ต้นเหตุเพราะปลั๊กอิน! เว็บหน่วยงานราชการ UK ติด CoinHive กว่า 4,000 เว็บไซต์

เว็บหน่วยงานราชการของอังกฤษตกเป็นเป้าหมายการโจมตีอีกครั้งหลังจากแฮกเกอร์ทำการโจมตีช่องโหว่บนปลั๊กอิน Browsealoud เพื่อฝังสคริปต์สำหรับสร้างผลกำไรในสกุลเงินออนไลน์เสมือนกว่า 4,000 เว็บไซต์

ปลั๊กอินเจ้าปัญหา Browsealoud นั้นเป็นปลั๊กอินที่ช่วยให้ผู้พิการสามารถใช้งานเว็บไซต์ได้ง่ายมากขึ้น ในขณะเดียวกัน Texthelp ซึ่งเป็นผู้ผลิตปลั๊กอินดังกล่าวยืนยันว่าในขณะนี้ปลั๊กอิน Browsealoud กำลังถูกตรวจสอบเพื่อหาปัญหาด้านความปลอดภัยอย่างถี่ถ้วนอีกครั้ง และยืนยันว่าไม่มีการเข้าถึงหรือการขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้งานใดๆ
Recommendation หากเว็บไซต์ใดมีการใช้งาน Browsealoud อยู่ ทาง Texthelp ได้แนะนำให้ผู้ดูแลเว็บไซต์หรือระบบนำปลั๊กอินออกก่อน จนกว่าจะมีรายละเอียดและแพตช์ด้านความปลอดภัยที่สามารถช่วยลดผลกระทบได้

ที่มา : hackread

นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์

McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้

อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด

ที่มา : securingtomorrow.

ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี

Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว

ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้

ที่มา : Bleepingcomputer

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.

สรุปย่อ
นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์

ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่
รายละเอียดของช่องโหว่

สำหรับช่องโหว่ Meltdown (CVE-2017-5754 หรือ Variant 3) นั้น มีที่มาในเบื้องต้นจากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution ซึ่งเป็น "การทำงานล่วงหน้า" ในชุดคำสั่งใดๆ ไปก่อนจนกว่าจะมีการพิสูจน์จากเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ ว่าเงื่อนไขถูกต้องจริง โดยมีพฤติกรรมในการนำข้อมูลเข้าและออกจากจากหน่วยความจำอย่างไม่มีการควบคุมและข้ามผ่านกระบวนการใดๆ ที่คอยควบคุมการเข้าถึงข้อมูลอยู่

ด้วยพฤติกรรมดังกล่าว ผู้โจมตีสามารถบังคับให้เกิด "การทำงานล่วงหน้า" ซึ่งเข้าถึงข้อมูได้ไม่จำกัดไปซ้ำๆ ซึ่งถูกแม้ว่าข้อมูลที่ถูกโหลดมาจะถูกนำออกไปจากหน่วยความจำแล้วเนื่องจากเงื่อนไขในการทำงานไม่เป็นจริง แต่ก็มีพฤติกรรมบางอย่างของซีพียูที่ทำให้ผู้โจมตีสามารถค้นหาและเข้าถึงข้อมูลที่ยังหลงเหลืออยู่ได้

ในส่วนของช่องโหว่ Spectre นั้น ตัวช่องโหว่เองก็มีการใช้ประโยชน์จาก speculative execution แต่ด้วยลักษณะที่ต่างออกไป 2 ลักษณะ

ลักษณะที่ 1 (Variant 1): ฟีเจอร์ speculative execution จะถูกใช้ในลักษณะที่คล้ายกับ Meltdown แต่มีเป้าหมายอยู่เพียงในระดับโปรเซส ซึ่งทำให้เกิดการเข้าถึงข้อมูลเกินขอบเขตที่ได้รับอนุญาตให้เข้าถึงได้
ลักษณะที่ 2 (Variant 2): ด้วยการทำงานของฟีเจอร์ speculative execution ผู้โจมตีสามารถบังคับให้เกิด "การทำงานหน้าล่วงหน้า" ในโค้ดของโปรเซสใดๆ ที่มีการทำงานอยู่ในหน่วยซีพียูเดียวกัน แล้วใช้วิธีการใน Variant 1 เพื่อเข้าถึงข้อมูลของโปรเซสอื่นๆ ที่กำลังประมวลผลอยู่ได้

ผลกระทบ
ทั้งช่องโหว่ Meltdown และ Spectre ส่งผลให้โปรเซสซึ่งมีการทำงานที่ต่ำสามารถเข้าถึงข้อมูลของโปรเซสอื่นๆ รวมไปถึงข้อมูลที่กำลังถูกประมวลผลอยู่ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูงได้ โดยทั้งสองช่องโหว่ต่างมีความจำเป็นที่จะต้องมีการรันโค้ดที่เป็นอันตรายในระบบเพื่อโจมตีช่องโหว่

อย่างไรก็ตามช่องโหว่ Meltdown และ Spectre ไม่ได้ส่งผลกระทบที่ทำให้เกิดการเปลี่ยนแปลงข้อมูลที่เข้าถึงได้ สามารถถูกใช้ได้เพียงแค่การเข้าถึงและอ่านได้เพียงอย่างเดียวเท่านั้น

ในขณะนี้ไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
อุปกรณ์/ระบบที่ได้รับผลกระทบ
อุปกรณ์และระบบที่ได้รับผลกระทบนั้นสามารถแย่งตามช่องโหว่ได้ดังนี้

ช่องโหว่ Meltdown จะมีอยู่ในอุปกรณ์ที่ใช้ซีพียู Intel ที่ถูกผลิตตั้งแต่ปี 1995 (ยกเว้น Intel Intanium และ Intel Atom ก่อนหน้าปี 2013) รวมไปถึงซีพียู ARM ในบางรุ่น อย่างไรก็ตามในเวลานี้ยังไม่มีความแน่ชัดว่าซีพียู AMD นั้นได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ช่องโหว่ Spectre จะมีอยู่ในอุปกรณ์ทุกอุปกรณ์ที่ใช้ซีพียู Intel, AMD และ ARM

ขั้นตอนแนะนำและแผนในการตอบสนองการเกิดขึ้นของช่องโหว่

ตรวจสอบผลกระทบของช่องโหว่กับอุปกรณ์ที่มีอยู่ โดยสำหรับผู้ใช้งานระบบปฏิบัติการวินโดวส์สามารถใช้โปรแกรม SpecuCheck หรือโมดูลของ powershell ชื่อ SpeculationControl เพื่อตรวจสอบการมีอยู่ของช่องโหว่ได้ และสำหรับผู้ใช้งานระบบปฏิบัติการลินุกซ์ก็สามารถใช้โปรแกรม spectre-meltdown-checker ในการตรวจสอบการมีอยู่ของช่องโหว่ได้เช่นเดียวกัน  
หากไม่แน่ใจว่าได้รับผลกระทบจากช่องโหว่หรือไม่ หรือไม่สามารถใช้โปรแกรมในการตรวจสอบการมีอยู่ของช่องโหว่ได้ ให้ทำการตรวจสอบจากประกาศของผู้ผลิตฮาร์ดแวร์และบริการตามรายการดังต่อไปนี้  
ดำเนินการแพตช์ช่องโหว่โดยพิจารณาตามความจำเป็น เนื่องจากแพตช์ของช่องโหว่อาจส่งผลต่อประสิทธิภาพการทำงานของระบบที่น้อยลงและอาจไม่ได้ช่วยป้องกันการโจมตีช่องโหว่ในทุกกรณี
ติดตามข่าวสารด้านความปลอดภัยเพื่อตรวจสอบแพตช์ในรุ่นใหม่ๆ ซึ่งอาจมีการแก้ปัญหาในเรื่องของประสิทธิภาพการทำงานและการป้องกันช่องโหว่

แหล่งอ้างอิง

Google Online Security Blog.

พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494 ซึ่งหากมีการใช้งาน SAMBA อยู่แนะนำให้รีบ update เพื่อลดความเสี่ยง

ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา : samba.

ในช่วงก่อนหน้านี้ เรามักจะพบ Virus, Trojan, Worm ในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีคนไทยไม่น้อยที่ติด Ransomware โดย Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall นั่นเอง

ขั้นตอนการทำงานของ Ransomware

พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service และฝังการทำงานของ service ไปยัง Registry ของเครื่อง เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
Ransomware ติดต่อกลับไปยังเครื่อง C&C Server(Command and Control Server) ของ Hacker เพื่อ download key สำหรับการเข้ารหัสและ config ต่างๆของภายใน Ransomware พร้อมทั้งลงทะเบียนกับ C&C Server เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
นำ Key และ config ที่ได้รับจาก C&C Server มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker

วิธีการป้องกัน Ransomware

ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
Scan file ใดๆก็แล้วแต่ที่ถูกส่งมาใน email หรือที่ download จากเว็บไซด์ใดๆ ด้วย Antivirus ก่อนใช้งาน หรือหากไม่สะดวกในการใช้งาน Antivirus ให้ทำการ upload ไฟล์เหล่านั้นไปยังเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.

ในอดีตเมื่อ 10-20 ปีที่แล้ว หากพูดว่าเราทุกคนสามารถทำงานหรือใช้ชีวิตอยู่กับบ้านได้ โดยที่เรายังคงทำงาน พูดคุยซื้อขายของ ได้อย่างปกติคงเป็นเรื่องเพ้อฝันไม่น้อย แต่พอมาถึงวันนี้ วันที่ตู้เย็นสามารถสั่งของให้ได้เองอัตโนมัติ วันที่เราสามารถประชุมงานสำคัญผ่านระบบ video conference ได้ วันที่เราสามารถขายของออนไลน์ได้ตลอด 24 ชม. คงต้องบอกว่าทุกบริการหรือการใช้งานล้วนแต่เข้าสู่ระบบการให้บริการออนไลน์ทั้งหมดทั้งสิ้น ทำให้การสร้างความปลอดภัยของระบบจึงเป็นปัจจัยหนึ่งที่สิ่งสำคัญมาก เพื่อให้ธุรกิจขององค์กรต่างๆเดินหน้าต่อไปได้อย่างต่อเนื่อง หลักสำคัญหนึ่งของการสร้างความปลอดภัยของระบบคือการทำให้ระบบพร้อมใช้งานทุกเมื่อ ซึ่งอุปสรรคของการพร้อมใช้งานเป็นไปได้หลายประการ ไม่ว่าจะเป็น การเกิดภัยพิบัติ การเกิดเหตุจลาจล ฮาร์ดแวร์มีปัญหา บัคของระบบ และสิ่งที่อาจเกิดขึ้นได้บ่อยที่สุดคือการพยายามโจมตีเพื่อให้ไม่สามารถใช้บริการได้(Denial of Service หรือเรียกสั้นๆว่า DoS ) การโจมตีดังกล่าวสร้างปัญหาให้กับผู้ให้บริการต่างๆมากมาย ไม่ว่าจะเป็นผู้ให้บริการขนาดเล็กอย่างเว็บไซด์ หรือเว็บ Hosting ทั่วไป ไล่ไปจนถึงผู้ให้บริการขนาดใหญ่อย่างระดับ ISP เลยครับ โดยในบทความนี้จะพูดถึงการโจมตีแบบ Denial of Service ที่เป็นปัญหาเหล่านี้ครับ

ตรวจสอบ version OpenSSL ที่ใช้งาน
openssl version -aหากเป็น version 1.0.1, 1.0.1a-1.0.1f หรือ 1.0.2-beta แสดงว่าเป็นเวอร์ชั่นที่มีความเสี่ยงที่จะมีช่องโหว่

ทดสอบว่ามีช่องโหว่หรือไม่จากเว็บไซด์ดังต่อไปนี้

https://www.