แจ้งเตือนการโจมตีระบบ Office 365 รูปแบบใหม่ "KnockKnock" เน้นเงียบแต่ได้ผล

นักวิจัยด้านความปลอดภัยจาก SkyHigh "Sandeep Chandana" ได้ออกมาเผยแพร่ถึงวิธีการโจมตี Office 365 รูปแบบใหม่โดยบ็อตเน็ตที่พึ่งมีการตรวจพบภายใต้ชื่อการโจมตี "KnockKnock" ที่เน้นไปที่การโจมตีระบบที่อยู่ข้างหลังที่มักจะขาดการป้องกันที่เหมาะสม เพื่อนำข้อมูลกลับมาใช้ในการเข้าถึงระบบที่ต้องการโจมตีต่อไป

การโจมตี KnockKnock ถูกตรวจพบในเดือนพฤษภาคม 2017 และยังคงมีการใช้วิธีการนี้ในการโจมตีอยู่ โดยมีแหล่งที่มาของการโจมตีจากกว่า 15 ประเทศทั่วโลก

ลักษณะการโจมตีแบบ KnockKnock มักมีคุณลักษณะพิเศษอยู่ 2 อย่างคือ การโจมตีที่มีกลุ่มเป้าหมายค่อนข้างเล็กโดย SkyHigh ระบุว่ามักจะเป็น 2% ของบัญชีผู่ใช้งานทั้งหมด และการโจมตี KnockKnock นั้นจะไม่ใช่การโจมตีแบบ bruteforce แต่จะเป็นการโจมตีเพื่อคาดเดารหัสผ่านเพียง 3-5 ครั้งต่อบัญชีเพื่อไม่ให้สามารถตรวจจับได้ ซึ่งโดยมากจะเป็นการโจมตีแบบ phishing เป็นส่วนใหญ่ เมื่อโจมตีระบบใดระบบหนึ่งได้แล้ว ผู้โจมตีจึงจะใช้ข้อมูลที่ได้จากการโจมตีไปโจมตีระบบอื่นๆ ต่อ

เป้าหมายของบริการที่ KnockKnock โจมตีนั้นจะมุ่งไปที่ระบบที่มักมีการใช้ร่วมกัน มีการใช้งานอยู่เบื่องหลังองค์กรและมักจะมีการป้องกันที่ไม่ดีพอ อาทิ ระบบสำหรับ provision, ระบบสำหรับจัดการศูนย์ข้อมูล, ระบบจัดการการขาย, JIRA, Jenkin หรือ GitHub เป็นต้น ระบบเหล่านี้นั้นมักจะไม่มีฟังก์ชันอย่าง 2 factor authentication หรือ Single-Sign-On ทำให้การโจมตีเป็นไปได้โดยง่าย

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบเพื่อความระมัดระวังและกวดขันความปลอดภัยในระบบเหล่านี้เพื่อป้องกันการโจมตีในลักษณะดังกล่าว การตอบโต้ที่ง่ายที่สุดในการจัดการกับการโจมตี KnockKnock คือการเปิดใช้งาน 2FA สำหรับบัญชีพนักงานและบัญชีระบบ รวมถึงใช้รหัสผ่านที่ปลอดภัยและควรตั้งรหัสผ่านของแต่ละบัญชีไม่ให้ซ้ำกัน

ที่มา: bleepingcomputer