หลังจากที่ได้รู้จักกับ Web Shell ว่าคืออะไร กันแล้วนั้นใน What is Web Shell?

แล้วรู้หรือไม่ว่าเราสามารถป้องกัน Web Server ของเราจากการโจมตีของ Web Shell ให้ดีขึ้นได้ด้วยระบบ Endpoint Detection and Response (EDR)

เพราะเบื้องหลังการโจมตีเหล่านั้นคือ กระบวนการที่ผู้โจมตีได้ป้อนชุดคำสั่ง (Input System Command) ผ่าน Web Browser ซึ่งจะทำให้ Web Server Process (เช่น IIS, PHP, JAVA, Node.

A recently identified vulnerability within the web application library (libwebp) has the potential to lead to RCE (Remote Code Execution) when exploited and can allow hackers to run malicious code in your system. This vulnerability is specifically a heap-based buffer overflow issue found within the libwebp library, which serves the purpose of decoding and encoding WebP image files.

ช่วงหลัง ๆ เราจะได้ยินคำว่า Webshell กันค่อนข้างบ่อยครั้ง วันนี้ i-secure จะพาเพื่อนๆ มารู้จักว่า Webshell ซึ่งเป็นหนึ่งในเทคนิคการโจมตีที่พบได้บ่อยมากๆ ในปัจจุบัน

Webshell คืออะไร และทำไมมันจึงเป็นวิธีการที่เหล่า Hacker นิยมใช้ในการโจมตีเหยื่อกันบ่อยครั้ง

ก่อนอื่น ต้องทำความเข้าใจวิธีคิดที่ Hacker คิดก่อน จุดมุ่งหมายหลักของ Hacker คือต้องการเข้าถึงข้อมูลของเหยื่อ เช่น เข้าถึงข้อมูลความลับ (Confidentiality) หรือเข้าไปดัดแปลงแก้ไขข้อมูลให้เปลี่ยนแปลงไป (Integrity) หรือไม่ก็ทำการขัดขวางไม่ให้ใครๆเข้าถึงข้อมูลนั้นๆได้ (Availability)

ดังนั้นการที่จะบรรลุวัตถุประสงค์นั้นได้ ก็คือต้องควบคุมเหยื่อให้ได้ จึงเป็นที่มาของ Webshell ที่จะเข้าไปคอยควบคุมเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเป้าหมายนั่นเอง 

แล้ว Webshell คืออะไร?

Webshell คือไฟล์ที่ Hacker สร้างขึ้นมาเพื่อใช้สำหรับควมคุมเครื่อง Web Server ของเหยื่อหลังจาก Hacker พบช่องทางในการโจมตี โดย Webshell ถูกเขียนด้วยภาษาของ Web Application ยกตัวอย่างเช่นภาษา PHP เป็นต้น โดยใช้ประโยชน์จากคำสั่งหรือ Library ที่สามารถเรียกใช้งานของระบบ System Command หรือ OS Command คำสั่งเช่น “whoami” ,”ipconfig /all”, “mkdir” เป็นต้น 

แผนผังการทำงานของ Webshell ที่รอรับ input จาก Attacker
Ref: https://www.

เนื่องจากภัยคุกคามทางด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่เกิดขึ้นในปัจจุบันมีความหลากหลายและซับซ้อนในรูปแบบ วิธีการ อีกทั้งช่องทางของการโจมตีก็เพิ่มขึ้นในทุกๆ วัน

สิ่งเหล่านี้ทำให้หลายองค์กรต้องหาวิธีการป้องกันการโจมตีเหล่านั้น ซึ่งโดยทั่วไปแล้วจะประกอบไปด้วยเครื่องมือหลากหลายชนิด ที่ต้องเลือกใช้ให้เหมาะสมกับช่องทางของการโจมตี อาทิเช่น Next-Generation Firewall, Web Application Firewall, Database Firewall, Next-Generation Endpoint และเครื่องมืออื่นๆ อีกมากมาย

 

ด้วยปัจจัยทางด้านความหลากหลายของเครื่องมือ ส่งผลให้แต่ละองค์กรจำเป็นต้องมีผู้เชี่ยวชาญ (Expert Cyber Security Engineer) ที่มีทักษะและความชำนาญในเครื่องมือดังกล่าวเป็นจำนวนมาก เพื่อที่จะทำการดูแลรักษาและปรับแต่งค่าของระบบให้สามารถป้องกันภัยคุกคามใหม่ๆ ได้เสมอ

สิ่งสำคัญคือผู้เชี่ยวชาญเหล่านี้จะต้องทำการเฝ้าระวังฯ เหตุการณ์ภัยคุกคามฯ โดยความท้าทายของการเฝ้าระวังฯ นั่นก็คือปริมาณของการแจ้งเตือน (Alerts) ที่เกิดขึ้นจาก Logs การใช้งานของแต่ละเครื่องมือ ซึ่งอาจจะมีปริมาณการแจ้งเตือนที่จำนวนมาก เนื่องจากเครื่องมือที่ใช้งานไม่ได้ทำการปรับ policy ที่เหมาะสม  ทำให้เกิด false positive สูงตามมา อีกปัจจัยหนึ่งคือไม่ได้มีการจัดทำ Log Correlations รวมถึงไม่มี process ในการตอบสนอง และรับมือต่อภัยคุกคามฯ ที่เป็นมาตรฐานชัดเจน

 
องค์ประกอบหลักในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ
จากปัญหาดังกล่าว หลายๆ องค์กรจึงจำเป็นต้องมีหน่วยงานที่ดูแลรับผิดชอบทางด้าน Cyber Security หรือเริ่มมองหาผู้ให้บริการที่มีศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC) เข้ามาทำหน้าเฝ้าระวังและตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็วและทันท่วงที

ทั้งนี้ปัจจัยหลัก ๆ ในการมองหาผู้ให้บริการที่มีความเชี่ยวชาญ จะต้องประกอบไปด้วยองค์ประกอบหลักๆ ดังต่อไปนี้

People: ทีมงาน, ผู้เชี่ยวชาญที่มีทักษะและความชำนาญเฉพาะทางด้าน Cyber Security และต้องสามารถบริหารจัดการ (Operate) แบบ 24x7 ได้ รวมไปถึงการพัฒนาทักษะ (Skills) ให้กับทีมงานให้มีความเชี่ยวชาญที่อยู่ในระดับใกล้เคียงกันเพื่อที่จะสามารถปฏิบัติงานทดแทนกันได้
Technology: การลงทุนระบบที่ออกแบบมาเพื่อตรวจจับภัยคุกคามโดยเฉพาะ (Technology) โดยองค์กรต้องจัดเตรียมอุปกรณ์ (Hardware และ/หรือ Software) ของ Security Information & Event Management (SIEM) รวมไปถึง ฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) เพื่อใช้ในการรวบรวมข้อมูลภัยคุกคามฯ จากทั่วโลก
Process: กระบวนการบริหารจัดการที่มีมาตรฐานในการตอบสนองต่อเหตุการณ์กรณีที่มีภัยคุกคามเกิดขึ้น รวมถึงการปรับปรุงกระบวนการทำงานให้สอดคล้องกับรูปแบบของภัยคุกคามที่มีการเปลี่ยนแปลงรูปแบบอยู่เสมอ

 

ภาพแสดงส่วนประกอบหลักของการจัดทำศูนย์เฝ้าระวังและปฏิบัติการด้านความปลอดภัยสารสนเทศ (Security Operation Center - SOC)

 
7 คุณลักษณะที่บริการ SOCaaS จำเป็นต้องมี
การลงทุน ทั้ง 3 องค์ประกอบข้างต้น หลายๆองค์กรจึงเลือกใช้บริการแบบ SOCaaS (SOC as a Service) แทนการจัดตั้งศูนย์ SOC เป็นขององค์กรเอง โดยคุณลักษณะที่บริการ SOCaaS จำเป็นต้องมีดังต่อไปนี้

ระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เพื่อให้เป็นไปตามข้อกำหนดในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560 พร้อมศูนย์สำรองข้อมูลของผู้ให้บริการ (DR Site) เพื่อสำรองข้อมูลอย่างน้อย 1 สำเนา
ระบบ Security Information & Event Management (SIEM) สำหรับให้บริการเชื่อมโยงความสัมพันธ์ของข้อมูลเพื่อเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่เข้าข่ายเป็นภัยคุกคามฯ พร้อมทีมงานผู้เชี่ยวชาญในการปรับปรุงรูปแบบการตรวจสอบ (Use Case Development) ให้ทันต่อภัยคุกคามทางไซเบอร์ในปัจจุบัน โดยทำงานร่วมกับระบบฐานข้อมูลแหล่งข่าวอัจฉริยะในการเฝ้าระวังภัยคุกคามฯ (Threat Intelligent) ได้
มีทีมงานผู้เชี่ยวชาญในการบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Data Collection and Data Processing), ทีมบริหารจัดการระบบเชื่อมโยงความสัมพันธ์ข้อมูลจราจรทางคอมพิวเตอร์ (SIEM Administrator & Architecture)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่เฝ้าระวังและวิเคราะห์ภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง เพื่อเข้าทำการตอบสนองเบื้องต้นต่อเหตุการณ์เมื่อมีการแจ้งเตือนจากระบบ (Event Intake) ตอบสนองเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ (Incident Intake), ให้คำปรึกษาเกี่ยวกับเหตุการณ์ที่อยู่ในข่ายเป็นภัยคุกคามทางไซเบอร์ พร้อมคำแนะนำในการรับมือหรือป้องกันไม่ให้เกิดซ้ำในอนาคต รวมไปถึงให้คำปรึกษาในด้านอื่น ๆ ที่เกี่ยวกับความปลอดภัยทางไซเบอร์ด้วย (Incident/Cybersecurity Advisory)
มีทีมผู้เชี่ยวชาญซี่งมีหน้าที่ศึกษา ติดตาม และค้นคว้าเกี่ยวกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ เพื่อนำมาพัฒนารูปแบบและเทคนิคการตรวจจับภัยคุกคามทางไซเบอร์ของระบบเฝ้าระวังภัยคุกคามทางไซเบอร์ให้ทันสมัยและมีประสิทธิภาพอยู่ตลอดเวลา (Threat Hunting)
มีมาตราฐานการดำเนิน (Security Operation Procedure) เพื่อการดำเนินการตามมาตราฐานหากเจอภัยคุกคามฯ และมีการพัฒนาและปรับปรุงการทำงานอย่างสม่ำเสมอ
มีรายงานสรุปภัยคุกคามที่เกิดขึ้น พร้อมคำแนะนำ และ/หรือ วิธีการแก้ไข พร้อมผู้เชี่ยวชาญในการให้คำปรึกษา

ภาพแสดงส่วนประกอบหลักของการบริการแบบ SOCaaS (SOC as a Service)

 
สิ่งที่องค์กรจะได้รับจากการใช้บริการแบบ SOCaaS (SOC as a Service) 

ลดระยะเวลาการแก้ไขปัญหา และทราบถึงสาเหตุของภัยคุกคามที่เกิดขึ้นได้อย่างรวดเร็ว เพื่อลดผลกระทบทางธุรกิจหรือกิจการให้เหลือน้อยที่สุด
ลดความยุ่งยาก และค่าใช้จ่ายต่างๆ ที่เกี่ยวข้องกับการติดตั้ง (Implementation) และบริหารจัดการระบบ SIEM (Main tenant และ Support)
องค์กรสามารถโฟกัสทรัพยากรบุคคลและทรัพยากรทางด้านเวลาไปยังงานส่วนอื่นๆ ที่มีความสำคัญและส่งผลประโยชน์กับธุรกิจ เนื่องจากมีผู้เชี่ยวชาญที่ได้รับ Certified และประสบการณ์ต่างๆ ทางด้านระบบรักษาความปลอดภัยฯ คอยดูแลระบบให้อยู่เบื้องหลัง
ได้รับการเฝ้าระวัง, แจ้งเตือน และป้องกันตลอดระยะเวลา 24x7x365 หากมีภัยคุกคามเกิดขึ้นกับระบบที่มีความสำคัญในองค์กร
สามารถปรับลดเพิ่มได้ตามปริมาณการใช้งานระหว่างอายุสัญญา โดยไม่ต้องลงทุนอุปกรณ์ใด ๆ เพิ่มเติม (Scalable)

 

บริษัท ไอ-ซีเคียว จำกัด (i-secure Company Limited) ก่อตั้งขึ้นโดยทีมวิศวกรผู้เชี่ยวชาญด้านระบบเครือข่าย และการรักษาความปลอดภัยข้อมูลสารสนเทศซึ่งได้รับการรับรองตามมาตรฐานสากล โดยมีการดำเนินงานแบบมืออาชีพในการให้บริการแก่ลูกค้า โดยมีจุดเด่น ดังต่อไปนี้

มีประสบการณ์ตรงในการให้บริการทางด้าน SOCaaS (SOC as a Service) มากกว่า 16 ปี
มีลูกค้าในระดับองค์กรที่ไว้วางใจในการใช้บริการ SOCaaS มากกว่า 120 ราย
ศูนย์เฝ้าระวังฯ ที่ผ่านการรับรองมาตรฐานสากลด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001:2013) และคุณภาพของบริการ (ISO/IEC 20000-1:2018)
มีผู้เชี่ยวชาญเฉพาะทางครอบคลุมการให้บริการหลักๆ ในแต่ละด้าน คอยเฝ้าระวัง และให้คำปรึกษาตลอด 24 ชั่วโมง

 

สำหรับองค์กรที่สนใจบริการ SOCaaS (SOC as a Service)

สามารถติดต่อสอบถามเพิ่มเติมได้ที่
โทร: (+66) 2-615-7005
อีเมล: marketing@i-secure.

ปี 2020 ก็ผ่านพ้นไปแล้ว ในบทความนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะสรุปข่าว Cybersecurity ในรอบปีที่เกี่ยวข้องกับประเทศไทยที่น่าสนใจค่ะ

ในปีที่ผ่านมาข่าวที่โดดเด่นในจะอยู่ในหัวข้อเกี่ยวกับข้อมูลส่วนบุคคลเสียเป็นส่วนใหญ่ ไม่ว่าจะเป็นการเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปเป็นปี 2021 และเหตุการณ์ข้อมูลรั่วไหลบนเว็บไซต์ชื่อดังหลายแห่ง

อีกหัวข้อข่าวที่ส่งผลกระทบต่อคนไทยจำนวนมากคือการที่องค์กรในไทยตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ เช่น การไฟฟ้าส่วนภูมิภาคตกเป็นเหยื่อ Maze ransomware จนผู้บริโภคไม่สามารถชำระค่าไฟผ่านแอปพลิเคชั่นได้ , โรงพยาบาลสระบุรีตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่จนต้องประกาศให้ผู้ใช้บริการนำยาเก่าและเอกสารมารับบริการ

ทั้งนี้กลุ่มโจมตีด้วยมัลแวร์เรียกค่าไถ่ในปัจจุบันได้มีการใช้เทคนิคข่มขู่เพื่อให้เหยื่อยอมจ่ายค่าไถ่มากขึ้น โดยขู่เผยแพร่ข้อมูลที่ขโมยจากเหยื่อมา เพื่อให้เหยื่อยอมจ่ายค่าไถ่ ซึ่งกรณีการไฟฟ้าส่วนภูมิภาคนั้นไม่มีการจ่ายค่าไถ่ จึงมีการเผยแพร่ข้อมูลออกมา

สารบัญ

Timeline ข่าวที่น่าสนใจปี 2020
สรุปเหตุการณ์เกี่ยวข้องกับ Maze ransomware
สรุปเหตุการณ์โรงพยาบาลสระบุรีถูก Ransomware โจมตี
สรุปเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ

 
Timeline
พฤษภาคม 2020

19 พฤษภาคม 2020 สั่งเลื่อนใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปอีก 1 ปี
20 พฤษภาคม 2020 พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ดำเนินการปิดเรียบร้อยแล้ว

มิถุนายน 2020

18 มิถุนายน 2020 การไฟฟ้าฯ ยอมรับ โดนมัลแวร์เรียกค่าไถ่โจมตี ทำแอพล่มข้ามอาทิตย์!

กรกฏาคม 2020

22 กรกฏาคม 2020 กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว

สิงหาคม 2020

4 สิงหาคม 2020 โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware
9 สิงหาคม 2020 แฮกเกอร์ประกาศขายข้อมูลชื่อผู้ใช้/รหัสผ่านของ Pulse Secure VPN กระทบหน่วยงานไทยและผู้ให้บริการ MSP ชื่อดัง

กันยายน 2020

9 กันยายน 2020 โรงพยาบาลสระบุรีถูก Ransomware โจมตี โรงพยาบาลขอคนไข้นำรายการยาเดิมไปรับบริการ

พฤศจิกายน 2020

1 พฤศจิกายน 2020 พบแฮกเกอร์นำข้อมูลผู้ใช้ Eatigo, Wongnai ไปขายในตลาดใต้ดิน ทั้งสองบริษัทแจ้งเตือนผู้ใช้แล้ว
6 พฤศจิกายน 2020 Maze ransomware ประกาศยุติปฏิบัติการ
20 พฤศจิกายน 2020 Lazada ประเทศไทยและ ShopBack ถูกแฮก ข้อมูลถูกปล่อยขายแล้วรวมกว่า 35 ล้านรายการ

ธันวาคม 2020

4 ธันวาคม 2020 พบการขายฐานข้อมูลส่วนบุคคลจากบริการที่เกี่ยวข้องกับ online booking ในประเทศไทย มีข้อมูลกว่า 800 ล้านรายการ

สรุปเหตุการณ์เกี่ยวข้องกับ Maze ransomware
ในปี 2020 ที่ผ่านมามีองค์กรในไทยตกเป็นเหยื่อ Maze ransomware 2 องค์กร ก่อนที่ Maze ransomware จะประกาศยุติปฏิบัติการในเดือนพฤศจิกายน 2020 ได้แก่ บริษัทแห่งหนึ่ง และการไฟฟ้าส่วนภูมิภาค

ในกรณีของการไฟฟ้าส่วนภูมิภาคนั้น การถูกโจมตีส่งผลกระทบให้ผู้ใช้บริการไม่สามารถใช้แอพพลิเคชั่นพีอีเอสมาร์ทพลัสได้หลายวัน จากนั้นเมื่อการไฟฟ้าส่วนภูมิภาคไม่ได้จ่ายค่าไถ่ จึงเกิดผลกระทบเพิ่มเติมคือถูกปล่อยข้อมูลภายในองค์กร

แม้ว่ากลุ่ม Maze ransomware จะยกเลิกปฏิบัติการไปแล้ว แต่นักวิจัยเชื่อว่า
Egregor ransomware ตัวใหม่ที่เริ่มแพร่ระบาดในเดือนกันยายน 2020 เป็นมัลแวร์ตัวใหม่ที่กลุ่มที่พัฒนา Maze ransomware หันมาใช้งานแทน

อ่านเพิ่มเติม

การไฟฟ้าฯ ยอมรับ โดนมัลแวร์เรียกค่าไถ่โจมตี ทำแอพล่มข้ามอาทิตย์!
กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว
โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware
Threat profile: Egregor ransomware is making a name for itself

สรุปเหตุการณ์โรงพยาบาลสระบุรีถูก Ransomware โจมตี
โรงพยาบาลสระบุรีถูก Ransomware ที่ชื่อ VoidCrypt (.spade) โจมตี โดยกลุ่มเบื้องหลังมัลแวร์ดังกล่าวไม่เคยมีประวัติขโมยข้อมูลเหยื่อเพื่อข่มขู่ ซึ่งทางโรงพยาบาลสระบุรีได้แก้ไขด้วยการกู้คืนจาก backup

อ่านเพิ่มเติม

โรงพยาบาลสระบุรีถูก Ransomware โจมตี โรงพยาบาลขอคนไข้นำรายการยาเดิมไปรับบริการ
อัปเดตความคืบหน้า RANSOMWARE รพ.สระบุรี ได้อะไรกลับมาแล้วบ้าง?

สรุปเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ
เนื่องจากมีการเลื่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไปเป็นปี 2021 ทำให้ในปี 2020 นี้ยังไม่มีข้อกำหนดที่ชัดเจนเมื่อเกิดเหตุการณ์ในลักษณะดังกล่าว
AIS
20 พฤษภาคม 2020 พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ข้อมูลเหล่านี้สามารถใช้เพื่อตรวจสอบพฤติกรรมการเข้าอินเตอร์เน็ตได้ ซึ่งนักวิจัยที่พบติดต่อผ่าน AIS แต่ไม่ได้รับการตอบรับ จึงติดต่อ ThaiCERT และมีการปิดการเข้าถึงฐานข้อมูลดังกล่าวในเวลาต่อมา

อ่านเพิ่มเติม

A massive database of 8 billion Thai internet records leaks
AIS พลาด เปิดข้อมูลทราฟิกอินเทอร์เน็ตและ DNS Query เป็นสาธารณะ ปิดแล้วหลังได้รับแจ้ง

Eatigo และ Wongnai
1 พฤศจิกายน 2020 พบการขายข้อมูลจากเว็บไซต์ Eatigo และ Wongnai ในตลาดมีด ทั้งสองเว็บไซต์ได้ทำการแจ้งเตือนและรีเซ็ตรหัสผ่านผู้ที่ได้รับผลกระทบ

ข้อมูลที่รั่วไหลของ Eatigo ได้แก่ อีเมล ค่าแฮชรหัสผ่าน ชื่อ เบอร์โทรศัพท์ เพศ และโทเค็นเฟซบุ๊ก

ข้อมูลที่รั่วไหลของ Wongnai ได้แก่ อีเมล, ค่าแฮชรหัสผ่าน, หมายเลขไอพีที่ใช้ลงทะเบียน, หมายเลขไอดีผู้ใช้เฟซบุ๊กและทวิตเตอร์, วันเกิด, หมายเลขโทรศัพท์และรหัสไปรษณีย์

โดยทั้งสองบริษัทยืนยันว่าไม่มีข้อมูลบัตรเครดิตรั่วไหล

อ่านเพิ่มเติม

พบแฮกเกอร์นำข้อมูลผู้ใช้ Eatigo, Wongnai ไปขายในตลาดใต้ดิน ทั้งสองบริษัทแจ้งเตือนผู้ใช้แล้ว
Wongnai Security Incident
ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been Pwned

Lazada ประเทศไทยและ ShopBack
20 พฤศจิกายน 2020 พบการขายข้อมูลจากเว็บไซต์ Lazada ประเทศไทยและ ShopBack ในตลาดมีด

โดยทาง Lazada ระบุว่าข้อมูลที่รั่วไหลดังกล่าวเป็นข้อมูลจากบริษัทที่ทำธุรกิจอีคอมเมิร์ซ โดยชุดข้อมูลที่รั่วไหลดังกล่าวมาจากฐานข้อมูลปีพ.ศ. 2561 และไม่ได้มีรั่วไหลจากระบบของ Lazada โดยตรง

ในขณะที่ข้อมูลที่รั่วไหลของ ShopBack  ประกอบด้วย อีเมล, ค่าแฮชรหัสผ่าน, ชื่อ-นามสกุล, หมายเลขโทรศัพท์ และ ประเทศ

ทาง TB-CERT ได้มีการแจ้งเตือนและให้คำแนะนำผู้ใช้งาน ShopBack ให้ทำการเปลี่ยนรหัสผ่าน ShopBack และเปลี่ยนรหัสผ่านในบริการอื่นๆ ที่มีการใช้ซ้ำ

อ่านเพิ่มเติม

https://www.

INTRODUCTION
ในวันที่ 8 ธันวาคมที่ผ่านมา บริษัทด้านความปลอดภัยไซเบอร์ FireEye ประกาศการตรวจพบการโจมตีระบบของตนและนำไปสู่บทความคำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบซึ่งตีพิมพ์ในวันถัดมาโดยทีม Intelligent Response อย่างไรก็ตาม การโจมตี FireEye เป็นเพียงจุดเริ่มต้นเล็กๆ เท่านั้นของมหากาพย์การโจมตีทางไซเบอร์แห่งปี 2020

SolarWinds Orion ซึ่งเป็นผลิตภัณฑ์สำหรับจัดการบริหารรวมไปถึงตั้งค่าเครือข่ายถูกโจมตีโดยผู้โจมตีซึ่งยังไม่มีข้อมูลแน่ชัด ผู้โจมตีทำการโจมตี SolarWinds เพื่อทำการฝังโค้ดที่เป็นอันตรายไว้ใน SolarWinds Orion ส่งผลให้ผู้ใช้งาน SolarWinds Orion ในรุ่นที่มีการอัปเดตและได้รับโค้ดที่เป็นอันตรายทั่วโลกตกอยู่ในความเสี่ยง ยิ่งไปกว่านั้นอาจมีความเป็นไปได้ที่การโจมตีจะเกิดขึ้นจากผู้โจมตีสองกลุ่มที่ไม่เกี่ยวข้องกันมาก่อนด้วย

ในบทความนี้ ทีม Intelligent Response จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปเหตุการณ์การโจมตี SolarWinds ในลักษณะของ Supply-chain attack ซึ่งเชื่อว่าเป็นจุดเริ่มต้นของการโจมตี FireEye และนำไปสู่หนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดต่อรัฐบาลสหรัฐฯ รวมไปถึงบริษัทไอทียักษ์ใหญ่อีกหลายบริษัท รวมไปถึงแผนในการตอบสนองและรับมือเหตุการณ์ดังกล่าวในลักษณะของ Incident response playbook เพื่อให้ศักยภาพในการรับมือและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยนี้นั้นพัฒนาไปพร้อมกับขีดจำกัดของภัยคุกคามครับ

เนื้อหาภายในบทความจะถูกแบ่งเป็นหัวข้อตามลำดับดังนี้

ลำดับเหตุการณ์ด้านความปลอดภัย (Timeline)
เหตุการณ์การโจมตี SolarWinds (The SolarWinds Intrusion)
รายละเอียดและการวิเคราะห์เหตุการณ์ด้านความปลอดภัย (Analysis)

ข้อมูลผู้โจมตี (Threat actor)
เป้าหมายในการโจมตี (Targets)
ช่องโหว่ที่ใช้ในการโจมตี (Vulnerability)
รูปแบบและพฤติกรรมการโจมตี (Attack Techniques)

รายละเอียดและการวิเคราะห์มัลแวร์ที่ปรากฎในการโจมตี (Malware Analysis)

รายละเอียดมัลแวร์ SUNBURST
รายละเอียดมัลแวร์ TEARDROP
รายละเอียดมัลแวร์ RAINDROP
รายละเอียดมัลแวร์ BEACON
รายละเอียดมัลแวร์ SUPERNOVA
รายละเอียดมัลแวร์ GOLDMAX
รายละเอียดมัลแวร์ GOLDFINDER
รายละเอียดมัลแวร์ SIBOT

คำแนะนำในการระบุหาภัยคุกคาม (Threat Detection/Hunting)
คำแนะนำในการตอบสนองภัยคุกคาม (Incident Response)

คำแนะนำในการจำกัดความเสียหาย (Containment)
คำแนะนำในการกำจัดภัยคุกคาม (Eradication)
คำแนะนำในการฟื้นฟูระบบ (Recovery)

ข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise)
แหล่งข้อมูลอ้างอิงเพิ่มเติม (Additonal References/Resources)

TIMELINE

September 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการโจมตีระบบของ SolarWinds อ้างอิงจากหลักฐานดิจิตอลที่ตรวจพบ

September 12, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการแทรกโค้ดอันตรายลงไปในแพลตฟอร์ม Orion ครั้งแรก เชื่อว่าเป็นการดำเนินการเพื่อทดสอบว่าสามารถดำเนินการได้จริง

November 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีหยุดช่วงการทดสอบแทรกโค้ดลงในแพลตฟอร์ม Orion

February 20, 2020 (อ้างอิง: SolarWinds)

มัลแวร์ SUNBURST ถูกคอมไพล์ลงแพลตฟอร์มของ Orion เป็นครั้งแรก

March 26, 2020 (อ้างอิง: SolarWinds)

มีการกระจาย Hotfix ของแพลตฟอร์ม Orion ที่มีมัลแวร์ SUNBURST ฝังตัวอยู่ให้แก่ลูกค้า

June 4, 2020 (อ้างอิง: SolarWinds)

ผู้โจมตีถอนการติดตั้งมัลแวร์ SUNSPOT ซึ่งใช้ในการแทรกโค้ด SUNBURST ออกจากระบบที่ใช้ในการพัฒนาซอร์สโค้ด Orion

December 8 (อ้างอิง: FireEye):

FireEye ตรวจพบการบุกรุกระบบภายในของบริษัท ผู้โจมตีสามารถเข้าถึงเครื่องมือสำหรับทำ Red Teaming Assessment ได้ อ่านรายละเอียดเพิ่มเติมของเหตุการณ์ดังกล่าวได้ที่บทความ "คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ" โดยทีม Intelligent Response

December 12, 2020 (อ้างอิง: SolarWinds)

SolarWinds ได้รับแจ้งเกี่ยวกับการตรวจพบมัลแวร์ SUNBURST

December 13 (อ้างอิง: FireEye, SolarWinds, Department of Homeland Security, Microsoft):

FireEye เปิดเผยแคมเปญการโจมตีโดยกลุ่ม UNC2452 ซึ่งใช้รูปแบบการโจมตีแบบ Supply chain attack กับผลิตภัณฑ์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ SUNBURST, TEARDROP และ BEACON
SolarWinds ประกาศ Security advisory ยืนยันการถูกโจมตีพร้อมกับรายละเอียดและคำแนะนำในการลดผลกระทบ
Department of Homeland Security หรือกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ออกประกาศ Emergency Directive 21-01 Mitigate SolarWinds Orion Code Compromise เพื่อให้คำแนะนำในการลดผลกระทบจากการบุกรุกและแก้ไขโค้ดการทำงานในซอฟต์แวร์ SolarWinds Orion สำหรับหน่วยงานรัฐฯ
Microsoft ออกรายงานการวิเคราะห์สถานการณ์และพฤติกรรมการโจมตี

December 14 (อ้างอิง: Reuters, New York Times, The Register, Washington Post, Krebs on Security, The Wall Street Journal, Bleeping Computer, The Hacker News, Help Net Security, Politico, SEC, ZDNet, Security Week, @vinodsparrow, Threatpost, Volexity):

มีการรายงานข่าวว่าการโจมตีที่เกิดขึ้นอาจเกี่ยวข้องกับกลุ่มแฮกเกอร์ซึ่งทำงานให้ประเทศรัสเซีย
การโจมตีดังกล่าวถูกใช้เพื่อเข้าถึงและอ่านอีเมลของหน่วยงานภายในกระทรวงการคลัง, หน่วยงาน National Telecommunications and Information Administration (NTIA) ภายใต้กระทรวงพาณิชย์สหรัฐฯ และกระทรวงความมั่นคงมาตุภูมิ
รายงานข่าวจากบางสำนักระบุว่าการโจมตีที่เกิดขึ้นนั้นเกิดข้องกับการบุกรุกระบบของ FireEye ที่มีการประกาศมาในวันที่ 8 ธันวาคม
รัฐมนตรีต่างประเทศรัสเซียตอบโต้ใน Facebook ของสถานทูตรัสเซียในสหรัฐฯ โดยอ้างว่าถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจมตี
SolarWinds แจ้งต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (The Securities and Exchange Commission – SEC) เกี่ยวกับสถานการณ์ที่เกิดขึ้น โดยหนึ่งในรายละเอียดที่มีการเปิดเผยออกมานั้น SolarWinds ระบุว่ามีลูกค้า 33,000 รายที่ใช้ SolarWinds Orion และน้อยกว่า 18,000 รายที่คาดว่ามีการติดตั้งอัปเดตที่มีมัลแวร์ SUNBURST อยู่ โดย SolarWinds ได้มีการติดต่อและแจ้งเตือนลูกค้าทั้งหมด 33,000 รายแล้ว
SolarWinds ยังมีการแจ้งต่อ SEC เพิ่มเติมด้วยว่า ได้รับการแจ้งเตือนจากไมโครซอฟต์เรื่องการตรวจพบการโจมตีและบุกรุกบัญชี Office 365 ขององค์กร ซึ่งทางองค์กรกำลังตรวจสอบอยู่
นักวิจัยด้านความปลอดภัย Vinoth Kumar ได้ออกมาทวีตเปิดเผยว่า ตนได้มีการแจ้งเตือนไปยัง SolarWinds ตั้งแต่เดือนพฤศจิกายน 2019 หลังจากค้นพบว่าโครงการซอฟต์แวร์ของ SolarWinds โครงการหนึ่งบนเว็บไซต์ GitHub มีการระบุข้อมูลสำหรับเข้าถึงระบบ downloads.