รวมแหล่งข้อมูลภัยคุกคาม (Threat Intelligence) ในสถานการณ์ COVID-19

อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้

ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ

ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ

แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ

โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
Telemetry จาก apklab.

Details for 1.3 million Indian payment cards put up for sale on Joker’s Stash

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

รีวิวเฟรมเวิร์คจำลองการโจมตีตามพฤติกรรมของภัยคุกคามเพื่อการทดสอบในรูปแบบ iPentest

บทความนี้จัดทำโดย เนติวัฒน์ วงศ์ยะรา นักศึกษาฝึกงาน และเรียบเรียงโดยทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) บริษัท ไอ-ซีเคียว จำกัด

ในบทความนี้ ทีม Intelligent Response จะทำการรีวิวโอเพนซอร์สเฟรมเวิร์คซึ่งช่วยให้ผู้ที่ทำงานในสายงานด้านความมั่นคงปลอดภัยไซเบอร์สามารถทำการจำลองพฤติกรรมของภัยคุกคามเพื่อใช้ในการทดสอบและประเมินความปลอดภัยระบบตามแนวทาง iPentest ของธนาคารแห่งประเทศไทยได้

เนื้อหาภายในบทความจะมีตามหัวข้อดังต่อไปนี้ครับ

ทำความรู้จักแนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-lead (iPentest)
TTP คืออะไร? นำมาใช้ยังไงได้บ้าง?
จากพฤติกรรมของผู้บุกรุก สู่ Machine-readable Data
แนะนำโอเพนซอร์สเฟรมเวิร์คสำหรับการจำลองพฤติกรรมของภัยคุกคาม
ผลการรีวิวเฟรมเวิร์คสำหรับการจำลองพฤติกรรมของภัยคุกคาม
สรุป

ทำความรู้จักแนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-lead (iPentest)
เมื่อวันที่ 4 กันยายนที่ผ่านมา ธนาคารแห่งประเทศไทยออกประกาศภายใต้เรื่องแนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-lead (iPentest) ซึ่งรูปแบบของการทดสอบเจาะระบบใหม่โดยเน้นไปที่การทดสอบภายใต้สถานการณ์เสมือนจริงในลักษณะ Red Teaming

ใจความสำคัญของ iPentest นั้นคือการทดสอบเจาะระบบที่มีการใช้ข้อมูล Threat intelligence ในกำหนดสถานการณ์จำลองเพื่อใช้ในการทดสอบเจาะระบบ สถานการณ์จำลองดังกล่าวจะต้องสอดคล้องกับโอกาสและภาพรวมของภัยคุกคามที่สถาบันการเงินจะเผชิญ แนวปฏิบัติยังเปิดช่องทางให้สถานการณ์จำลองถูกดำเนินการได้ในลักษณะของการ Capture the Flag (CTF) ด้วย

การนำข้อมูลภัยคุกคาม (Threat intelligence) มาใช้เพื่อทำการทดสอบเจาะระบบนั้นมีความสำคัญอย่างยิ่งต่อการประเมินและจัดการความเสี่ยง เพราะถึงแม้ในสถาบันการเงินโดยส่วนใหญ่จะมีการทดสอบเจาะระบบในรูปแบบของ Penetration testing โดยทั่วไปอยู่ก่อนแล้ว การเกิดขึ้นของ iPentest ได้เข้ามาเติมเต็มส่วนสำคัญที่การทดสอบเจาะระบบในรูปแบบทั่วไปนั้นไม่สามารถสร้างคุณค่าได้ เพราะในขณะที่ Penetration testing โฟกัสไปที่การค้นหาและจัดการช่องโหว่เพื่อลดความเสี่ยง รูปแบบของ iPentest มองภาพกว้างกว่าช่องโหว่ ซึ่งอาจรวมไปถึงข้อผิดพลาดหรือจุดอ่อนเพียงเล็กน้อยที่หากถูกโจมตีอยากถูกต้อง มันอาจนำไปสู่ความเสียหายที่ใหญ่หลวงได้

เทรนด์ด้านการทดสอบและประเมินความมั่นคงปลอดภัยในลักษณะของ iPentest นั้นเป็นหนึ่งในเทรนด์ด้านความปลอดภัยที่ได้รับความนิยมสูงขึ้นในแวดวงความปลอดภัยไซเบอร์ทั่วโลก กระบวนการดังกล่าวถูกเรียกด้วยชื่อที่แตกต่างกันในหลายรูปแบบ อาทิ Red teaming, Adversary simulation, Adversary emulation, Threat emulation และอื่นๆ ในขณะเดียวกันสายงาน อาทิ Red team, Threat hunter หรือ Purple team ก็เกิดขึ้นและได้รับความนิยมสูงไม่แพ้กัน
TTP คืออะไร? นำมาใช้ยังไงได้บ้าง?
เมื่อพูดถึงการใช้งาน Threat intelligence เพื่อการจำลองพฤติกรรมของผู้โจมตีจริง เราจำเป็นต้องเข้าใจประเภทของ Threat intelligence ที่สามารถนำไปใช้งานได้ก่อน หนึ่งในวิธีการจำแนกประเภทของ Threat intelligence ที่ง่ายและได้รับความนิยมรูปแบบหนึ่งคือ The Pyramid of Pain ซึ่งเป็นผลงานของ David J. Bianco

The Pyramid of Pain จำแนกประเภทของ Threat intelligece ด้วยขั้นของความพยายามที่ผู้โจมตีต้องใช้เพื่อแก้ไข/เปลี่ยนแปลงตัวบ่งชี้ภัยคุกคาม (indicator) ในแต่รูปแบบเพื่อให้สามารถหลบหลีกการตรวจจับและการป้องกันได้

เราสามารถตีความ The Pyramid of Pain ในอีกความหมายหนึ่งได้ว่า หากสถาบันการเงินสามารถตรวจจับและป้องกันความพยายามของผู้บุกรุกด้วยตัวบ่งชี้ภัยคุกคามที่เป็นหมายเลขไอพีแอดเดรสที่มัลแวร์ทำการติดต่อด้วยและค่าแฮชของไฟล์มัลแวร์ดังกล่าว มันง่ายและง่ายมากที่ผู้โจมตีจะทำการเปลี่ยนตัวบ่งชี้ดังกล่าวเป็นค่าใหม่เพื่อทำการตรวจจับและป้องกันหมดฤทธิ์

หากเราไล่ไปถึงยอดของพีระมิด เราจะพบว่าสิ่งที่ผู้โจมตีเปลี่ยนแปลงได้ยากที่สุดนั้นคือสิ่งที่เรียกว่า Tactics,Techniques and Procedures หรือ TTP ซึ่งมีความหมายดั้งเดิมที่เกี่ยวข้องกับการรักษาความมั่นคงจากภัยก่อการร้ายก่อนจะถูกนำมาใช้ในการรักษาความปลอดภัยไซเบอร์ TTP อธิบายถึงรูปแบบหรือลักษณะพฤติกรรมที่ผู้บุกรุกจะทำเมื่อจะสร้างความเสียหายหรือโจมตี พฤติกรรมอาจมีความเหมือนกันในหลายกลุ่มผู้บุกรุก แต่หากเราสามารถรวบรวมรูปแบบหรือลักษณะของพฤติกรรมดังกล่าว ไปจนถึงตัวบ่งชี้ภัยคุกคามในระดับที่ต่ำลงมาได้ การระบุกลุ่มผู้บุกรุกจากพฤติกรรมก็สามารถทำได้อย่างมีประสิทธิภาพเช่นเดียวกัน
จากพฤติกรรมของผู้บุกรุก สู่ Machine-readable Data
ในช่วงหลายปีที่ผ่านมา ความพยายามในการอธิบายรูปแบบหรือลักษณะพฤติกรรมของผู้บุกรุกให้อยู่ในรูปแบบของข้อมูลที่สามารถถูกประมวลผลและใช้งานได้โดยคอมพิวเตอร์เกิดขึ้นในหลายรูปแบบ เราจะมาดูกันครับว่าในทุกวันนี้เรามีวิธีในการอธิบายพฤติกรรมของผู้บุกรุกเพื่อนำข้อมูลไปใช้กันอย่างไรบ้าง
เฟรมเวิร์คตระกูล STIX/MAEC/CYBOX
STIX/MAEC/CyBox คือความพยายามจาก OASIS Cyber Threat Intelligence (CTI) TC ในการพัฒนากรอบและมาตรฐานเพื่ออธิบายพฤติกรรมของผู้โจมตี ตัวบ่งชี้ภัยคุกคามรวมไปถึงสิ่งที่ตรวจพบอื่นๆ (Observable) โดย STIX เน้นไปที่การอธิบายข้อมูลภัยคุกคามทั้งช่องโหว่, ผู้กระทำ, เป้าหมาย, จุดมุ่งหมาย, ตัวบ่งชี้ภัยคุกคามและอื่นๆ ด้วยความสัมพันธ์ระหว่างกัน

MAEC เน้นไปที่การอธิบายข้อมูลจำเพาะที่เกี่ยวกับมัลแวร์ทั้งคุณลักษณะของไฟล์, ความเกี่ยวข้องกับกลุ่มผู้โจมตีรวมไปถึงสายพันธุ์ของมัลแวร์

ท้ายที่สุด CyBox เน้นไปที่การอธิบายและให้ความหมายของทุกข้อมูลที่ตรวจพบ (Observable) โดยไม่จำกัดว่าสิ่งนั้นจะเป็นตัวบ่งชีภัยคุกคามหรือไม่ ไม่ว่าจะเป็นค่ารีจิสทรี, พฤติกรรมการลบไฟล์หรือข้อมูลในโปรโจตอล HTTP GET

ในปัจจุบันองค์กรหลายแห่งมีการเผยแพร่ตัวบ่งชี้ภัยคุกคามในรูปแบบของไฟล์ STIX รวมไปถึงเปิดให้องค์กรสามารถเข้าถึงและใช้งานข้อมูลในฟอร์แมตของ STIX ได้ผ่านเซิร์ฟเวอร์ TAXII ตัวอย่างเช่น ประกาศล่าสุดจาก US-CERT ว่าด้วยเรื่องของมัลแวร์ ELECTRICFISH จากกลุ่มแฮกเกอร์ Lazarus
เฟรมเวิร์คตระกูล MITRE ATT&CK
MITRE ATT&CK สามารถถูกเรียกได้ว่าทั้งเฟรมเวิร์คและแหล่งข้อมูล TTP ที่ดีที่สุดแหล่งหนึ่งของโลก มันได้ทำการรวบรวมและอธิบาย TTP ไว้ในรูปแบบเดียวกับที่ Cyber Kill Chain ของ Lockheed Martin เคยทำแต่ด้วยรายละเอียดที่เยอะกว่า รวมไปถึงการเชื่อมโยงระหว่าง TTP, กลุ่มผู้โจมตี, เครื่องมือที่ใช้และคำแนะนำในการตรวจจับและบรรเทาผลกระทบที่เกิดขึ้นจากเทคนิคที่ผู้บุกรุกกระทำ

ความนิยมของ MITRE ATT&CK ทำให้มันถูกนำไปปรับใช้กับผลิตภัณฑ์ด้านความปลอดภัยหลายรายการ รวมไปถึงการนำไปใช้ในการอธิบายพฤติกรรมของผู้บุกรุกใหม่ๆ ยกตัวอย่างเช่น ผลิตภัณฑ์ในกลุ่ม Endpoint Detection & Response "CrowdStrike" ซึ่งนำข้อมูลจาก MITRE ATT&CK มาใช้เพื่อช่วยในการตรวจจับ

ทีม Intelligent Response ยังได้เคยนำแนวคิดของ MITRE ATT&CK มาใช้ในการอธิบายความเชื่อมโยงระหว่างพฤติกรรมของผู้โจมตีและกลุ่มผู้โจมตีในงาน MissConf(SP)#5 ภายใต้หัวข้อ APT-Based Security Assessment and Detection (ดูสไลด์)
แนะนำโอเพนซอร์สเฟรมเวิร์คสำหรับการจำลองพฤติกรรมของภัยคุกคาม
ด้วยข้อมูลที่ได้มาจากฐานข้อมูล TTP ในรูปแบบต่างๆ ทีม Intelligent Response จึงได้มีการรวบรวมและทดสอบโอเพนซอร์สเฟรมเวิร์คที่สามารถนำข้อมูลดังกล่าวมาจำลองเป็นพฤติกรรมจริงๆ ในสภาพแวดล้อมที่ต้องการได้ ความสามารถในการจำลองพฤติกรรมของภัยคุกคามนอกจากจะช่วยในการประเมินความเสี่ยงด้านความปลอดภัยแล้ว มันยังมีส่วนสำคัญในการพัฒนาศักยภาพในการรับมือและตอบสนองภัยคุกคาม และการใช้เพื่อทดสอบความสามารถของผลิตภัณฑ์ด้านความปลอดภัยด้วย

จากรายการของเฟรมเวิร์คที่ได้มีการรวบรวมไว้ ทีม Intelligent Response ได้มีการเลือกเฟรมเวิร์คซึ่งจะนำมาทดสอบตามรายการดังต่อไปนี้

Red Team Automation (RTA) จาก Endgame โดยเป็นเฟรมเวิร์คซึ่งนำพฤติกรรมของผู้โจมตีตามที่ระบุไว้ใน MITRE ATT&CK มารวบรวมไว้ให้อยู่ในรูปแบบของสคริปต์ ซึ่งสามารถตั้งค่าและเรียกใช้เพื่อจำลองพฤติกรรมของผู้โจมตีจริงๆ ขึ้นมาได้
APT Simulator จาก Nextron Systems เป็นเฟรมเวิร์คในการจำลองพฤติกรรมของภัยคุกคามในกลุ่ม APT ให้อยู่ในรูปแบบของสคริปต์ Batch สำหรับระบบปฏิบัติการ Windows พฤติกรรมซึ่งมีการจำลองนั้นเป็นพฤติกรรมที่ไม่ได้อิงจาก MITRE ATT&CK แต่มีบางส่วนคล้ายคลึงกัน
Atomic Red Team จาก Red Canary เป็นเฟรมเวิร์คซึ่งทำการรวบรวม TTP ของผู้บุกรุกอ้างอิงจาก MITRE ATT&CK ไว้ในรูปแบบของ atomic test case ซึ่งทำให้ผู้ทดสอบสามารถนำแต่ละเทคนิคมาทำการปรับแต่งและควบคุมพฤติกรรมที่จะทำการจำลองได้
CALDERA จาก MITRE เป็นโครงการจากผู้ดูแล MITRE ATT&CK ซึ่งถูกพัฒนาขึ้นเพื่อจำลองพฤติกรรมของผู้โจมตีแบบครบวงจร พร้อมทั้งมีรูปแบบของมัลแวร์เสมือนภายในตัวเฟรมเวิร์คเอง

โดยในการรีวิวนั้น ทีม Intelligent Response มีการตั้งคุณสมบัติที่ต้องการไว้ตามรายการดังต่อไปนี้

เฟรมเวิร์คที่เหมาะสมจะต้องมีความครบถ้วนตามฐานข้อมูลภัยคุกคาม MITRE ATT&CK เพื่อให้เกิดความครอบคลุมในการทดสอบภายใต้จุดประสงค์ที่แตกต่างกันให้มากที่สุด
เฟรมเวิร์คจะต้องมีความยืดหยุ่นมากพอให้ทีม Intelligent Response สามารถแก้ไขการตั้งค่าได้ตามต้องการ เช่น การแก้ไข Payload ที่จะถูกเอ็กซีคิวต์ในแต่ละเทคนิคการโจมตี รวมไปถึงเปลี่ยนแปลงรูปแบบและลักษณะของการจำลอง
เฟรมเวิร์คจะต้องสามารถถูกปรับแต่งให้สามารถทำงานโดยอัตโนมัติได้อย่างมีประสิทธิภาพและง่ายดาย ยกตัวอย่างเช่น ผู้ทดสอบสามารถบันทึกรายการของพฤติกรรมที่ต้องการไว้ในรูปแบบของ Playbook และสั่งให้เฟรมเวิร์คจำลองพฤติกรรมตามที่ระบุในช่วงหรือระยะเวลาที่กำหนดได้
เฟรมเวิร์คจะต้องรองรับระบบปฏิบัติการที่หลากหลาย

ผลการรีวิวเฟรมเวิร์คสำหรับการจำลองพฤติกรรมของภัยคุกคาม
Red team automation (RTA)
Red Team Automation หรือ RTA มีการรวบรวมเทคนิคจาก MITRE ATT&CK ไว้ทั้งหมดประมาณ 42 รายการ โดยเน้นไปที่การกลุ่ม Defense evasion, Execution และ Persistence การใช้งานสามารถทำได้ทั้งในรูปแบบของการเรียกใช้โมดูลแยกสำหรับแต่ละเทคนิค, รันทุกเทคนิคโดยอัตโนมัติผ่านทางสคริปต์ run_all.

รู้จัก ThreatIngestor เครื่องมือรวบรวมภัยคุกคามจากแหล่งข้อมูลสาธารณะ

โดยปกติแล้ว นักวิจัยด้านความปลอดภัยทางไซเบอร์มักจะมีการเผยแพร่ที่เกี่ยวข้องกับ Threat Intelligence หรือข้อมูลภัยคุกคามที่ถูกค้นพบล่าสุดอยู่ในแหล่งข้อมูลสาธารณะอย่าง Twitter หรือเว็บไซต์ของนักวิจัยด้วยความปลอดภัย ซึ่งเราสามารถสกัดเอาข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะมาใช้งานได้ฟรี

เพื่อให้การสกัดเอาข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะสามารถทำได้ง่ายขึ้น ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาแนะนำเครื่องมือสำหรับสกัดและรวบรวมข้อมูลภัยคุกคามจากแหล่งข้อมูลสาธารณะ โดยเครื่องมือนี้มีชื่อว่า ThreatIngestor
ThreatIngestor คืออะไร

ThreatIngestor คือเครื่องมือสำหรับสกัดและรวบรวมข้อมูลภัยคุกคามจากข้อความภายในแหล่งข้อมูลสาธารณะ เช่น RSS feed, Twitter และแหล่งข้อมูลอื่นๆ ถูกสร้างโดย InQuest

ThreatIngestor สามารถรวบรวมข้อมูลได้ทั้งหมด 6 รูปแบบ ได้แก่

Domains ที่เกี่ยวข้องกับภัยคุกคาม
Hashes ที่เกี่ยวข้องกับภัยคุกคาม
IP Addresses ที่เกี่ยวข้องกับภัยคุกคาม โดยรองรับทั้ง IPv4 และ IPv6
URLs ที่เกี่ยวข้องกับภัยคุกคาม
YARA Signatures สำหรับตรวจจับภัยคุกคาม และ
Tasks ซึ่งเป็นการรวบรวมข้อมูลภัยคุกคามที่จำเป็นต้องใช้นักวิเคราะห์ในการสกัดข้อมูลเอง เช่น ข้อมูลที่อาจมีการฝังอยู่ใน PDF File ทำให้ ThreatIngestor ไม่สามารถสกัดข้อมูลออกมาได้

โดยข้อมูลที่รวบรวมมานั้นสามารถตั้งค่าเพื่อนำไปใช้ต่อได้อย่างหลากหลาย เช่น เขียนลงไฟล์ csv , เชื่อมต่อกับ MISP, เขียนลง database เพื่อนำไปแสดงผลในรูปแบบหน้าเว็บ เป็นต้น

สามารถดูรายละเอียดเกี่ยวกับแหล่งข้อมูลที่ ThreatIngestor รองรับและการนำข้อมูลที่ได้ไปใช้ต่อได้จากหน้า GitHub ของ ThreatIngestor และ คู่มือการใช้งาน ThreatIngestor  
วิธีการติดตั้ง ThreatIngestor
ThreatIngestor ถูกเขียนด้วย Python ทำให้สามารถติดตั้งได้ง่ายผ่านเมนู pip โดยต้องการ Python 3.6+ และ Python development headers จากนั้นใช้คำสั่ง
pip install threatingestor

หรือ

pip install threatingestor[all]
เพื่อติดตั้ง plugin พร้อมกับ ThreatIngestor 

นอกจากนี้หากต้องการให้ ThreatIngestor ดึงค่าจาก RSS Feed ต้องติดตั้ง feedparser เพิ่มเติมด้วย
pip install feedparser
และหากต้องการนำผลลัพธ์ไปแสดงผลในรูปแบบหน้าเว็บ web interface ที่มาพร้อมกับ ThreatIngestor ต้องติดตั้ง hug เพิ่มเติมด้วย
pip install hug
ซึ่งสามารถศึกษาวิธีติดตั้งได้จากคู่มือการติดตั้ง
วิธีการใช้งาน ThreatIngestor
ThreatIngestor ทำงานร่วมกับไฟล์ config.

รู้จักแพลตฟอร์มแชร์ข้อมูลภัยคุกคาม Malware Information Sharing Platform (MISP) และการตั้งค่าเบื้องต้น

คำว่า Threat Intelligence หรือ ข้อมูลภัยคุกคาม นั้นมักเป็นคำที่ถูกใช้และพูดถึงกันอย่างแพร่หลายในแวดวงความปลอดภัยไซเบอร์ การครอบครองข้อมูลภัยคุกคามนั้นยิ่งข้อมูลมีคุณภาพมากเท่าไหร่และมาถึงเราเร็วมากเท่าไหร่ ความเป็นต่อในการรักษาความมั่นคงปลอดภัยของระบบยิ่งมีมากขึ้นเท่านั้น

อย่างไรก็ตาม Threat Intelligence หรือ ข้อมูลภัยคุกคามมักถูกมองว่าเป็นโซลูชันหรือผลิตภัณฑ์ที่มีราคาแพง โดยเฉพาะข้อมูลภัยคุกคามเฉพาะภาคส่วนหรือข้อมูลภัยคุกคามที่มีที่มาจาก Dark Web ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมานำเสนออีกด้านหนึ่งของการรับและใช้งานข้อมูลภัยคุกคามที่ฟรีและยังการันตีได้ถึงคุณภาพอีกด้วย ผ่านแพลตฟอร์มที่ชื่อว่า Malware Information Sharing Platform หรือ MISP ครับ

MISP คืออะไร?
MISP คือโครงการโอเพนซอร์สที่ทำให้เราสามารถรับ ส่งและเผยแพร่ข้อมูลของภัยคุกคามได้ระหว่างระบบ MISP ด้วยกัน รวมไปถึงมีฟีเจอร์ที่ทำให้เราสามารถส่งข้อมูลภัยคุกคามไปยังระบบหรืออุปกรณ์อื่นๆ ระบบ MISP ยังสามารถถูกใช้เพื่อจัดเก็บ ค้นหาและเชื่อมความสัมพันธ์โดยใช้ตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise - IOC) เพื่อค้นหาความสัมพันธ์ระหว่างเหตุการณ์การโจมตีที่เกิดขึ้นได้ด้วย
ติดตั้ง MISP ได้อย่างไรบ้าง?
MISP สามารถติดตั้งได้จากหลายช่องทาง ได้แก่

ติดตั้ง MISP โดยใช้ Vagrant
ติดตั้ง MISP โดยใช้ Docker 
ติดตั้ง MISP โดยใช้ Puppet
ติดตั้ง MISP โดยใช้ Ansible
ติดตั้ง MISP แบบอัตโนมัติด้วยสคริปต์ AutoMISP
ใช้ Cloud Image (เฉพาะ AWS)
ติดตั้งแบบ manual โดยใช้คู่มือของแต่ละระบบปฏิบัติการ

สำหรับใครที่แค่อยากลองใช้เฉยๆ ไม่อยากติดตั้งอะไรมากมาย ก็สามารถเลือกใช้ MISP ในรูปแบบของ virtual machine ซึ่งซัพพอร์ตทั้ง VMware และ VirtualBox ได้จากที่นี่
เริ่มดึงข้อมูลจากฟีดภัยคุกคามฟรี
ทุกๆ MISP instance ที่ติดตั้งจะมีรายการของฟีดภัยคุกคามฟรีพร้อมใช้งานมาให้ ซึ่งผู้ใช้งานสามารถทำการ Cache ข้อมูลที่มีอยู่แล้วมาอยู่บน instance ของเราและใช้งานต่อได้ทันที โดยดำเนินการตามขั้นตอนดังต่อไปนี้

เลือก Sync Actions ที่ Menu Bar จากนั้นเลือกที่แท็บ List Feeds
ที่หน้าต่าง Feeds - MISP จะมีรายการของฟีดที่เราสามารถดึงข้อมูลมาใช้งานได้อยู่ โดยทั่วไปนั้นจะไม่มีการดึงฟีดใดๆ มาเป็นค่าเริ่มต้น
ผู้ใช้งานสามารถเลือกดึงข้อมูลจากฟีดได้ โดยทำการเลือกแหล่งของฟีดที่ต้องการเปิด หลังจากนั้นจะปรากฎตัวเลือกให้เปิดการดึงฟีดขึ้นมา ทำการเลือก Enable selected และ Enable caching for selected เมื่อเลือกฟีดที่ต้องการใช้งานเสร็จสิ้น
คลิก Fetch and store all feed data ระบบ MISP จะเริ่มทำการดึงข้อมูลจากฟีดที่เราเลือกมาบนระบบ หรือ instance ของเรา

การตั้งค่าเกี่ยวกับ Feeds เพิ่มเติมสามารถดูได้จาก Managing Feeds
สร้างข้อมูลภัยคุกคามเพื่อเผยแพร่
ภายใต้ระบบของ MISP นั้น ตัวบ่งชี้ภัยคุกคามซึ่งโดยส่วนมากเป็นข้อมูลในลักษณะของ machine-readable นั้นจะถูกผูกภายใต้เหตุการณ์ (Event) ซึ่งแตกต่างกับข้อมูลภัยคุกคามแบบไร้รูปแบบที่ตัวบ่งชี้ภัยคุกคามจะถูกเผยแพร่เพียงอย่างเดียว ไม่มีข้อมูลแวดล้อมอื่นๆ ประกอบแต่อย่างใด

ดังนั้นหากเราต้องการเผยแพร่ข้อมูลภัยคุกคามที่เราเจอบ้าง เราสามารถทำได้โดย

ที่ Menu Bar เลือก Add Event
ที่หน้าต่าง Add Event ให้ทำการระบุข้อมูลเกี่ยวกับเหตุการณ์ที่เราพบตามหัวข้อดังต่อไปนี้

วันที่และเวลา (Date)
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถเลือกได้ว่าจะเผยแพร่เฉพาะภายในองค์กร เผยแพร่เฉพาะให้กับกลุ่มที่มีการเชื่อมต่อหรือเผยแพร่แบบไม่มีข้อจำกัด
ระดับของภัยคุกคาม (Threat Level)
สถานะการวิเคราะห์ (Analysis)
รายละเอียดของเหตุการณ์ (Event Info)

เพิ่มข้อมูลตัวบ่งชี้ภัยคุกคามหรือ Attribute ให้แก่ Event นั้นๆ โดยเลือกที่เครื่องหมายบวกบริเวณรายการ Attributes
ที่หน้า Add Attribute ให้ทำการระบุข้อมูลที่เกี่ยวข้องกับตัวบ่งชี้ภัยคุกคามตามหัวข้อดังต่อไปนี้

กลุ่มของ Attribute (Category)
ประเภทของ Attribute (Type) ซึ่งจะขึ้นอยู่กับกลุ่มของ Attribute ที่เลือก
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถตั้งค่าให้เหมือนหรือแตกต่างกับการตั้งค่าของเหตุการณ์ได้
ระบข้อมูลตัวบ่งชี้ภัยคุกคามลงในช่อง Value
ระบุรายละเอียดเพิ่มเติมเกี่ยวกับตัวบ่งชี้ภัยคุกคามได้ในช่อง Contextual Comment

หากต้องการให้เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปนั้นสามารถถูกแชร์และเข้าถึงได้ ให้ทำการเผยแพร่เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปด้วยตัวเลือก Publish event ด้วย
รับ-ส่งข้อมูลระหว่าง MISP Instance
ความสามารถที่โดดเด่นอย่างหนึ่งของ MISP คือการเป็นตัวกลางในการเชื่อมต่อเพื่อรับ-ส่งข้อมูลภัยคุกคามกับ MISP instance อื่นๆ

ในตัวอย่างด้านล่างนั้นองค์กร B (OrgB) ได้มีการสร้าง MISP instance เป็นของตนเองในชื่อ ServerB และต้องการที่จะ synchronize กับ ServerA ซึ่งเป็นขององค์กร A (OrgA) ดังนั้นจะต้องมีการดำเนินการดังต่อไปนี้

ที่ ServerA ให้ผู้ดูแลระบบทำการเพิ่ม Organization ใหม่สำหรับ OrgB ไว้ภายใต้ ServerA
ทำการสร้างบัญชีผู้ใช้งานใหม่เพื่อเป็น Sync User ซึ่งผูกไว้กับ OrgB บน ServerA
ที่ ServerB ทำการเพิ่ม MISP instance ปลายทางที่เราจะเชื่อมต่อด้วย (ในกรณีนี้คือ ServerA) โดยใช้ AuthKey ของ Sync User บน ServerA ในการยืนยันตัวตน

เมื่อดำเนินการตามขั้นตอนด้านบนเสร็จสิ้น ฝั่ง ServerB จะมีการปรากฎของปุ่มเพื่อทดสอบการเชื่อมต่อ หากการตั้งค่าทุกอย่างถูกต้องและเชื่อมต่อถึงกันได้ สถานะของระบบปลายทางจะปรากฎตามตัวอย่างด้านล่าง

ในกรณีที่ ServerA มีการดึงข้อมูลจาก MISP instance อื่นมา หากการตั้งค่า Distribution ของเหตุการณ์หรือข้อมูลภัยคุกคามนั้นไม่จำกัดเฉพาะภายใน Organization ปัจจุบันของเรา ServerB ซึ่งเชื่อมต่อเข้ามาก็จะดึงข้อมูลไปได้เช่นเดียวกัน

ทั้งนี้รูปแบบของการดึงข้อมูลจะเสมือนกับการสร้างสำเนาของข้อมูลที่มีค่า UUID เดียวกัน การแก้ไขใดๆ กับข้อมูลภัยคุกคามซึ่งอยู่ MISP instance เรานั้นจะไม่กระทบกับข้อมูลที่ผู้สร้างกำหนดไว้ตั้งแต่แรก จนกว่าเราจะทำการ Propose การแก้ไขของเราไปยังต้นน้ำ
สรุป
Malware Intelligence Sharing Platform (MISP) เป็นแพลตฟอร์มอย่างง่ายที่ช่วยให้ผู้ใช้งานหรือองค์กรเข้าถึงข้อมูลที่เกี่ยวข้อบกับภัยคุกคามได้แบบไม่เสียค่าใช้จ่าย รวมไปถึงสามารถใช้เป็นส่วนหนึ่งของระบบ Threat Intelligence ภายในองค์กรได้อย่างประสิทธิภาพ อย่างไรก็ตามนอกจากเทคโนโลยีแล้ว องค์กรควรมีการคำนึงถึงกระบวนการที่เกี่ยวข้องกับข้อมูลภัยคุกคามและการนำไปใช้เพื่อให้เกิดประโยชน์สูงสุดต่อไปด้วย