ศูนย์ความมั่นคงปลอดภัยไซเบอร์ออสเตรเลีย สรุปภาพรวมแนวโน้มรูปแบบการโจมตีทางไซเบอร์ที่พบในปี 2019-2020

ศูนย์ความมั่นคงปลอดภัยไซเบอร์ของออสเตรเลีย (Australian Cyber Security Centre หรือ ACSC) ได้ออกรายงานแนวโน้มรูปแบบการโจมตีทางไซเบอร์ที่พบในระหว่างปี 2019-2020 โดยภาพรวมเป็นการวิเคราะห์กลยุทธ์ เทคนิค และวิธีการที่ผู้โจมตีใช้เพื่อบุกรุกระบบหรือขโมยข้อมูล อ้างอิงตาม MITRE ATT&CK โดยรูปแบบการโจมตีที่พบมีดังนี้

Initial Access ขั้นตอนแรกสุดของการโจมตีคือการเข้าถึงระบบของเป้าหมาย เช่น

• เจาะระบบผ่านช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงได้แบบสาธารณะ เช่น ช่องโหว่การอัปโหลดไฟล์ขึ้นไปบนเว็บไซต์ ช่องโหว่ของโปรแกรมบริหารจัดการเว็บไซต์ หรือช่องโหว่ของโปรแกรม VPN
• เดารหัสผ่านของบัญชีผู้ใช้ หากระบบไม่ได้ถูกตั้งค่าให้ป้องกันการ brute force ก็มีโอกาสสูงที่รหัสผ่านจะหลุดได้ง่าย
• ส่งอีเมลฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งโดยส่วนใหญ่มักเป็นการส่งมัลแวร์แนบไปกับอีเมลเพื่อให้เหยื่อเปิดไฟล์มัลแวร์นั้น

Execution หลังจากสามารถเข้าถึงระบบของเป้าหมายได้แล้ว ขั้นตอนถัดมาคือการเรียกโปรแกรมหรือคำสั่งอันตรายขึ้นมาประมวลผล เช่น

• เรียกใช้งานโปรแกรมผ่าน command line หรือ PowerShell ซึ่งเป็นช่องทางที่ถูกออกแบบมาไว้เพื่อใช้สั่งรันโปรแกรมบน Windows อยู่แล้ว
• รันโค้ดผ่านสคริปต์ เช่น ไฟล์ .BAT, JavaScript, หรือ Microsoft Office macro
• หลอกให้เหยื่อดาวน์โหลดไฟล์มัลแวร์ไปเรียกใช้งานเอง

Persistence หลังจากที่มัลแวร์ถูกเรียกขึ้นมาทำงานแล้ว ขั้นตอนถัดมาคือเป็นการพยายามทำให้มัลแวร์ยังคงทำงานอยู่ในระบบถึงแม้จะถูกรีสตาร์ท เช่น

• เพิ่มข้อมูลใน Registry หรือสร้าง shortcut ในโฟลเดอร์ Startup เพื่อให้มีการเรียกมัลแวร์ขึ้นมาทำงานทุกครั้งที่เปิดเครื่อง
• ในกรณีการโจมตีเว็บไซต์ เทคนิคที่มักถูกใช้คือการฝัง web shell ซึ่งเป็นการอัปโหลดหน้าเว็บไซต์สำหรับใช้เป็นช่องทางรับคำสั่งหรือเชื่อมต่อเข้าไปยังระบบในภายหลัง

Privilege escalation ขั้นตอนนี้เป็นการทำเพื่อให้ได้สิทธิ์การทำงานที่สูงกว่าสิทธิ์ของผู้ใช้ทั่วไป จุดประสงค์เพื่อเข้าถึงหรือแก้ไขไฟล์ด้วยสิทธิ์ที่มากขึ้น หรือเปลี่ยนแปลงการตั้งค่าของระบบ ตัวอย่างรูปแบบการโจมตีที่พบ เช่น ใช้เครื่องมือ RottenPotato ในการโจมตีเพื่อให้ได้สิทธิ์สูงสุดของระบบ

Defence evasion เป็นเทคนิคที่ใช้เพื่อหลบเลี่ยงการตรวจจับหรือการสังเกตความผิดปกติของระบบ เช่น

• ใช้เทคนิค Timestomp เพื่อแก้ไขวันเวลาที่ไฟล์มัลแวร์ถูกติดตั้งลงในระบบ เช่น แก้ให้ไฟล์ web shell ถูกสร้างขึ้นในวันเวลาเดียวกับไฟล์อื่น ๆ ในเว็บไซต์ จุดประสงค์เพื่อให้ผู้ดูแลระบบมองข้ามไฟล์ดังกล่าวหรือเกิดความสับสนหากต้องตรวจสอบว่าระบบถูกโจมตีเมื่อใด
• ลบไฟล์ล็อกของระบบ เช่น Windows event log หรือ web access log เพื่อไม่ให้ตรวจสอบได้ว่าถูกโจมตีด้วยวิธีใดหรือวันเวลาใด
• ลบไฟล์มัลแวร์ทิ้งหลังโจมตีสำเร็จ หรือซ่อนไฟล์ไม่ให้ปรากฎเมื่อเรียกดูข้อมูลด้วยวิธีปกติ
• ใช้วิธีบีบอัดข้อมูลของไฟล์มัลแวร์ จุดประสงค์เพื่อทำให้ค่า signature ของไฟล์เปลี่ยนไป ทำให้ระบบตรวจจับที่อาศัยแค่การวิเคราะห์จากข้อมูล signature เพียงอย่างเดียวนั้นไม่สามารถตรวจพบความผิดปกติได้

Credential access เป็นการขโมยหรือรวบรวมข้อมูลบัญชีผู้ใช้ในระบบ เช่น

• ใช้เครื่องมือ เช่น Mimikatz ในการ dump บัญชีผู้ใช้และรหัสผ่าน
• ใช้เครื่องมือในลักษณะ keylogging เพื่อบันทึกข้อมูลที่ผู้ใช้พิมพ์ ซึ่งจะได้ชื่อผู้ใช้และรหัสผ่านด้วย
• อ่านข้อมูลจากไฟล์การตั้งค่า เช่น ระบบเว็บไซต์บางแห่งจะเก็บชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงฐานข้อมูลไว้ในไฟล์ตั้งค่า หากสามารถอ่านข้อมูลจากไฟล์ดังกล่าวได้ก็จะสามารถเข้าถึงฐานข้อมูลได้

Discovery เป็นเทคนิคที่ใช้เพื่อรวบรวมข้อมูลที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์เป้าหมายหรือเครื่องคอมพิวเตอร์อื่น ๆ ที่อยู่ในเครือข่ายเดียวกัน จุดประสงค์เพื่อศึกษาสภาพแวดล้อมของระบบหรือใช้หาช่องทางโจมตีคอมพิวเตอร์เครื่องอื่น ๆ ต่อ เช่น

• ใช้เครื่องมือพื้นฐานที่ติดตั้งมาในระบบ เช่น คำสั่ง ping, net, หรือ sc เพื่อรวบรวมข้อมูล
• ใช้เครื่องมือ PowerSploit เพื่อรวบรวมข้อมูลบัญชีผู้ใช้และอุปกรณ์อื่น ๆ ในเครือข่าย หรือใช้เครื่องมือ SharpHound เพื่อรวบรวมข้อมูล Active Directory

Lateral movement หลายครั้งการโจมตีจะไม่ได้เกิดขึ้นแค่ในคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง แต่จะเป็นการรวบรวมข้อมูลเครือข่ายแล้วเจาะไปยังคอมพิวเตอร์เครื่องอื่นต่อ ซึ่งอาจมีข้อมูลสำคัญหรือมีสิทธิ์ในการทำงานมากกว่าเครื่องที่เจาะได้ตอนแรก เช่น

• เชื่อมต่อไปยังคอมพิวเตอร์เครื่องอื่นผ่านช่องทาง secure shell (SSH) หรือ remote desktop (RDP)
• โจมตีผ่าน SMB โดยอาศัยฟีเจอร์ Windows Admin Shares เพื่อขโมยข้อมูลหรือสั่งรันโปรแกรมที่เครื่องปลายทาง
• เพิ่มไฟล์มัลแวร์ลงในโฟลเดอร์ที่มีการแชร์ผ่านเครือข่าย โดยตั้งชื่อไฟล์ให้ดูเหมือนว่าเป็นไฟล์ทั่วไป ซึ่งผู้ใช้คนอื่นในระบบก็มีโอกาสที่จะหลงเชื่อและเปิดไฟล์ดังกล่าว

Collection เป็นการรวบรวมข้อมูลจากระบบของเป้าหมาย เช่น

• ขโมยไฟล์จากเครื่องคอมพิวเตอร์ของเป้าหมาย หรือไฟล์ที่แชร์ผ่านเครือข่าย
• ในบางกรณีผู้โจมตีอาจใช้วิธีรวบรวมข้อมูลแล้วสร้างเป็นไฟล์บีบอัดขึ้นมา จากนั้นค่อยส่งไฟล์ดังกล่าวออกไปในภายหลัง

Command and control เป็นเทคนิคที่ผู้โจมตีใช้เพื่อเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ตัวอย่างรูปแบบการโจมตีที่พบ เช่น ส่งคำสั่งผ่าน web shell

Exfiltration เป็นรูปแบบของการส่งข้อมูลที่รวบรวมได้ออกไปให้ผู้โจมตี เช่น

• ส่งข้อมูลออกไปในรูปแบบของไฟล์ที่ถูกบีบอัดเพื่อลดขนาดของข้อมูล โดยอาจมีการตั้งรหัสผ่านของไฟล์บีบอัดไว้ด้วยเพื่อป้องกันระบบตรวจจับ
• ส่งข้อมูลผ่านช่องทางพิเศษที่มัลแวร์ใช้ติดต่อกับเครื่องสั่งการและควบคุม
• ใช้ช่องทางปกติเพื่อทำให้ดูเหมือนเป็นการใช้งานทั่วไป เช่น หลังจากที่ขโมยข้อมูลออกมาได้ก็สร้างเป็นไฟล์ไว้ในหน้าดาวน์โหลดของเว็บไซต์ แล้วตั้งชื่อไฟล์ให้ดูเหมือนเป็นไฟล์ปกติ จากนั้นดาวน์โหลดไฟล์ดังกล่าวจากหน้าเว็บไซต์โดยตรง

Impact คือผลกระทบหรือความเสียหายที่เกิดขึ้นจากการโจมตี ซึ่งอาจมีได้หลายรูปแบบ ไม่ว่าจะเป็น ข้อมูลรั่วไหล ระบบไม่สามารถให้บริการต่อได้ หรือข้อมูลสำคัญถูกเข้ารหัสลับเพื่อเรียกค่าไถ่

การศึกษาแนวโน้มเทคนิคการโจมตีที่เคยเกิดขึ้นนั้นสามารถช่วยให้องค์กรวางแผนรับมือภัยคุกคามที่เป็นปัจจุบันได้ ข้อมูลอื่น ๆ สามารถดูเพิ่มเติมได้จากที่มา

ที่มา: ACSC