News

IBM เเก้ไขช่องโหว่ SSRF ใน Maximo Asset Management ที่จะช่วยให้สามารถโจมตีเครือข่ายขององค์กรได้

IBM ได้เปิดเผยถึงการเเก้ไขช่องโหว่ที่มีความรุนเเรงสูงใน Maximo Asset Management โดยถูกติดตามด้วยรหัส CVE-2020-4529 ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าโจมตีเครือข่ายภายในองค์กรได้

IBM ได้รับการรายงานช่องโหว่โดย Andrey Medov และ Arseniy Sharoglazov จาก Positive Technologies ซึ่งอธิบายว่าช่องโหว่ CVE-2020-4529 (CVSS: 7.3) เป็นช่องโหว่ Server Side Request Forgery (SSRF) ช่องโหว่อาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์ทำการร้องขอคำสั่งจากระบบซึ่งอาจนำไปสู่การโจมตีอื่นๆ ในระบบเครือข่ายได้

ช่องโหว่นี้มีผลกระทบกับ Maximo Asset Management เวอร์ชั่น 7.6.0 และ 7.6.1

IBM ได้ออกเเพตซ์การเเก้ไขช่องโหว่ใน IBM Maximo เวอร์ชัน 7.6.0.4 ผู้ใช้งานและผู้ดูแลระบบควรทำการอัพเดตและทำการติดตั้งให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบเครือข่ายภายใน

ที่มา: securityaffairs

 

Kaspersky ICS CERT ได้มีการเปิดเผยผลการตรวจสอบเพิ่มเติมอ้างอิงจากไฟล์ของมัลแวร์เรียกค่าไถ่ SNAKE ซึ่งมีส่วนเกี่ยวข้องกับการโจมตี Honda และบริษัทด้านพลังงาน Enel Group ในช่วงที่ผ่านมา โดยผลการตรวจสอบมาจากการนำโค้ดของมัลแวร์ SNAKE มาวิเคราะห์ระบุหาเวอร์ชันอื่นเพิ่มเติม

ผลลัพธ์ของการตรวจสอบเปิดเผยพฤติกรรมของผู้โจมตีที่น่าสนใจได้ตามประเด็นดังนี้

มัลแวร์ SNAKE เกือบทุกสายพันธุ์ถูกปรับแต่งมาให้พยายามเชื่อมต่อไปที่โดเมนเนมภายในของเป้าหมายเสมอ เพื่อให้สามารถทำงานได้เฉพาะเป้าหมายที่กำหนดเท่านั้น ซึ่งหมายความแฮกเกอร์จะต้องรู้ลักษณะเครือข่ายก่อนลงมือด้วย
แฮกเกอร์มีขั้นตอนมากกว่าหนึ่งขั้นตอนในการสร้างความเสียหาย โดยอาจพยายามเข้าถึงและขโมยข้อมูลออกไปก่อนจะเริ่มการทำงานของมัลแวร์เรียกค่าไถ่
แฮกเกอร์มีการใช้ Domain policy ในการช่วยแพร่กระจายมัลแวร์เรียกค่าไถ่ ซึ่งหมายความว่าแฮกเกอร์จำเป็นที่จะต้องมีสิทธิ์ที่เทียบเท่ากับ Domain admin ก่อนถึงจะดำเนินการได้
Kaspersky ยังระบุถึงกลุ่มเป้าหมายของ SNAKE ซึ่งพุ่งเป้าอย่างชัดเจนไปยังกลุ่มธุรกิจยานยนต์และผู้ผลิตชิ้นส่วนซึ่งใช้ในอุตสาหกรรม โดยในปัจจุบันมีการยืนยันการโจมตีแล้วที่จีน, ญี่ปุ่นและประเทศในกลุ่มยุโรป

ข้อมูลเพิ่มเติมสำหรับมัลแวร์ ค่าแฮชสำหรับใช้ในการตรวจจับและคำแนะนำในการป้องกันเครือข่ายสามารถดูเพิ่มเติมได้จากแหล่งที่มาข่าว

ที่มา: ics-cert.

บริษัทผู้ให้บริการรักษาความปลอดภัยบนไซเบอร์ REDTEAM.PL จากประเทศโปแลนด์ ได้เปิดเผยถึงมัลแวร์ตัวใหม่จากกลุ่มผู้พัฒนา Black Kingdom Ransomware ซึ่งทำมีเป้าหมายการโจมตีเครือข่ายขององค์กรต่างๆ ด้วยช่องโหว่จาก Pulse Secure VPN (CVE-2019-11510) ที่ยังไม่ได้ทำการเเพตซ์ความปลอดภัยบนซอฟต์แวร์ Pulse Secure VPN

Black Kingdom Ransomware ถูกพบครั้งแรกในปลายเดือนกุมภาพันธ์โดยนักวิจัยด้านความปลอดภัย GrujaRS
โดยมัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนนามสกุลของไฟล์เป็น .DEMON หลังจากเข้ารหัสไฟล์แล้วจะทิ้งโน๊ตหมายเหตุเรียกค่าไถ่การเข้ารหัสไฟล์ ซึ่งเป้นเงินจำนวน $10,000 หรือ 312,000 บาท

ข้อเเนะนำ
ผู้ใช้งานหรือผู้ดูแลระบบขององค์กรควรทำการตรวจสอบซอฟต์แวร์ Pulse Secure VPN และทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชั่นล่าสุดและควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีด้วย Ransomware

ทั้งนี้นักวิจัยได้ทำการวิเคราะห์ Black Kingdom Ransomware และ IOCs ผู้ที่สนใจสามารถเข้าไปดูได้ที่: any.

Microsoft ได้ออกเผยแพร่รายงานซึ่งมีรายละเอียดของการโจมตี Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) ซึ่งอยู่ใน Kubernetes

Yossi Weizman นักวิจัยด้านความปลอดภัยของ Microsoft Azure Security Center ได้ออกมาเปิดเผยถึงการโจมตีว่า การโจมตีเกิดขึ้นตั้งแต่เดือนเมษายนที่ผ่านมา และสามารถตรวจจับกลุ่มที่ทำการโจมตี Kubernetes Cluster นี้ได้ 10 กลุ่มด้วยกันโดยเป้าหมายของการโจมตีนั้นพุ่งเป้าไปที่ Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) โดยโหนดของ ML นั้นจะมีประสิทธิภาพค่อนข้างสูง ผู้โจมตีจึงกำหนดเป้าหมายเพื่อใช้โหนดในการติดตั้งแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman กล่าวว่าตั้งแต่เดือนเมษายนกลุ่ม Cryptomining ได้สแกนหา Dashboard ของผู้ดูแลระบบที่สามารถเข้าถึงผ่านอินเทอร์เน็ตเมื่อสามารถเข้าถึงได้จะทำการ Deploy ตัว Server Image ตัวใหม่ลงบน Kubeflow Cluster เพื่อที่จะสามารถใช้งาน XMRig ซึ่งเป็นแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman ได้ออกคำเเนะนำผู้ดูแลระบบเซิร์ฟเวอร์ให้ทำการตรวจสอบ Kubeflow Instances ว่าถูกบุกรุกหรือไม่โดยมีวิธีการตรวจสอบดังนี้

ให้ทำการตรวจสอบว่าใน Container นั้นมีการ Deploy Server Images ที่ไม่รู้จักหรือไม่ โดยสามารถใช้คำสั่งทำการตรวจสอบดังนี้
kubectl get pods –all-namespaces -o jsonpath=" {.items[*].spec.

Google เปิดตัว Beta สำหรับ Android เวอร์ชั่น 11 ให้ผู้พัฒนาได้ทดสอบระบบปฏิบัติการโดย Google กล่าวว่า Android เวอร์ชั่น 11 นี้จะปรับปรุงด้านความปลอดภัยและความเป็นส่วนตัวที่มากยิ่งขึ้นและออกแบบมาเพื่อให้ระบบปฏิบัติการปกป้องข้อมูลของผู้ใช้จากการโจมตีที่เป็นอันตราย

ในด้านความความเป็นส่วนตัวนั้น Google ได้เพิ่มระบบ one-time permission เพื่อใช้ในการเข้าถึงสภาพเเวดล้อมต่างๆ ของอุปกรณ์ ตัวอย่างเช่น Android เวอร์ชั่น 11 จะอนุญาตให้ผู้ใช้อนุญาตให้แอปที่มีสิทธิ์ชั่วคราวสามารถเข้าถึงไมโครโฟนและกล้องของอุปกรณ์โดยใช้ one-time permission เมื่อผู้ใช้จะเปิดแอปเหล่านี้ในครั้งต่อไปผู้ใช้จะได้รับแจ้งอีกครั้งเพื่อให้แอปได้รับอนุญาตให้เข้าถึงข้อมูลที่เกี่ยวข้องกับไมโครโฟนหรือกล้องและ Android เวอร์ชั่น 11 ยังมีฟีเจอร์รีเซ็ตสิทธิ์การใช้งานของแอพที่ผู้ใช้ไม่ได้ใช้งานเป็นเวลานานหรืออาจเป็นเวลาสองสามเดือนโดยอัตโนมัติ

ส่วนในด้านความปลอดภัยนั้น Android เวอร์ชั่น 11 จะทำการเข้ารหัสข้อมูลของผู้ใช้ทันทีหลังจากการอัปเดตแบบ Over-The-Air (OTA) โดยไม่ต้องป้อนข้อมูลรับรองจากผู้ใช้ นอกจากนี้ Android เวอร์ชั่น 11 จะบล็อกการเข้าถึงข้อมูลการใช้แอปของผู้ใช้จนกว่าอุปกรณ์จะถูกปลดล็อคเป็นครั้งแรกหลังจากรีสตาร์ทหรือผู้ใช้สลับไปยังบัญชีของผู้ใช้

ปัจจุบันมือถือที่สามารถรองรับ Android เวอร์ชั่น 11 ในตัว Beta ที่ใช้ทดสอบระบบนั้นนี้คือ Google Pixel 2, 3, 3a, และ 4

ที่มา: bleepingcomputer

WordPress ได้ประกาศการอัปเดตซอฟต์แวร์เวอร์ชั่นใหม่ 5.4.2 โดยเวอร์ชั่นใหม่นี้มีการแก้ไขข้อบกพร่องในการใช้งานทางด้านความปลอดภัยที่พบในรุ่นก่อนหน้าทั้งหมดจำนวน 23 รายการ โดยรายละเอียดการเเก้ไขปัญหามีดังนี้

ช่องโหว่ Cross-site scripting (XSS) ถูกค้นพบโดย Sam Thomas (jazzy2fives) ซึ่งช่องโหว่จะสามารถทำให้ผู้ใช้มีการยืนยันตัวตนที่มีสิทธิ์ต่ำสามารถเพิ่ม JavaScript เข้าไปในโพสต์ของช่องเครื่องมือ Block editor
ช่องโหว่ Cross-site scripting (XSS) ถูกค้นพบโดย Props to Luigi - (gubello.

นักวิจัยด้านความปลอดภัย Kushal Arvind Shah จาก FortiGuard Labs ได้เปิดเผยถึงช่องโหว่ใน Windows Diagnostics & feedback (CVE-2020-1296) ซึ่งช่องโหว่จะสามารถทำให้ผู้ใช้งานทั่วไปสามารถเปลี่ยนการตั้งค่าของผู้ดูแลระบบได้

ช่องโหว่ CVE-2020-1296 นั้นเกิดจากการตั้งค่า Windows Diagnostic Data Feedback ซึ่งผู้ที่สามารถตั้งค่าได้คือผู้ดูแลระบบเท่านั้น โดยการตั้งค่า Diagnostics & Feedback นั้นคือการตั้งค่าว่าจะส่งข้อมูลการวินิจฉัยทั้งหมดไปยัง Microsoft เพื่อทำการวิเคราะห์ในกรณีที่เกิดข้อขัดข้องหรือความผิดปกติอื่นๆ ที่ตรวจพบเมื่อผู้ดูแลระบบทำการตั้งค่า Diagnostics & Feedback เป็นแบบ Full นั้นจะทำให้ผู้ใช้บัญชีอื่นในเครื่องสามารถตั้งค่า Windows Diagnostic Data feedback ได้เช่นเดียวกับผู้ดูแลระบบ

แม้ว่าปัญหาที่เกิดขึ้นจะดูเล็กน้อย Shah กล่าวว่าการตั้งค่านี้ถูกจัดอยู่ในกลุ่มช่องโหว่ "Security bypass" ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำสามารถเปลี่ยนการตั้งค่าในการรับแพตช์ความปลอดภัย รวมไปถึงทำให้ความปลอดภัยของระบบในภาพรวมลดลงได้

รุ่นที่ได้รับผลกระทบ Windows 10 Version 1809, 1903, 1909 สำหรับ 32 bit และ 64 bit , Windows Server 2019, 1903, 1909 (Server Core)

คำแนะนำสำหรับการแก้ไขช่องโหว่ผู้ใช้ควรทำการติดตั้งแพตซ์อัปเดตจาก Microsoft ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:

bleepingcomputer
portal.

ทีมนักวิจัยด้านความปลอดภัยจาก Recorded Fiuture ได้มีการเปิดเผยถึง Ransomware-as-a-service (RaaS) ชนิดใหม่ที่ถูกเรียกว่า Thanos ซึ่งปัจจุบันกำลังได้รับความนิยมเพิ่มขึ้นในฟอรัมใต้ดินหลายแห่ง โดยมัลแวร์เรียกค่าไถ่ Thanos นี้มีฟีเจอร์ในการแพร่กระจายและการขโมยข้อมูลอยู่ในตัวเองได้

หนึ่งในความน่าสนใจที่ทำให้มัลแวร์เรียกค่าไถ่ Thanos ได้รับความนิยมสูงขึ้นนั้นคือการที่มัลแวร์มีการใช้เทคนิค RIPlace ในการหลบหลีกการตรวจจับในระหว่างการเข้ารหัสไฟล์ เทคนิค RIPace นี้ใช้การฟังก์ชัน DefineDosService() ในการช่วยสร้างและจัดการไฟล์ที่ถูกเข้ารหัส ส่งผลให้โปรแกรมป้องกันมัลแวร์ไม่สามารถตรวจจับได้

Thanos ถูกพบครั้งแรกในเดือนตุลาคม 2019 และได้รับการพัฒนาอย่างต่อเนื่อง โดยนอกจากการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ปกติแล้ว Thanos ยังมีฟังก์ชั่น ftp_file_exfil() ซึงฟังก์ชั่นนี้จะทำให้สามารถคัดลอกไฟล์และทำการส่งกลับไปยังเซิร์ฟเวอร์ FTP ของผู้โจมตี รวมไปถึงการใช้เครื่องมือในการทดสอบเจาะระบบ SharpExec ซึ่งเป็นเวอร์ชัน C# ของโปรแกรม PsExec ในการเเพร่กระจายตัวไปยังอุปกรณ์ที่อยู่ในเครือข่ายด้วย

ผู้ใช้ควรทำการระมัดระวังในการใช้งานเช่น การเปิดอีเมลจากผู้ใช้งานที่ไม่รู้จักหรือการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีจากแรนซัมแวร์

ที่มา:

threatpost
bleepingcomputer

 

Sunday Times ได้รายงานว่าบัตรที่ผูกบัญชีและบัตรที่เกี่ยวข้องกับธุรกรรมของ Postbank ซึ่งเป็นจำนวน 12 ล้านใบ
มีความเสี่ยงที่จะถูกละเมิดบัญชีที่ใช้ในธนาคารหลังจากตรวจพบว่าพนักงานของ Postbank ทำการขโมย Master Key ของธนาคารออกไป

บันทึกเหตุการการละเมิดข้อมูลนั้นพบว่ามีการพิมพ์ Encrypt Master Key ที่ไม่ได้มีการเข้ารหัสไว้เป็น Plaintext ที่ดาต้าเซ็นเตอร์เก่าของ Postbank ในเมืองพริทอเรีย ประเทศแอฟริกาใต้ Master Key ที่ถูกขโมยไปนั้นเป็นรหัสดิจิตอลจำนวน 36 หลักโดย Master Key ชุดนี้จะทำให้สามรถเข้าถึงระบบของธนาคารอย่างอิสระ และยังสามารถอ่าน, เขียนยอดเงินในบัญชีและยังสามารถเเก้ไขเปลื่ยนเเปลงบัญชีในบัตรจำนวน 12 ล้านใบที่มีความเสี่ยงที่จะถูกละเมิด คาดว่าผู้ที่จะได้รับผลกระทบจากเหตุการณ์นี้นั้นมี 8-10 ล้านคน

ที่มา:

timeslive
itweb

ทำความรู้จักปฏิบัติการของมัลแวร์เรียกค่าไถ่ Maze
มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้วย

ไมโครซอฟต์มีการบัญญัติคำเพื่อเรียกมัลแวร์เรียกค่าไถ่และปฏิบัติการของมัลแวร์เรียกค่าไถ่ในกลุ่มนี้ว่า Human-operated Ransomware ซึ่งส่วนหนึ่งในปฏิบัติการของมัลแวร์เรียกค่าไถ่ที่สำคัญคือการที่ผู้ไม่ประสงค์ดีคอยควบคุมและจัดการเพื่อให้สามารถสร้างผลกระทบต่อเหยื่อและผลประโยชน์ต่อผู้ไม่ประสงค์ดีให้ได้มากที่สุด

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware มีตามประเด็นดังนี้

เวลาที่ใช้ในปฏิบัติการ (Operation time):

Classic ransomware campaign: จุดอ่อนสำคัญของมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์อยู่ในจุดที่กระบวนการเข้ารหัสไฟล์ของมัลแวร์เรียกค่าไถ่ถูกตรวจพบหรือถูกขัดขวางก่อนที่จะดำเนินการเสร็จสิ้น ดังนั้นมัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะดำเนินการเสร็จให้เร็วและหลีกเลี่ยงการที่จะถูกตรวจจับให้ได้มากที่สุด ทำให้การตรวจจับนั้นจะสามารถทำได้เฉพาะในช่วงเวลาที่มีการทำงานของมัลแวร์เรียกค่าไถ่เท่านั้น
Human-operated ransomware: มัลแวร์เรียกค่าไถ่และปฏิบัติการในกลุ่มนี้มีการแสดงพฤติกรรมของการเข้าถึงระบบ เคลื่อนย้ายตัวเองไปยังระบบอื่น พยายามยกระดับสิทธิ์และเข้าถึงข้อมูลคล้ายกับพฤติกรรมของกลุ่ม Advanced Persistent Threat (APT) ที่มีเป้าหมายในการจารกรรมข้อมูล ส่งผลให้กรอบและระยะเวลาในการปฏิบัติการนั้นยาวและอาจเพิ่มโอกาสในการตรวจจับความผิดปกติจากพฤติกรรมได้ด้วย

หลักฐานหลังจากการโจมตี (Post-incident artifacts):

Classic ransomware campaign: มัลแวร์เรียกค่าไถ่จะแสดงตัวก็ต่อเมื่อกระบวนการเข้ารหัสไฟล์เสร็จสิ้นแล้วผ่านทาง Ransom note หรือข้อความซึ่งอธิบายเหตุการณ์และขั้นตอนของ ด้วยข้อมูลใน Ransom note ดังกล่าว การระบุหาประเภทของมัลแวร์เรียกค่าไถ่และผลกระทบอื่นๆ ที่อาจเกิดขึ้นจึงสามารถทำได้โดยง่าย
Human-operated ransomware: เนื่องจากระยะเวลาของปฏิบัติการที่ยาวและโอกาสที่ปฏิบัติการของมัลแวร์เรียกค่าไถ่จะถูกตรวจพบระหว่างดำเนินการโดยที่ยังไม่มีหลักฐานอย่างเช่น Ransom note อย่างชัดเจนจึงมีโอกาสที่สูงซึ่งส่งผลให้การระบุประเภทของภัยคุกคามและผลกระทบของเหตุการณ์นั้นทำได้ยาก การรับมือและตอบสนองเหตุการณ์ในลักษณะนี้จำเป็นต้องประเมินถึงความเป็นไปได้ว่าเหตุการณ์ดังกล่าวอาจจบที่มีการใช้ Ransomware ในที่สุดด้วย

พฤติกรรมของ Maze Ransomware
ไมโครซอฟต์ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ซึ่งสามารถสรุปโดยสังเขปได้ดังนี้

หมายเหตุ: ข้อมูลพฤติกรรมของภัยคุกคามสามารถเปลี่ยนแปลงได้ตลอดเวลา เราแนะนำให้มีการนำข้อมูลเหล่านี้มีจัดลำดับความสำคัญ ประเมินความพร้อมในการตรวจจับและตอบสนอง และดำเนินการตามที่วางแผนเอาไว้เพื่อให้เกิดประโยชน์สูงสุด

Maze มักปรากฎการเข้าถึงระบบที่มีความเสี่ยงด้วยการโจมตีผ่านเซอร์วิส Remote Desktop ซึ่งตั้งค่าไว้อย่างไม่ปลอดภัย ในขณะที่มัลแวร์กลุ่มอื่นมีการโจมตีช่องโหว่ซึ่งเป็นที่มีการเปิดเผยมาก่อนแล้ว อาทิ ช่องโหว่ใน Citrix Application Delivery Controller (CVE-2019-19781) หรือช่องโหว่ใน Pulse Secure VPN (CVE-2019-11510) ไมโครซอฟต์ยังมีการระบุว่าเป้าหมายหลักของ Maze คือการโจมตีกลุ่มผู้ให้บริการ (Managed Service Provider) เพื่อใช้เป็นช่องทางในการเข้าถึงผู้ใช้บริการในกลุ่มธุรกิจนี้ด้วย
Maze ใช้โปรแกรม Mimikatz ในการระบุหาข้อมูลสำหรับยืนยันตัวตนในระบบ ข้อมูลสำหรับยืนยันตัวตนนี้จะถูกใช้เพื่อเข้าถึงระบบอื่นๆ
กระบวนการเคลื่อนย้ายตัวเองในระบบภายในขององค์กรมักเกิดขึ้นผ่านการใช้โปรแกรม Cobalt Strike ทั้งนี้เทคนิคและวิธีการที่ Cobalt Strike รองรับนั้นโดยส่วนใหญ่เป็นเทคนิคซึ่งเป็นที่รู้จักกันอยู่แล้ว อาทิ การโจมตีแบบ Pass-the-Hash, WinRM หรือการใช้เซอร์วิส PsExec ในการเข้าถึงด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้มา
กระบวนการฝังตัวของ Maze มีการปรากฎการใช้ฟีเจอร์ Scheduled Tasks ร่วมกับการใช้คำสั่ง PowerShell ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกโจมตีไปแล้วได้ Maze ยังมีการใช้ฟีเจอร์ WinRM ในการควบคุมระบบเมื่อได้บัญชีซึ่งมีสิทธิ์ของ Domain admin ด้วย
Maze มีการแก้ไขการตั้งค่าใน Group Policy หลายรายการเพื่อช่วยอำนวยความสะดวกในการโจมตี

นอกเหนือจากข้อมูลการวิจัยจากไมโครซอฟต์ FireEye ยังได้มีการระบุข้อมูลพฤติกรรมเพิ่มเติมของปฏิบัติการของ Maze ซึ่งพบกลุ่มของพฤติกรรมที่แตกต่างกันในการแพร่กระจายและสามารถใช้บ่งชี้ให้เห็นว่าผู้อยู่เบื้องหลังในการปฏิบัติการของ Maze อาจมีมากกว่าหนึ่งกลุ่ม (อ้างอิง)
คำแนะนำในการตรวจจับและป้องกันภัยคุกคาม

ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการกำหนด Policy ของ Windows Firewall หรือด้วยอุปกรณ์อื่นๆ เพื่อจำกัดการติดต่อระหว่างโฮสต์หากมีการพยายามติดต่อรับส่งข้อมูลผ่านทางโปรโตคอล
ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการจำกัดหรือปิดการใช้งานฟีเจอร์ Administrative shares ได้แก่ ADMIN$ (ใช้โดย PsExec), C$, D$ และ IPC$ ทั้งนี้องค์กรควรมีการประเมินความเสี่ยงก่อนดำเนินการเนื่องจากการจำกัดหรือปิดการใช้งานฟีเจอร์ดังกล่าวอาจส่งผลต่อการทำงานของระบบภายในองค์กร
จำกัดการใช้งานบัญชีผู้ใช้งานในระบบในกรณีที่มีการใช้งานเพื่อแพร่กระจายมัลแวร์
ตั้งค่าหากมีการใช้ Remote Desktop Protocol (RDP) โดยให้พิจารณาประเด็นดังต่อไปนี้

จำกัดการเข้าถึงจากอินเตอร์เน็ต หรือในกรณีที่จำเป็นต้องมีการเข้าถึง ให้ทำการกำหนดหมายเลขไอพีแอดเดรสที่สามารถเข้าถึงได้ผ่าน Windows Firewall
พิจารณาใช้งาน Multi-factor authentication ทั้งในรูปแบบของการใช้งาน Remote Desktop Gateway หรือเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง
จำกัดสิทธิ์และการจำกัดบัญชีผู้ใช้งานที่สามารถเข้าถึงระบบจากระยะไกลผ่านโปรโตคอล
ในกรณีที่จำเป็นต้องมีการเข้าถึงและใช้งาน Remote Desktop Protocol (RDP) จากอินเตอร์เน็ต ให้พิจารณาใช้งาน Network Leveal Authentication (NLA) เพื่อป้องกันการโจมตีในรูปแบบของการเดาสุ่มรหัสผ่าน ทั้งนี้หากมีการใช้งาน NLA ควรตรวจสอบให้แน่ใจว่าระบบที่มีการเชื่อมต่อนั้นรองรับการใช้งาน และไม่ควรใช้ฟีเจอร์ CredSSP เพื่อป้องกันการบันทึกข้อมูลสำหรับยืนยันตัวตนไว้ในหน่วยความจำของระบบ

ทำการตั้งค่า Group Policy เพื่อควบคุมสิทธิ์ในการใช้ตามความเหมาะสม อาทิ ทำการตั้งค่าเพื่อป้องกันการเข้าถึงข้อมูลสำหรับยืนยันตัวตนที่ไม่ได้ถูกปกป้องในหน่วยความจำผ่านทาง Group Policy หรือการตั้งค่ารีจิสทรี รวมไปถึงดำเนินการตั้งค่าที่เกี่ยวข้องกับความแข็งแกร่งของรหัสผ่านของบัญชีผู้ใช้งานใน Group Policy
ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์บนเครื่องในองค์กรทุกเครื่อง และอัปเดตข้อมูลและเวอร์ชั่นของซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
พิจารณาการใช้งานข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise — IOC) ในการช่วยเฝ้าระวังและตรวจจับการมีอยู่ของภัยคุกคาม แหล่งข้อมูลซึ่งสามารถค้นหาข้อมูลตัวบ่งชี้ภัยคุกคามของ Maze มีตามรายการดังต่อไปนี้

ค้นหาข่าวและ IOC ทั้งหมดของ Maze ด้วย APT & Malware CSE
(แนะนำ) รายงานการวิเคราะห์พฤติกรรมของ Maze จาก FireEye
(แนะนำ) รายงานการวิเคราะห์การทำงานของไฟล์มัลแวร์ในปฏิบัติการ Maze โดย McAfee