ระวังมัลแวร์จากอีเมลฟิชชิ่ง คลิกเดียวระบบล่มทั้งบริษัท


ระวังมัลแวร์จากอีเมลฟิชชิ่ง แค่คลิกลิงก์ครั้งเดียวระบบล่มทั้งบริษัทได้ โดย ทีม DART (Detection and Response Team) ซึ่งเป็นทีมตอบสนองภัยคุกคามทางไซเบอร์ของ Microsoft ได้เผยแพร่กรณีศึกษาเหตุการณ์ที่บริษัทแห่งหนึ่งติดมัลแวร์จนระบบไอทีทั้งหมดไม่สามารถให้บริการได้ โดยล่าสุดทีม DART ได้เข้าไปช่วยวิเคราะห์และแก้ปัญหาจนสามารถกู้ระบบคืนมาได้แล้ว ทั้งนี้ เหตุการณ์ดังกล่าวมีหลายประเด็นที่สามารถนำมาใช้เป็นกรณีศึกษาได้ทั้งในแง่ของแนวทางการโจมตี การรับมือ และการป้องกัน

โดยลักษณะการโจมตีด้วยฟิชชิ่งที่ร้ายแรงในครั้งนี้ ผู้โจมตีได้ส่งอีเมลฟิชชิ่งพร้อมทั้งแนบไฟล์มัลแวร์เพื่อหลอกขโมยรหัสผ่านและหลอกให้ผู้ใช้ติดตั้งมัลแวร์ดังกล่าว โดยตัวมัลแวร์ที่แนบมานั้นคือ Emotet ซึ่งมีความสามารถในการรับคำสั่งจากเครื่องควบคุมและดาวน์โหลดมัลแวร์สายพันธุ์อื่นมาติดตั้งเพิ่มเติมในภายหลัง นอกจากนั้นแล้ว Emotet ยังเป็นมัลแวร์ในลักษณะ polymorphic ซึ่งสามารถดัดแปลงโค้ดการทำงานไปเรี่อยๆ เพื่อหลบเลี่ยงโปรแกรมแอนติไวรัสที่ใช้วิธีตรวจจับจากฐานข้อมูลเป็นหลักได้ หลังจากที่ผู้ประสงค์ร้ายได้รหัสผ่านบัญชีของพนักงานที่ตกเป็นเหยื่อ รวมทั้งเครื่องคอมพิวเตอร์ของหนักงานคนดังกล่าวได้ติดมัลแวร์ Emotet แล้ว ผู้ประสงค์ร้ายได้สั่งให้คอมพิวเตอร์เครื่องนั้นดาวน์โหลดมัลแวร์และเครื่องมือโจมตีอื่นๆ มาติดตั้งเพิ่มเติมด้วย เช่น ใช้โปรแกรม Mimikatz เพื่อรวบรวมข้อมูลบัญชีของผู้ใช้อื่นๆ ในระบบ

หลังจากที่เหตุการณ์ผ่านไปแล้ว 4 วัน ผู้ประสงค์ร้ายได้เริ่มลงมือในขั้นต่อไป โดยใช้บัญชีของพนักงานที่ตกเป็นเหยื่อส่งอีเมลฟิชชิ่งออกไปหลอกพนักงานคนอื่นๆ ในบริษัท ซึ่งเนื่องจากระบบของทางบริษัทไม่ได้ตั้งค่าให้ตรวจสอบและคัดกรองอีเมลที่รับส่งกันภายใน ทำให้มัลแวร์และฟิชชิ่งแพร่กระจายออกไปอย่างรวดเร็ว มัลแวร์ Emotet แพร่กระจายไปยังเกือบทุกเครื่องของบริษัท จนกระทั่งเข้าวันที่ 8 ผู้ประสงค์ร้ายได้สั่งให้เครื่องที่อยู่ภายใต้การควบคุมโจมตีระบบสำคัญต่างๆ ของบริษัทจนทำให้ระบบไอทีไม่สามารถให้บริการต่อได้ จนถึงจุดนี้ทางบริษัทดังกล่าวจึงได้ขอให้ทางทีม DART เข้ามาช่วยแก้ไขปัญหา

ทางทีม DART ได้แบ่งการทำงานออกเป็น 2 ทีม โดยทีมแรกจะเข้าไปที่หน้างานเพื่อประเมินความเสียหายและแก้ไขปัญหาในเบื้องต้น ส่วนอีกทีมจะคอยประสานงานและให้ความสนับสนุนจากออฟฟิศ ในเบื้องต้นทางทีมที่เข้าไปทำหน้างานได้ติดตั้งเครื่องมือที่ช่วยให้สามารถเห็นสภาพความเสียหายในภาพรวมได้ พร้อมทั้งรวบรวมข้อมูล log เพื่อมาวิเคราะห์เพิ่มเติมในภายหลัง ในการแก้ไขปัญหา เบื้องต้นทางทีม DART ได้แนะนำให้ทางบริษัทปรับโครงสร้างระบบเครือข่ายใหม่ โดยเพิ่มส่วนที่เรียกว่า buffer zone ขึ้นมาเพื่อจำกัดความเสียหายจากมัลแวร์ Emotet จากนั้นค่อยๆ ทยอยนำระบบทีละส่วนเข้ามาในโซนนี้เพื่อกำจัดและแก้ไขปัญหามัลแวร์ ในขณะที่ทีม DART ฝั่งสนับสนุนได้วิเคราะห์ช่องทางการโจมตีและวิเคราะห์ไฟล์มัลแวร์ จากนั้นสร้างข้อมูล signature ออกมาเพื่อใช้สำหรับตรวจจับและกำจัดมัลแวร์ในเครื่องที่เหลือ

จากเหตุการณ์นี้ทาง Microsoft ได้สรุปเป็นกรณีศึกษาไว้หลายประเด็น เช่น สาเหตุที่มัลแวร์แพร่กระจายในเครือข่ายได้อย่างรวดเร็วและเป็นวงกว้างนั้นเกิดจากการที่ทางบริษัทไม่ได้ตั้งค่าระบบคัดกรองอีเมลให้ตรวจจับอีเมลที่รับส่งภายในด้วย ไม่มีระบบที่ช่วยแสดงให้เห็นว่าเกิดเหตุการณ์ผิดปกติอะไรขึ้นภายในเครือข่ายบ้าง ซึ่งหากมีระบบดังกล่าวเหตุการณ์มัลแวร์แพร่ระบาดน่าจะมีการแจ้งเตือนและแก้ไขสถานการณ์ได้ทัน รวมทั้งทางบริษัทยังไม่ได้มีการตั้งค่าสิทธิ์ของผู้ดูแลระบบที่ดีพอ และยังไม่ได้มีแผนการรับมือเหตุการณ์การโจมตีทางไซเบอร์ในลักษณะนี้ด้วย ซึ่งทีมที่เข้าไปทำหน้างานยังได้ให้ข้อมูลเพิ่มเติมอีกว่าสถานการณ์ในตอนนั้นทางเจ้าหน้าที่ไอทีมีความเหนื่อยล้าเป็นอย่างมากเนื่องจากต้องรับผิดชอบทั้งการแก้ไขกู้คืนระบบและการรายงานสถานการณ์ให้ผู้บริหารระดับสูงทราบเพื่อเตรียมแถลงข้อมูลการโจมตีนี้ต่อสาธารณะ