การโจมตีแบบ Password Spraying เป็นการโจมตีเพื่อเข้าสู่ระบบด้วยรหัสผ่านที่มักจะมีคนใช้ คาดเดาได้ง่าย หรือพบจากข้อมูลที่เคยมีการหลุดออกมา และจะใช้เพียงแค่หนึ่ง หรือสองรหัส โดยจะกระจายโจมตีไปหลายบัญชี หรือหลายบริการ แทนที่จะลองใช้รหัสผ่านที่แตกต่างกันหลายๆรหัสในบัญชีผู้ใช้เดียว ซึ่งช่วยหลีกเลี่ยงการตรวจจับการโจมตีของอุปกรณ์ต่างๆ เนื่องจากรูปแบบการโจมตีจะคล้ายกับพยายามเข้าสู่ระบบไม่สำเร็จของผู้ใช้ตามปกติ

ADFS มีความเสี่ยง

องค์กรที่ใช้บริการ Active Directory Federation Services (ADFS) จะมี Active Directory Domain Services infrastructure ซึ่งโดยทั่วไปจะใช้รหัสผ่าน ADDS และมีนโยบายการล็อกบัญชีที่เข้าสู่ระบบไม่สำเร็จ 3-5 ครั้ง ซึ่งการโจมตีแบบ Password Spraying จะพยายามเข้าสู่ระบบไม่เกินหนึ่ง หรือสองครั้งต่อหนึ่งบัญชี ทำให้เมื่อเข้าสู่ระบบไม่สำเร็จแล้วบัญชีจะไม่โดนล็อก และการโจมตีอาจจะไม่ถูกตรวจพบ ซึ่งองค์กรต่างๆมักใช้ ADFS IAM ระหว่างระบบภายในองค์กร และระบบคลาวด์ และจัดให้มีการลงชื่อเข้าใช้เพียงครั้งเดียวสำหรับเข้าถึงข้อมูลที่สำคัญต่อธุรกิจทั้งหมด ทำให้ผู้โจมตีที่โจมตีสำเร็จอาจจะค้นหาข้อมูล และรายชื่อผู้ใช้เพิ่มเติม หรือส่งลิงก์ฟิชชิ่งไปยังบุคคลอื่นในองค์กร

ป้องกัน ADFS จากการโจมตีแบบ Password Spraying

Microsoft แนะนำวิธีการ 3 ระดับสำหรับรักษาความปลอดภัยระบบ ADFS จากการโจมตีแบบ Password Spraying และการโจมตีด้วยรหัสผ่านประเภทอื่นๆ

(more…)

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert