที่มีทักษะและความชำนาญเฉพาะทางด้าน Cyber Security และต้องสามารถบริหารจัดการ (Operate) แบบ 24x7 ได้ รวมไปถึงการพัฒนาทักษะ (Skills) ให้กับทีมงานให้มีความเชี่ยวชาญที่อยู่ในระดับใกล้เคียงกันเพื่อที่จะสามารถปฏิบัติงานทดแทนกันได้
Technology: การลงทุนระบบที่ออกแบบมาเพื่อตรวจจับภัยคุกคามโดยเฉพาะ (Technology) โดยองค์กรต้องจัดเตรียมอุปกรณ์ (Hardware และ/หรือ Software) ของ Security Information & Event Management (SIEM) รวมไปถึง ฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) เพื่อใช้ในการรวบรวมข้อมูลภัยคุกคามฯ จากทั่วโลก
Process: กระบวนการบริหารจัดการที่มีมาตรฐานในการตอบสนองต่อเหตุการณ์กรณีที่มีภัยคุกคามเกิดขึ้น รวมถึงการปรับปรุงกระบวนการทำงานให้สอดคล้องกับรูปแบบของภัยคุกคามที่มีการเปลี่ยนแปลงรูปแบบอยู่เสมอ
ภาพแสดงส่วนประกอบหลักของการจัดทำศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC)
7 คุณลักษณะที่บริการ SOCaaS จำเป็นต้องมี
การลงทุน ทั้ง 3 องค์ประกอบข้างต้น หลายๆองค์กรจึงเลือกใช้บริการแบบ SOCaaS (SOC as a Service) แทนการจัดตั้งศูนย์ SOC เป็นขององค์กรเอง โดยคุณลักษณะที่บริการ SOCaaS จำเป็นต้องมีดังต่อไปนี้
ระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เพื่อให้เป็นไปตามข้อกำหนดในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560 พร้อมศูนย์สำรองข้อมูลของผู้ให้บริการ (DR Site) เพื่อสำรองข้อมูลอย่างน้อย 1 สำเนา
ระบบ Security Information & Event Management (SIEM) สำหรับให้บริการเชื่อมโยงความสัมพันธ์ของข้อมูลเพื่อเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่เข้าข่ายเป็นภัยคุกคามฯ พร้อมทีมงานผู้เชี่ยวชาญในการปรับปรุงรูปแบบการตรวจสอบ (Use Case Development) ให้ทันต่อภัยคุกคามทางไซเบอร์ในปัจจุบัน โดยทำงานร่วมกับระบบฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) ได้
มีทีมงานผู้เชี่ยวชาญในการบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Data Collection and Data Processing), ทีมบริหารจัดการระบบเชื่อมโยงความสัมพันธ์ข้อมูลจราจรทางคอมพิวเตอร์ (SIEM Administrator & Architecture)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง เพื่อเข้าทำการตอบสนองเบื้องต้นต่อเหตุการณ์เมื่อมีการแจ้งเตือนจากระบบ (Event Intake) ตอบสนองเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ (Incident Intake), ให้คำปรึกษาเกี่ยวกับเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ พร้อมคำแนะนำในการรับมือหรือป้องกันไม่ให้เกิดซ้ำในอนาคต รวมไปถึงให้คำปรึกษาในด้านอื่น ๆ ที่เกี่ยวกับความปลอดภัยทางไซเบอร์ด้วย (Incident/Cybersecurity Advisory)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่ศึกษา ติดตาม และค้นคว้าเกี่ยวกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ เพื่อนำมาพัฒนารูปแบบและเทคนิคการตรวจจับภัยคุกคามทางไซเบอร์ของระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ให้ทันสมัยและมีประสิทธิภาพอยู่ตลอดเวลา (Threat Hunting)
มีมาตราฐานการดำเนิน (Security Operation Procedure) เพื่อการดำเนินการตามมาตราฐานหากเจอภัยคุกคามฯ และมีการพัฒนาและปรับปรุงการทำงานอย่างสม่ำเสมอ
มีรายงานสรุปภัยคุกคามที่เกิดขึ้น พร้อมคำแนะนำ และ/หรือ วิธีการแก้ไข พร้อมผู้เชี่ยวชาญในการให้คำปรึกษา
ภาพแสดงส่วนประกอบหลักของการบริการแบบ SOCaaS (SOC as a Service)
สิ่งที่องค์กรจะได้รับจากการใช้บริการแบบ SOCaaS (SOC as a Service)
ลดระยะเวลาการแก้ไขปัญหา และทราบถึงสาเหตุของภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็ว เพื่อลดผลกระทบทางธุรกิจหรือกิจการให้เหลือน้อยที่สุด
ลดความยุ่งยาก และค่าใช้จ่ายต่างๆ ที่เกี่ยวข้องกับการติดตั้ง (Implementation) และบริหารจัดการระบบ SIEM (Main tenant และ Support)
องค์กรสามารถโฟกัสทรัพยากรบุคคลและทรัพยากรทางด้านเวลาไปยังงานส่วนอื่นๆ ที่มีความสำคัญและส่งผลประโยชน์กับธุรกิจ เนื่องจากมีผู้เชี่ยวชาญที่ได้รับ Certified และประสบการณ์ต่างๆ ทางด้านระบบรักษาความปลอดภัยฯ คอยดูแลระบบให้อยู่เบื้องหลัง
ได้รับการเฝ้าระวัง, แจ้งเตือน และป้องกันตลอดระยะเวลา 24x7x365 หากมีภัยคุกคามเกิดขึ้นกับระบบที่มีความสำคัญในองค์กร
สามารถปรับลดเพิ่มได้ตามปริมาณการใช้งานระหว่างอายุสัญญา โดยไม่ต้องลงทุนอุปกรณ์ใด ๆ เพิ่มเติม (Scalable)
บริษัท ไอ-ซีเคียว จำกัด (i-secure Company Limited) ก่อตั้งขึ้นโดยทีมวิศวกรผู้เชี่ยวชาญด้านระบบเครือข่าย และการรักษาความปลอดภัยข้อมูลสารสนเทศซึ่งได้รับการรับรองตามมาตรฐานสากล โดยมีการดำเนินงานแบบมืออาชีพในการให้บริการแก่ลูกค้า โดยมีจุดเด่น ดังต่อไปนี้
มีประสบการณ์ตรงในการให้บริการทางด้าน SOCaaS (SOC as a Service) มากกว่า 16 ปี
มีลูกค้าในระดับองค์กรที่ไว้วางใจในการใช้บริการ SOCaaS มากกว่า 120 ราย
ศูนย์เฝ้าระวังฯ ที่ผ่านการรับรองมาตรฐานสากลด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001:2013) และคุณภาพของบริการ (ISO/IEC 20000-1:2018)
มีผู้เชี่ยวชาญเฉพาะทางครอบคลุมการให้บริการหลักๆ ในแต่ละด้าน คอยเฝ้าระวัง และให้คำปรึกษาตลอด 24 ชั่วโมง
สำหรับองค์กรที่สนใจบริการ SOCaaS (SOC as a Service)
สามารถติดต่อสอบถามเพิ่มเติมได้ที่
โทร: (+66) 2-615-7005
อีเมล: marketing@i-secure.
ปี 2020 ก็ผ่านพ้นไปแล้ว ในบทความนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะสรุปข่าว Cybersecurity ในรอบปีที่เกี่ยวข้องกับประเทศไทยที่น่าสนใจค่ะ
ในปีที่ผ่านมาข่าวที่โดดเด่นในจะอยู่ในหัวข้อเกี่ยวกับข้อมูลส่วนบุคคลเสียเป็นส่วนใหญ่ ไม่ว่าจะเป็นการเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปเป็นปี 2021 และเหตุการณ์ข้อมูลรั่วไหลบนเว็บไซต์ชื่อดังหลายแห่ง
อีกหัวข้อข่าวที่ส่งผลกระทบต่อคนไทยจำนวนมากคือการที่องค์กรในไทยตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ เช่น การไฟฟ้าส่วนภูมิภาคตกเป็นเหยื่อ Maze ransomware จนผู้บริโภคไม่สามารถชำระค่าไฟผ่านแอปพลิเคชั่นได้ , โรงพยาบาลสระบุรีตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่จนต้องประกาศให้ผู้ใช้บริการนำยาเก่าและเอกสารมารับบริการ
ทั้งนี้กลุ่มโจมตีด้วยมัลแวร์เรียกค่าไถ่ในปัจจุบันได้มีการใช้เทคนิคข่มขู่เพื่อให้เหยื่อยอมจ่ายค่าไถ่มากขึ้น โดยขู่เผยแพร่ข้อมูลที่ขโมยจากเหยื่อมา เพื่อให้เหยื่อยอมจ่ายค่าไถ่ ซึ่งกรณีการไฟฟ้าส่วนภูมิภาคนั้นไม่มีการจ่ายค่าไถ่ จึงมีการเผยแพร่ข้อมูลออกมา
สารบัญ
Timeline ข่าวที่น่าสนใจปี 2020
สรุปเหตุการณ์เกี่ยวข้องกับ Maze ransomware
สรุปเหตุการณ์โรงพยาบาลสระบุรีถูก Ransomware โจมตี
สรุปเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ
Timeline
พฤษภาคม 2020
19 พฤษภาคม 2020 สั่งเลื่อนใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปอีก 1 ปี
20 พฤษภาคม 2020 พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ดำเนินการปิดเรียบร้อยแล้ว
มิถุนายน 2020
18 มิถุนายน 2020 การไฟฟ้าฯ ยอมรับ โดนมัลแวร์เรียกค่าไถ่โจมตี ทำแอพล่มข้ามอาทิตย์!
กรกฏาคม 2020
22 กรกฏาคม 2020 กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว
สิงหาคม 2020
4 สิงหาคม 2020 โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware
9 สิงหาคม 2020 แฮกเกอร์ประกาศขายข้อมูลชื่อผู้ใช้/รหัสผ่านของ Pulse Secure VPN กระทบหน่วยงานไทยและผู้ให้บริการ MSP ชื่อดัง
กันยายน 2020
9 กันยายน 2020 โรงพยาบาลสระบุรีถูก Ransomware โจมตี โรงพยาบาลขอคนไข้นำรายการยาเดิมไปรับบริการ
พฤศจิกายน 2020
1 พฤศจิกายน 2020 พบแฮกเกอร์นำข้อมูลผู้ใช้ Eatigo, Wongnai ไปขายในตลาดใต้ดิน ทั้งสองบริษัทแจ้งเตือนผู้ใช้แล้ว
6 พฤศจิกายน 2020 Maze ransomware ประกาศยุติปฏิบัติการ
20 พฤศจิกายน 2020 Lazada ประเทศไทยและ ShopBack ถูกแฮก ข้อมูลถูกปล่อยขายแล้วรวมกว่า 35 ล้านรายการ
ธันวาคม 2020
4 ธันวาคม 2020 พบการขายฐานข้อมูลส่วนบุคคลจากบริการที่เกี่ยวข้องกับ online booking ในประเทศไทย มีข้อมูลกว่า 800 ล้านรายการ
สรุปเหตุการณ์เกี่ยวข้องกับ Maze ransomware
ในปี 2020 ที่ผ่านมามีองค์กรในไทยตกเป็นเหยื่อ Maze ransomware 2 องค์กร ก่อนที่ Maze ransomware จะประกาศยุติปฏิบัติการในเดือนพฤศจิกายน 2020 ได้แก่ บริษัทแห่งหนึ่ง และการไฟฟ้าส่วนภูมิภาค
ในกรณีของการไฟฟ้าส่วนภูมิภาคนั้น การถูกโจมตีส่งผลกระทบให้ผู้ใช้บริการไม่สามารถใช้แอพพลิเคชั่นพีอีเอสมาร์ทพลัสได้หลายวัน จากนั้นเมื่อการไฟฟ้าส่วนภูมิภาคไม่ได้จ่ายค่าไถ่ จึงเกิดผลกระทบเพิ่มเติมคือถูกปล่อยข้อมูลภายในองค์กร
แม้ว่ากลุ่ม Maze ransomware จะยกเลิกปฏิบัติการไปแล้ว แต่นักวิจัยเชื่อว่า
Egregor ransomware ตัวใหม่ที่เริ่มแพร่ระบาดในเดือนกันยายน 2020 เป็นมัลแวร์ตัวใหม่ที่กลุ่มที่พัฒนา Maze ransomware หันมาใช้งานแทน
อ่านเพิ่มเติม
การไฟฟ้าฯ ยอมรับ โดนมัลแวร์เรียกค่าไถ่โจมตี ทำแอพล่มข้ามอาทิตย์!
กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว
โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware
Threat profile: Egregor ransomware is making a name for itself
สรุปเหตุการณ์โรงพยาบาลสระบุรีถูก Ransomware โจมตี
โรงพยาบาลสระบุรีถูก Ransomware ที่ชื่อ VoidCrypt (.spade) โจมตี โดยกลุ่มเบื้องหลังมัลแวร์ดังกล่าวไม่เคยมีประวัติขโมยข้อมูลเหยื่อเพื่อข่มขู่ ซึ่งทางโรงพยาบาลสระบุรีได้แก้ไขด้วยการกู้คืนจาก backup
อ่านเพิ่มเติม
โรงพยาบาลสระบุรีถูก Ransomware โจมตี โรงพยาบาลขอคนไข้นำรายการยาเดิมไปรับบริการ
อัปเดตความคืบหน้า RANSOMWARE รพ.สระบุรี ได้อะไรกลับมาแล้วบ้าง?
สรุปเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ
เนื่องจากมีการเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปเป็นปี 2021 ทำให้ในปี 2020 นี้ยังไม่มีข้อกำหนดที่ชัดเจนเมื่อเกิดเหตุการณ์ในลักษณะดังกล่าว
AIS
20 พฤษภาคม 2020 พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ข้อมูลเหล่านี้สามารถใช้เพื่อตรวจสอบพฤติกรรมการเข้าอินเตอร์เน็ตได้ ซึ่งนักวิจัยที่พบติดต่อผ่าน AIS แต่ไม่ได้รับการตอบรับ จึงติดต่อ ThaiCERT และมีการปิดการเข้าถึงฐานข้อมูลดังกล่าวในเวลาต่อมา
อ่านเพิ่มเติม
A massive database of 8 billion Thai internet records leaks
AIS พลาด เปิดข้อมูลทราฟิกอินเทอร์เน็ตและ DNS Query เป็นสาธารณะ ปิดแล้วหลังได้รับแจ้ง
Eatigo และ Wongnai
1 พฤศจิกายน 2020 พบการขายข้อมูลจากเว็บไซต์ Eatigo และ Wongnai ในตลาดมีด ทั้งสองเว็บไซต์ได้ทำการแจ้งเตือนและรีเซ็ตรหัสผ่านผู้ที่ได้รับผลกระทบ
ข้อมูลที่รั่วไหลของ Eatigo ได้แก่ อีเมล ค่าแฮชรหัสผ่าน ชื่อ เบอร์โทรศัพท์ เพศ และโทเค็นเฟซบุ๊ก
ข้อมูลที่รั่วไหลของ Wongnai ได้แก่ อีเมล, ค่าแฮชรหัสผ่าน, หมายเลขไอพีที่ใช้ลงทะเบียน, หมายเลขไอดีผู้ใช้เฟซบุ๊กและทวิตเตอร์, วันเกิด, หมายเลขโทรศัพท์และรหัสไปรษณีย์
โดยทั้งสองบริษัทยืนยันว่าไม่มีข้อมูลบัตรเครดิตรั่วไหล
อ่านเพิ่มเติม
พบแฮกเกอร์นำข้อมูลผู้ใช้ Eatigo, Wongnai ไปขายในตลาดใต้ดิน ทั้งสองบริษัทแจ้งเตือนผู้ใช้แล้ว
Wongnai Security Incident
ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been Pwned
Lazada ประเทศไทยและ ShopBack
20 พฤศจิกายน 2020 พบการขายข้อมูลจากเว็บไซต์ Lazada ประเทศไทยและ ShopBack ในตลาดมีด
โดยทาง Lazada ระบุว่าข้อมูลที่รั่วไหลดังกล่าวเป็นข้อมูลจากบริษัทที่ทำธุรกิจอีคอมเมิร์ซ โดยชุดข้อมูลที่รั่วไหลดังกล่าวมาจากฐานข้อมูลปีพ.ศ. 2561 และไม่ได้มีรั่วไหลจากระบบของ Lazada โดยตรง
ในขณะที่ข้อมูลที่รั่วไหลของ ShopBack ประกอบด้วย อีเมล, ค่าแฮชรหัสผ่าน, ชื่อ-นามสกุล, หมายเลขโทรศัพท์ และ ประเทศ
ทาง TB-CERT ได้มีการแจ้งเตือนและให้คำแนะนำผู้ใช้งาน ShopBack ให้ทำการเปลี่ยนรหัสผ่าน ShopBack และเปลี่ยนรหัสผ่านในบริการอื่นๆ ที่มีการใช้ซ้ำ
อ่านเพิ่มเติม
https://www.
INTRODUCTION
ในวันที่ 8 ธันวาคมที่ผ่านมา บริษัทด้านความปลอดภัยไซเบอร์ FireEye ประกาศการตรวจพบการโจมตีระบบของตนและนำไปสู่บทความคำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบซึ่งตีพิมพ์ในวันถัดมาโดยทีม Intelligent Response อย่างไรก็ตาม การโจมตี FireEye เป็นเพียงจุดเริ่มต้นเล็กๆ เท่านั้นของมหากาพย์การโจมตีทางไซเบอร์แห่งปี 2020
SolarWinds Orion ซึ่งเป็นผลิตภัณฑ์สำหรับจัดการบริหารรวมไปถึงตั้งค่าเครือข่ายถูกโจมตีโดยผู้โจมตีซึ่งยังไม่มีข้อมูลแน่ชัด ผู้โจมตีทำการโจมตี SolarWinds เพื่อทำการฝังโค้ดที่เป็นอันตรายไว้ใน SolarWinds Orion ส่งผลให้ผู้ใช้งาน SolarWinds Orion ในรุ่นที่มีการอัปเดตและได้รับโค้ดที่เป็นอันตรายทั่วโลกตกอยู่ในความเสี่ยง ยิ่งไปกว่านั้นอาจมีความเป็นไปได้ที่การโจมตีจะเกิดขึ้นจากผู้โจมตีสองกลุ่มที่ไม่เกี่ยวข้องกันมาก่อนด้วย
ในบทความนี้ ทีม Intelligent Response จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปเหตุการณ์การโจมตี SolarWinds ในลักษณะของ Supply-chain attack ซึ่งเชื่อว่าเป็นจุดเริ่มต้นของการโจมตี FireEye และนำไปสู่หนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดต่อรัฐบาลสหรัฐฯ รวมไปถึงบริษัทไอทียักษ์ใหญ่อีกหลายบริษัท รวมไปถึงแผนในการตอบสนองและรับมือเหตุการณ์ดังกล่าวในลักษณะของ Incident response playbook เพื่อให้ศักยภาพในการรับมือและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยนี้นั้นพัฒนาไปพร้อมกับขีดจำกัดของภัยคุกคามครับ
เนื้อหาภายในบทความจะถูกแบ่งเป็นหัวข้อตามลำดับดังนี้
ลำดับเหตุการณ์ด้านความปลอดภัย (Timeline)
เหตุการณ์การโจมตี SolarWinds (The SolarWinds Intrusion)
รายละเอียดและการวิเคราะห์เหตุการณ์ด้านความปลอดภัย (Analysis)
ข้อมูลผู้โจมตี (Threat actor)
เป้าหมายในการโจมตี (Targets)
ช่องโหว่ที่ใช้ในการโจมตี (Vulnerability)
รูปแบบและพฤติกรรมการโจมตี (Attack Techniques)
รายละเอียดและการวิเคราะห์มัลแวร์ที่ปรากฎในการโจมตี (Malware Analysis)
รายละเอียดมัลแวร์ SUNBURST
รายละเอียดมัลแวร์ TEARDROP
รายละเอียดมัลแวร์ RAINDROP
รายละเอียดมัลแวร์ BEACON
รายละเอียดมัลแวร์ SUPERNOVA
รายละเอียดมัลแวร์ GOLDMAX
รายละเอียดมัลแวร์ GOLDFINDER
รายละเอียดมัลแวร์ SIBOT
คำแนะนำในการระบุหาภัยคุกคาม (Threat Detection/Hunting)
คำแนะนำในการตอบสนองภัยคุกคาม (Incident Response)
คำแนะนำในการจำกัดความเสียหาย (Containment)
คำแนะนำในการกำจัดภัยคุกคาม (Eradication)
คำแนะนำในการฟื้นฟูระบบ (Recovery)
ข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise)
แหล่งข้อมูลอ้างอิงเพิ่มเติม (Additonal References/Resources)
TIMELINE
September 4, 2019 (อ้างอิง: SolarWinds)
ผู้โจมตีทำการโจมตีระบบของ SolarWinds อ้างอิงจากหลักฐานดิจิตอลที่ตรวจพบ
September 12, 2019 (อ้างอิง: SolarWinds)
ผู้โจมตีทำการแทรกโค้ดอันตรายลงไปในแพลตฟอร์ม Orion ครั้งแรก เชื่อว่าเป็นการดำเนินการเพื่อทดสอบว่าสามารถดำเนินการได้จริง
November 4, 2019 (อ้างอิง: SolarWinds)
ผู้โจมตีหยุดช่วงการทดสอบแทรกโค้ดลงในแพลตฟอร์ม Orion
February 20, 2020 (อ้างอิง: SolarWinds)
มัลแวร์ SUNBURST ถูกคอมไพล์ลงแพลตฟอร์มของ Orion เป็นครั้งแรก
March 26, 2020 (อ้างอิง: SolarWinds)
มีการกระจาย Hotfix ของแพลตฟอร์ม Orion ที่มีมัลแวร์ SUNBURST ฝังตัวอยู่ให้แก่ลูกค้า
June 4, 2020 (อ้างอิง: SolarWinds)
ผู้โจมตีถอนการติดตั้งมัลแวร์ SUNSPOT ซึ่งใช้ในการแทรกโค้ด SUNBURST ออกจากระบบที่ใช้ในการพัฒนาซอร์สโค้ด Orion
December 8 (อ้างอิง: FireEye):
FireEye ตรวจพบการบุกรุกระบบภายในของบริษัท ผู้โจมตีสามารถเข้าถึงเครื่องมือสำหรับทำ Red Teaming Assessment ได้ อ่านรายละเอียดเพิ่มเติมของเหตุการณ์ดังกล่าวได้ที่บทความ "คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ" โดยทีม Intelligent Response
December 12, 2020 (อ้างอิง: SolarWinds)
SolarWinds ได้รับแจ้งเกี่ยวกับการตรวจพบมัลแวร์ SUNBURST
December 13 (อ้างอิง: FireEye, SolarWinds, Department of Homeland Security, Microsoft):
FireEye เปิดเผยแคมเปญการโจมตีโดยกลุ่ม UNC2452 ซึ่งใช้รูปแบบการโจมตีแบบ Supply chain attack กับผลิตภัณฑ์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ SUNBURST, TEARDROP และ BEACON
SolarWinds ประกาศ Security advisory ยืนยันการถูกโจมตีพร้อมกับรายละเอียดและคำแนะนำในการลดผลกระทบ
Department of Homeland Security หรือกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ออกประกาศ Emergency Directive 21-01 Mitigate SolarWinds Orion Code Compromise เพื่อให้คำแนะนำในการลดผลกระทบจากการบุกรุกและแก้ไขโค้ดการทำงานในซอฟต์แวร์ SolarWinds Orion สำหรับหน่วยงานรัฐฯ
Microsoft ออกรายงานการวิเคราะห์สถานการณ์และพฤติกรรมการโจมตี
December 14 (อ้างอิง: Reuters, New York Times, The Register, Washington Post, Krebs on Security, The Wall Street Journal, Bleeping Computer, The Hacker News, Help Net Security, Politico, SEC, ZDNet, Security Week, @vinodsparrow, Threatpost, Volexity):
มีการรายงานข่าวว่าการโจมตีที่เกิดขึ้นอาจเกี่ยวข้องกับกลุ่มแฮกเกอร์ซึ่งทำงานให้ประเทศรัสเซีย
การโจมตีดังกล่าวถูกใช้เพื่อเข้าถึงและอ่านอีเมลของหน่วยงานภายในกระทรวงการคลัง, หน่วยงาน National Telecommunications and Information Administration (NTIA) ภายใต้กระทรวงพาณิชย์สหรัฐฯ และกระทรวงความมั่นคงมาตุภูมิ
รายงานข่าวจากบางสำนักระบุว่าการโจมตีที่เกิดขึ้นนั้นเกิดข้องกับการบุกรุกระบบของ FireEye ที่มีการประกาศมาในวันที่ 8 ธันวาคม
รัฐมนตรีต่างประเทศรัสเซียตอบโต้ใน Facebook ของสถานทูตรัสเซียในสหรัฐฯ โดยอ้างว่าถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจมตี
SolarWinds แจ้งต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (The Securities and Exchange Commission – SEC) เกี่ยวกับสถานการณ์ที่เกิดขึ้น โดยหนึ่งในรายละเอียดที่มีการเปิดเผยออกมานั้น SolarWinds ระบุว่ามีลูกค้า 33,000 รายที่ใช้ SolarWinds Orion และน้อยกว่า 18,000 รายที่คาดว่ามีการติดตั้งอัปเดตที่มีมัลแวร์ SUNBURST อยู่ โดย SolarWinds ได้มีการติดต่อและแจ้งเตือนลูกค้าทั้งหมด 33,000 รายแล้ว
SolarWinds ยังมีการแจ้งต่อ SEC เพิ่มเติมด้วยว่า ได้รับการแจ้งเตือนจากไมโครซอฟต์เรื่องการตรวจพบการโจมตีและบุกรุกบัญชี Office 365 ขององค์กร ซึ่งทางองค์กรกำลังตรวจสอบอยู่
นักวิจัยด้านความปลอดภัย Vinoth Kumar ได้ออกมาทวีตเปิดเผยว่า ตนได้มีการแจ้งเตือนไปยัง SolarWinds ตั้งแต่เดือนพฤศจิกายน 2019 หลังจากค้นพบว่าโครงการซอฟต์แวร์ของ SolarWinds โครงการหนึ่งบนเว็บไซต์ GitHub มีการระบุข้อมูลสำหรับเข้าถึงระบบ downloads.
เมื่อวันที่ 8 ธันวาคม 2020 ที่ผ่านมาตามเวลาในสหรัฐอเมริกา บริษัทด้านความปลอดภัยไซเบอร์ FireEye มีการประกาศถึงการโจมตีระบบและเครือข่ายของ FireEye ซึ่งส่งผลให้เกิดการรั่วไหลของเครื่องมือสำหรับการทำ Red Team Assessment หรือการประเมินความปลอดภัยระบบ ในเบื้องต้นทาง FireEye ระบุว่าการโจมตีดังกล่าวมีหลักฐานอย่างชัดเจนว่ามีกลุ่มแฮกเกอร์ในลักษณะ APT ที่มีศักยภาพสูงและอาจมีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง
ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligence Response) จากบริษัท ไอ-ซีเคียว จำกัด ได้ทำการประเมินผลกระทบเบื้องต้นจากการโจมตีและการรั่วไหลของข้อมูล โดยจะขอสรุปรายละเอียดสถานการณ์และคำแนะนำที่จำเป็นต่อการรับมือและตอบสนองภัยคุกคามตามรายละเอียดที่จะปรากฎในส่วนต่อไป
Incident Overview
จากประกาศซึ่งระบุรายละเอียดของเหตุการณ์ ทีม Intelligence Response ขอสรุปประเด็นสำคัญเกี่ยวกับสถานการณ์ที่เกิดขึ้นตามรายละเอียดดังต่อไปนี้
FireEye ตรวจพบการโจมตีซึ่งจากการตรวจสอบในเบื้องต้นนั้น พบว่าผู้โจมตีมีพฤติกรรมและเทคนิคการโจมตีที่ซับซ้อน ด้วยพฤติกรรมและหลักฐานในเบื้องต้น FireEye เชื่อว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
หลังจากตรวจพบการโจมตี FireEye ได้มีการประสานงานกับ FBI, Microsoft และพาร์ทเนอร์ของบริษัท จากการตรวจสอบสถานการณ์โดยบริษัทด้านความปลอดภัยไซเบอร์ภายนอกและหน่วยงานที่เกี่ยวข้อง ข้อสรุปยืนยันสมมติฐานของทาง FireEye ว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
จากการวิเคราะห์การโจมตี FireEye พบว่าผู้โจมตีมีการเข้าถึงเครื่องมือสำหรับให้บริการ Red Team Assessment หรือบริการด้านการประเมินความปลอดภัยระบบ ด้วยลักษณะของการเข้าถึงซึ่งอาจเป็นไปได้ว่ามีการนำออกไปด้วย ทีม FireEye ยังไม่สามารถระบุจากหลักฐานได้ว่าผู้โจมตีมีเจตนาจะใช้เครื่องมือดังกล่าวในการโจมตีอื่น ๆ ต่อหรือตั้งใจจะเปิดเผยเครื่องมือดังกล่าวสู่สาธารณะ
อย่างไรก็ตามจากการเฝ้าระวัง FireEye ยังไม่พบการใช้เครื่องมือที่ถูกละเมิดและรั่วไหลในการโจมตีจริงใด ๆ
พฤติกรรมของผู้โจมตีพุ่งเป้าไปที่การระบุหาข้อมูลของลูกค้าซึ่งเป็นหน่วยงานของรัฐบาลที่ใช้บริการ FireEye โดยทาง FireEye มีการระบุเพิ่มเติมว่า แม้จะมีหลักฐานจากการโจมตีซึ่งระบุให้เห็นผู้โจมตีเข้าถึงระบบภายในของ FireEye ไปแล้ว แต่ข้อมูลล่าสุดจากการตรวจสอบสถานการณ์ก็ยังไม่พบการนำข้อมูลของลูกค้าของ FireEye ออก โดย FireEye จะประสานงานกับลูกค้าโดยตรงหากพบข้อมูลเพิ่มเติมใด ๆ
FireEye ได้มีการเผยแพร่ signature ของเครื่องมือสำหรับทำ Red Team Assessment เพื่อให้สามารถถูกใช้ในการตรวจจับการนำเครื่องมือที่ถูกละเมิดและรั่วไหลออกไปใช้ซ้ำได้
Brief Analysis
ทีม Intelligent Response ได้ทำการตรวจสอบ signature ซึ่ง FireEye ทำการเผยแพร่ออกมาเพื่อประเมินสถานการณ์และวิธีรับมือเพิ่มเติม รายละเอียดด้านล่างคือผลการวิเคราะห์เบื้องต้นจากข้อมูลดังกล่าว
จำนวนของเครื่องมือสำหรับการ Red Team Assessment ที่ได้รับผลกระทบจากการถูกโจมตีมีทั้งหมด 311 รายการ โดยแยกออกได้ตามชื่อและประเภทของเครื่องมือทั้งหมด 60 ประเภท
จากเครื่องมือทั้งหมด 60 ประเภท ทีม Intelligent Response สามารถระบุที่มา และศักยภาพที่จะเกิดจากการใช้เครื่องมือและรายละเอียดเพิ่มเติมตาม MITRE ATT&CK ได้ดังรายการด้านล่าง
กลุ่ม ADPASSHUNT เป็นกลุ่มเครื่องมือสำหรับเทคนิค Credential access ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม ALLTHETHINGS คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม BEACON เป็นโปรไฟล์ของเครื่องมือ Cobalt Strike สำหรับการทำ Command & Control โปรไฟล์ส่วนใหญ่เป็นการพัฒนาขึ้นเองตามสถานการณ์ บางส่วนของเครื่องมือในกลุ่มนี้สามารถใช้ในเทคนิค Initial access และ Execution ได้โดยอาศัยการใช้เทคนิค Living off the Land, เทคนิค DLL sideloading และอื่นๆ
กลุ่ม BELTALOWDA เป็นเครื่องมือในเทคนิค Reconnaissance และ Discovery คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Seatbelt
กลุ่ม COREHOUND คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Discovery และ Lateral movement และอาจได้รับอิทธิพลมาจากเครื่องมือ BloodHound
กลุ่ม DSHELL คาดว่าเป็นเครื่องมือในกลุ่ม Execution และ Persistence โดยอาจเป็นแบ็คดอร์ที่ถูกพัฒนาขึ้นมาโดยใช้ภาษา D เพื่อหลีกเลี่ยงการตรวจจับ
กลุ่ม DTRIM ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม DUEDLLIGENCE คาดว่าเป็นเครื่องมือสำหรับเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EWSRT คาดว่าเป็นลักษณะของเพย์โหลดแบบ HTML และ PS1 ซึ่งสามารถใช้ในเทคนิค Initial access ได้ ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EXCAVATOR คาดว่าเป็นเครื่องมือในเทคนิค Credential access สำหรับการเข้าถึงข้อมูลสำหรับยืนยันตัวตนในหน่วยความจำ
กลุ่ม FLUFFY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery และ Lateral movement คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Rubeus
กลุ่ม G2JS คาดว่าเป็นลักษณะของเพย์โหลดในเทคนิค Initial access และ Execution โดยมีพื้นฐานของเทคนิคการโจมตีมาจากการใช้เทคนิค tyranid/DotNetToJScript และ med0x2e/GadgetToJScript
กลุ่ม GETDOMAINPASSWORDPOLICY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม GPOHUNT คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPGENERATOR คาดว่าเป็นลักษณะของเครื่องมือสำหรับสร้างเพย์โหลดจากภาษา C# ในเทคนิค Initial access และ Execution ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPSECTIONINJECTION คาดว่าเป็นลักษณะของเครื่องมือการช่วยรันโค้ดด้วยเทคนิค Process injection โดยใช้ภาษา C# ในเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม IMPACKETOBF, IMPACKETOBF (Smbexec) และIMPACKETOBF (Wmiexec) คาดว่าเป็นลักษณะของเครื่องมือสำหรับ Discovery และ Lateral movement ซึ่งแตกต่างกันไปตามการอิมพลีเมนต์โปรโตคอลที่มีการใช้งาน เครื่องมือเหล่านี้อาจมีการพัฒนาโดยใช้โค้ดจากโครงการ SecureAuthCorp/impacket
กลุ่ม INVEIGHZERO ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม WMIRUNNER คาดว่าเป็นเครื่องมือสำหรับการทำ Lateral movement ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม JUSTASK คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม KEEFARCE มีชื่อสอดคล้องกับโครงการ denandz/KeeFarce ซึ่งอยู่ในกลุ่ม Credential access โดยสามารถถูกใช้ในการดึงข้อมูลที่อยู่ในโปรแกรม KeePass ออกมาจากหน่วยความจำได้
กลุ่ม KEEPERSIST คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LNKSMASHER คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python และอาจเกี่ยวข้องกับการใช้เทคนิคการโจมตีผ่านไฟล์ประเภท LNK ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LUALOADER คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรมที่พัฒนาขึ้นในภาษา Lua ที่มีคุณสมบัติที่จะถูกตรวจจับต่ำ ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MATRYOSHKA คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MEMCOMP คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MOFCOMP คาดว่าเป็นเทมเพลตของไฟล์ประเภท Windows Management Instrumentation (WMI) Managed Object Format (MOF) ซึ่งสามารถใช้เพื่อทำ Lateral movement ได้
กลุ่ม MSBUILDME คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม MSBuild.
INTRODUCTION
NAT Slipstreaming เป็นเทคนิคการโจมตีช่องโหว่ซึ่งทำให้ผู้โจมตีสามารถเชื่อมต่อเข้าเครือข่ายภายในที่มี Firewall หรือ NAT ขวางอยู่ได้โดยตรง เพียงแค่ผู้ใช้งานเปิดเว็บไซต์ซึ่งถูกสร้างโดยผู้โจมตีที่ออกแบบมาโจมตีช่องโหว่นี้เป็นพิเศษ ลักษณะของช่องโหว่ขึ้นอยู่กับการอิมพลีเมนต์ฟังก์ชันของ NAT ซึ่งส่วนใหญ่แล้วเหมือนกัน ทำให้อุปกรณ์ที่อาจได้รับผลกระทบนั้นสามารถมีได้หลากหลาย
ในบทความนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะมาวิเคราะห์ที่มาของช่องโหว่ แนวคิดซึ่งอยู่เบื้องหลังการโจมตีช่องโหว่ ข้อจำกัดรวมไปถึงแนวทางในการลดผลกระทบจากช่องโหว่ครับ
แม้ว่าต้นตอของช่องโหว่นั้นจะสามารถทำความเข้าใจได้ง่าย แต่ด้วยเงื่อนไขของการโจมตีช่องโหว่ทำให้เนื้อหาอาจมีรายละเอียดเยอะขึ้นและอาจทำให้ผู้อ่านสับสนได้ เราขอแนะนำให้ผู้อ่านทำความเข้าใจจากหัวข้อ Vulnerability Overview ก่อน จากนั้นลองลงรายละเอียดที่สำคัญในหัวข้อย่อยอื่นๆ ที่เกี่ยวข้องต่อไป
Attack Technique Overview
Attack Technique Insights
Understanding NAT Pinning Technique
Fundamental of ALG Attacking
The "Slipping" Part
Write-What-Where in Network Packets
The Need for Leaking Internal Address
Crafting the Exploit
Mitigations
Glossary
References
ATTACK TECHNIQUE OVERVIEW
เทคนิค NAT Slipstreaming เป็นเทคนิคการโจมตีที่อาจเรียกได้ว่าได้รับอิทธิพลมาจากเทคนิค NAT pinning ซึ่งถูกประกาศในปี 2010 ทั้ง 2 เทคนิคมีผู้ค้นพบและทำวิจัยคนเดียวกันคือ Samy Kamkar และมีเป้าหมายเดียวกันคือการโจมตีการทำงานของ NAT ในลักษณะที่ผู้เริ่มต้นการโจมตีมาจากฝั่งผู้ใช้งาน หรือจากภายในสู่ภายนอก และมีผลลัพธ์ที่เหมือนกันคือหากการโจมตีสำหรับนั้น กระบวนการทำงานของ NAT จะถูกข้ามผ่านและทำให้ผู้โจมตีซึ่งอยู่เครือข่ายภายนอกสามารถทะลุกระบวนการทำงานของ NAT เพื่อเข้าถึงเครือข่ายภายในได้โดยตรง
อย่างไรก็ตาม เทคนิคการโจมตี NAT Slipstreaming เจาะจงการโจมตีไปในส่วน Application Level Gateway (ALG) ซึ่งอาศัยการตรวจสอบข้อมูลที่ส่งมาใน application layer เพื่อสนับสนุนการทำงานของ NAT ให้สามารถทำงานได้อย่างถูกต้อง ผู้โจมตีใช้วิธีการสอดแทรกข้อมูลในแพ็คเกต (packet injection) ด้วยโปรโตคอล SIP ไว้ในการส่งข้อมูลจากฟอร์มของเว็บไซต์ผ่านโปรโตคอล HTTP เพื่อหลอกการทำงานของ ALG และส่งที่จุดระเบิดไปให้ฝั่งผู้ใช้ในลักษณะของเว็บเพจ เมื่อผู้ใช้งานเปิดเว็บเพจที่มีโค้ดฝังอยู่ โค้ดดังกล่าวจะส่งผลให้เกิดการเปิดช่องทางการเชื่อมต่อที่ข้ามผ่านการทำงานของ Firewall และ NAT ได้
เทคนิคการโจมตีหลักอยู่ที่การทำให้ผู้ใช้งานซึ่งอยู่ในเครือข่ายภายในสร้างการเชื่อมต่อในโปรโตคอล SIP ออกมาโดยไม่รู้ตัว ทั้งนี้ด้วยเงื่อนไขและความไม่ง่ายที่จะแทรกแพ็คเกตของโปรโตคอล SIP ไว้ในโปรโตคอล HTTP อย่างสมบูรณ์แบบ การที่จะใช้เทคนิคให้สำเร็จจึงต้องมีการอาศัยแนวทางของการทำความเข้าใจกระบวนการทำงานของฟีเจอร์ Connection tracking ใน ALG, การควบคุมของแพ็คเกตด้วยวิธีการอย่าง TCP segmentation หรือ IP fragmentation เมื่อใช้ SIP UDP รวมไปถึงการใช้ WebRTC และ TCP timing attack เพื่อให้องค์ประกอบการโจมตีสมบูรณ์
หากสิ่งที่ผู้อ่านคาดหวังคือการเข้าใจเทคนิค NAT Slipstreaming อย่างเพียงพอ นี่คือจุดสิ้นสุดของเนื้อหาที่เราแนะนำให้ได้อ่าน อย่างไรก็ตามหากผู้อ่านสนใจอย่างแท้จริงถึงที่มาของเทคนิค แนวคิดและความสร้างสรรค์ของนักวิจัยเพื่อแก้ปัญหาในส่วนต่าง ๆ ให้การโจมตีเกิดขึ้นได้จริง เราขอแนะนำให้อ่านรายละเอียดของช่องโหว่ต่อในส่วน Attack Technique Insights ด้านล่างครับ
ATTACK TECHNIQUE INSIGHTS
เนื้อหาในส่วนต่อไปนี้คือส่วนที่จะอธิบายเทคนิคการโจมตี NAT Slipstreaming ในทุกมุมที่ผู้เขียนมีความเข้าใจ เพื่อให้เกิดความเข้าใจในลำดับของเทคนิคอย่างถูกต้อง เราขอเพิ่มคำอธิบายสั้น ๆ ในแต่ละขั้นตอนย่อยดังนี้ครับ
หัวข้อ Understanding NAT Pinning Technique อธิบายแนวคิดของเทคนิคการโจมตี NAT Pinning ที่ส่งผลเป็นอย่างมากต่อการมอง Attack surface และแนวทางในการ Exploit ของ NAT Slipstreaming
หัวข้อ Fundamental of ALG Attack อธิบายใจความสำคัญของเทคนิค NAT Slipstreaming ว่ามีไอเดียการโจมตีหลักเป็นอย่างไร
หัวข้อ The "Slipping" Part อธิบายการนำแนวคิดของการโจมตีมาทำให้เกิดการโจมตีจริง
หัวข้อ Write-What-Where in Network Packets อธิบายการแก้ปัญหาอุปสรรคแรกเพื่อให้การโจมตีสมบูรณ์ โดยการใช้ TCP segmentation และ IP fragmentation
หัวข้อ The Need for Leaking Internal Address อธิบายการแก้ปัญหาในอุปสรรคที่สองเพื่อให้แพ็คเกต SIP ที่จะส่งนั้นถูกต้อง โดยการใช้เทคนิคต่าง ๆ เพื่อให้ได้มาซึ่งหมายเลขไอพีแอดเดรสภายในของเป้าหมาย
หัวข้อ Crafting the Exploit อธิบายการนำองค์ประกอบทั้งหมดมารวมกันเพื่อสร้างเป็นชุดของ Exploit สำหรับเทคนิคนี้
Understanding NAT Pinning Technique
ในปี 2010 ผู้ค้นพบและวิจัยช่องโหว่ NAT Slipstreaming ได้มีการเปิดเผยงานวิจัยชิ้นแรกออกมาในชื่อ NAT Pinning พร้อมกับหน้าตัวอย่างของระบบเพื่อทดสอบเทคนิคการโจมตี การโจมตีโดยใช้เทคนิค NAT Pinning ที่สำเร็จนั้นจะทำให้อุปกรณ์เราท์เตอร์ทำการฟอร์เวิร์ดพอร์ตที่ผู้โจมตีกำหนดออกมา และเป็นช่องทางให้ผู้โจมตีที่อยู่เครือข่ายภายนอกสามารถเข้าถึงผู้ใช้งานที่อยู่ในเครือข่ายภายในได้
NAT Pinning อาศัยการใช้ฟีเจอร์ DCC (Direct Client-to-Client) ในโปรโตคอล IRC ที่ทำให้ผู้ติดต่อสื่อสารระหว่างกันสามารถติดต่อสื่อสารกันได้โดยตรงมาเปิดการใช้งานของ NAT โดยการหลอกล่อให้ผู้ใช้งานภายในร้องขอการเชื่อมไปยังเราท์เตอร์ และให้เราท์เตอร์เปิดและฟอร์เวิร์ดพอร์ตที่ต้องการจากภายนอกเข้ามา ขั้นตอนในเทคนิคการโจมตีสามารถอธิบายอย่างละเอียดได้ดังนี้
ผู้โจมตีหลอกให้ผู้ใช้งานซึ่งเป็นเหยื่อนั้นเข้าถึงเว็บไซต์ที่มีการฝังโค้ดที่เป็นอันตรายเอาไว้
เมื่อผู้ใช้งานเข้าเว็บไซต์ดังกล่าว ฟอร์มที่ถูกฝังไว้ในหน้าเว็บไซต์จะสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ IRC ผ่านโปรโตคอล IRC ที่พอร์ต 6667 (http://attacker.
ผลิตภัณฑ์ CrowdStrike มีการตรวจพบการแจ้งเตือนซึ่งเกิดจากการใช้งานโปรแกรม Internet Explorer โดยมีเนื้อหาของการแจ้งเตือนเกี่ยวข้องกับการทำ heap spraying ซึ่งเป็นหนึ่งในขั้นตอนของการทำ heap overflow ทีมตอบสนองการโจมตีและภัยคุกคามจึงทำการตรวจสอบเหตุการณ์ที่เกิดขึ้นว่าการแจ้งเตือนดังกล่าวมีแนวโน้มว่าจะเป็นการโจมตีช่องโหว่หรือไม่
Sample Alert
Analysis Goal
ทำการตรวจสอบการแจ้งเตือนเพื่อยืนยันว่าเหตุการณ์ที่เกิดขึ้นเป็นการโจมตีหรือไม่ รวมไปถึงประเมินแนวทางที่จำเป็นเพื่อทำการตรวจสอบ ลดผลกระทบและจัดการความเสี่ยงต่อไป
Analysis Procedures
จากการแจ้งเตือนที่ได้รับ ทีมตอบสนองการโจมตีและภัยคุกคามได้เข้าตรวจสอบรายละเอียดเหตุการณ์ที่เกิดขึ้น โดยรายละเอียดของเหตุการณ์ในส่วนของ Indicator of Attack (IOA) Name มีการระบุว่าการแจ้งเตือนมาจาก HeapSprayAttempted ในโปรเซสย่อยของ iexplore.
โดยปกตินั้นไอ-ซีเคียวจะมีการกระจายข่าวการอัปเดตประจำเดือนของแพตช์จากไมโครซอฟต์ในลักษณะของ "ข่าวสั้น" ซึ่งจะปรากฎทาง Blog และ Facebook แต่จากการประเมินแพตช์ในเดือนตุลาคม 2020 แล้ว เราตัดสินใจที่จะลงรายละเอียดให้ลึกกว่าเดิมด้วยความเชื่อที่ว่ามันอาจจะช่วยให้การแพตช์ได้รับความสนใจและถูกเห็นความสำคัญมากยิ่งขึ้นว่ามันอาจจะช่วยชีวิตเราได้ในอนาคตจริง ๆ
ในโพสต์นี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปแพตช์และช่องโหว่ซึ่งประกาศใหม่ รวมไปถึงลงรายละเอียดช่องโหว่ที่น่าสนใจอย่าง Bad Neighbor และช่องโหว่ RCE ใน SharePoint เพิ่มเติมครับ
Overview
CVE-2020-16898 "Bad Neighbor" Vulnerability
CVE-2020-16952 SharePoint RCE Vulnerability
Overview
ในรอบเดือนตุลาคม 2020 นี้ ไมโครซอฟต์มีการประกาศแพตช์มาซึ่งครอบคลุมช่องโหว่ 87 รายการ แยกตามกลุ่มผลิตภัณฑ์ของไมโครซอฟต์ดังนี้
กลุ่ม Windows กระทบ Windows 8.1, 8.1 RT, 10, Server 2012, 2016, 2019 มีทั้งหมด 53 ช่องโหว่
กลุ่ม Office, Office Service และ Office Web Apps มีทั้งหมด 23 ช่องโหว่
กลุ่ม Azure Functions มีทั้งหมด 2 ช่องโหว่
กลุ่ม Dynamics มีทั้งหมด 4 ช่องโหว่
กลุ่ม Exchange Server, Visual Studio, PowershellGet, .NET Framework และ Flash Player for Edge and IE มีทั้งหมดกลุ่มละ 1 ช่องโหว่
แยกทั้งหมด 87 ช่องโหว่และกลุ่มผลิตภัณฑ์ที่ได้รับแพตช์ด้านบน ทีมตอบสนองการโจมตีและภัยคุกคามขอสลับมาดูในมุมของผลกระทบจากช่องโหว่ (impact/severity) ซึ่งเป็นจะปัจจัยสำคัญในการทำ prioritization โดยช่องโหว่ที่ถูกระบุว่ามีผลกระทบที่สูงตามมาตรฐานของ CVSSv3 ทั้งหมด 5 อันดับแรก ซึ่งมีตามรายการดังนี้
CVE-2020-16898 "Bad Neighbor" เป็นช่องโหว่ remote code execution ใน Windows IPv6 stack (CVSSv3: 9.8)
CVE-2020-16891 เป็นช่องโหว่ remote code execution ใน Windows Hyper-V (CVSSv3: 8.8)
CVE-2020-16911 เป็นช่องโหว่ remote code execution ใน Windows Graphics Device Interface (GDI) (CVSSv3: 8.8)
CVE-2020-16952 เป็นช่องโหว่ remote code execution ใน Windows SharePoint (CVSSv3: 8.6)
CVE-2020-16947 เป็นช่องโหว่ remote code execution ในซอฟต์แวร์ Microsoft Outlook (CVSSv3: 8.1)
แม้จะยังไม่มีการเผยแพร่ของโค้ดสำหรับโจมตีช่องโหว่ (exploit) ออกมา แต่มีการตรวจพบการใช้ช่องโหว่ 6 รายการจากทั้งหมด 87 รายการจากการโจมตีจริงแล้ว ซึ่งอาจแปลความหมายได้ว่ามีการโจมตีโดยใช้ช่องโหว่เกิดขึ้นก่อน และการตรวจจับการโจมตีนั้นนำไปสู่การค้นพบช่องโหว่ใหม่ ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว ณ วันที่บทความนี้ถูกเขียน ได้แก่
CVE-2020-16937 เป็นช่องโหว่ information disclosure ใน .NET Framework
CVE-2020-16909 เป็นช่องโหว่ privilege escalation ใน Windows Error Reporting
CVE-2020-16901 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16938 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16908 เป็นช่องโหว่ privilege escalation ใน Windows Setup
CVE-2020-16885 เป็นช่องโหว่ privilege escalation ใน Windows Storage VSP Driver
CVE-2020-16898 "Bad Neighbor" Vulnerability
Vulnerability Details
ทีม McAfee Advanced Threat Research พบช่องโหว่ใน Windows IPv6 stack ซึ่งทำให้ผู้โจมตีสามารถส่งแพ็คเกตแบบพิเศษมายังเป้าหมายที่มีช่องโหว่ จากนั้นรันโค้ดที่เป็นอันตรายในระบบที่มีช่องโหว่ได้ทันที ช่องโหว่นี้มีคุณลักษณะ Wormable ซึ่งหมายถึงสามารถถูกใช้ในการแพร่กระจายของมัลแวร์แบบเวิร์มได้ เช่นเดียวกันช่องโหว่ EternalBlue ที่ถูกใช้โดย WannaCry
ช่องโหว่มีที่มาจากการที่ Windows TCP/IP stack จัดการแพ็คเกตจากโปรโตคอล ICMPv6 Router Advertisement ซึ่งมีการใช้ Option Type 25 (Recursive DNS Server Option) กับค่าในฟิลด์ length เป็นเลขคู่อย่างไม่เหมาะสม ในเบื้องหลังการทำงานซึ่งทำให้เกิดช่องโหว่ Windows มีการทำงานผิดพลาดในส่วนของการจัดการค่าในฟิลด์ length ให้สอดคล้องกับที่ระบุไว้ใน RFC 8106 ซึ่งค่าที่ฟิลด์ length ควรจะต้องเป็นเลขคี่ที่มีค่า 3 เป็นอย่างน้อย
เมื่อมีการส่งค่าในฟิลด์ length เป็นเลขคู่เข้ามา Windows TCP/IP stack จะการจองพื้นที่ในหน่วยความจำเล็กกว่าความเป็นจริงทั้งหมด 8 ไบต์ ซึ่งส่งผลให้เกิดเงื่อนไขของช่องโหว่ประเภท buffer overflow ซึ่งนำไปสู่การโจมตีแบบ denial of service และ remote code execution ได้
ทีม McAfee Advanced Threat Research ให้ความเห็นว่าช่องโหว่ Bad Neighbor จำเป็นจะต้องถูกใช้ร่วมกับช่องโหว่อื่นเพื่อให้สามารถนำไปใช้โจมตีได้จริง สอดคล้องกับทาง SophosLabs ซึ่งลงความเห็นการทำให้ช่องโหว่นำมาใช้เพื่อทำ remote code execution นั้นทำได้ยาก
Attack Surface
ช่องโหว่นี้กระทบ Windows 10 ตั้งแต่รุ่น 1709 จนถึง 2004 และ Windows Server 2019
Detection
ทีม McAfee Advanced Threat Research ให้ความเห็นว่าการตรวจจับการโจมตีช่องโหว่สามารถทำได้ง่ายโดยการตรวจสอบแพ็คเกต ICMPv6 ที่เข้ามาในระบบ โดยให้ตรวจสอบตามเงื่อนไขดังนี้
ตรวจหาแพ็คเกต ICMPv6 ที่มีการกำหนดฟิลด์ Type เป็น 134 ซึ่งหมายถึง Router Advertisement หรือไม่
ตรวจหาว่าการกำหนด ICMPv6 ฟิลด์ Option เป็น 25 ซึ่งหมายถึง Recursive DNS Server (RDNSS) หรือไม่
ตรวจสอบว่าในส่วน RDNSS option นี้มีการกำหนดในฟิลด์ length เป็นเลขคู่หรือไม่
หากแพ็คเกตมีลักษณะครบตามทั้ง 3 เงื่อนไข ให้ทำการบล็อคแพ็คเกตดังกล่าวทันทีเนื่องจากอาจเป็นไปได้ว่าเป็นความพยายามโจมตีช่องโหว่ Bad Neighbor
ทีม McAfee Advanced Threat Research ยังมีการเผยแแพร่ Suricata signature และ Lua script ในช่วยตรวจจับการพยายามโจมตีช่องโหว่เอาไว้ด้วยที่ advanced-threat-research/CVE-2020-16898
Mitigation
การลดผลกระทบหรือลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ Bad Neighbor มีได้หลายวิธีการ ได้แก่
ปิดการใช้งาน IPv6 ในเน็ตเวิร์คอินเตอร์เฟสที่ไม่มีความจำเป็นต้องใช้ (อาจส่งผลกระทบต่อบางฟีเจอร์ของระบบ)
บล็อคหรือดรอปแพ็คเกต IPv6 ที่มีคุณลักษณะที่ไม่จำเป็นต้องการใช้งานที่ network perimeter โดยเฉพาะอย่างยิ่ง ICMPv6 Router Advertisements
ในขณะนี้ Windows Defender และ Windows Firewall ยังไม่สามารถบล็อคการทดลองโจมตีด้วย Proof of Concept ได้
อาจเป็นไปได้ที่ผู้โจมตีมีการใช้วิธีการ tunneling ให้สามารถส่ง ICMPv6 ผ่าน IPv4 มาได้ด้วยเทคโนโลยีอย่าง 6to4 หรือ Teredo อย่างไรก็ตามยังไม่มีการตรวจสอบในประเด็นนี้ว่าสามารถทำได้จริงหรือไม่
CVE-2020-16952 SharePoint RCE Vulnerability
Vulnerability Details
ทีม Source Incite พบช่องโหว่ใน Windows SharePoint ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายในระบบด้วยสิทธิ์ของผู้ดูแลระบบได้ การโจมตีจะต้องมีการพิสูจน์ตัวตนก่อน ซึ่งหมายถึงว่าผู้โจมตีจะต้องมีบัญชีอยู่ในระบบก่อน
ช่องโหว่นี้เกิดขึ้นในคลาส Microsoft.