Powered by

 

รับทำโปรเจค html5 รับทำโปรเจค css รับทำโปรเจค javascript รับทำโปรเจค php รับทำโปรเจค codeigniter รับทำโปรเจค laravel รับทำโปรเจค asp.net รับทำโปรเจค angulatjs รับทำโปรเจค reactjs รับทำโปรเจค joonla เว็บสำเร็จรูป รับทำโปรเจค moodle ระบบอีเลิร์นนิ่ง E-learning รับทำโปรเจค wordpress รับทำโปรเจค android application รับทำโปรเจค ios application รับทำโปรเจค flutter รับทำโปรเจค react native ฐานข้อมูล mysql ฐานข้อมูล mariadb ฐานข้อมูล postgresql ฐานข้อมูล sql server ฐานข้อมูล firebase ฐานข้อมูล mongodb รับทำโปรเจค dreamweaver รับทำโปรเจค vscode รับทำโปรเจค sublime text รับทำโปรเจค nodejs expressjs รับทำโปรเจค nginx รับทำโปรเจค apache web server รับทำโปรเจค xampp

 

ระวังมัลแวร์จากอีเมลฟิชชิ่ง คลิกเดียวระบบล่มทั้งบริษัท

ระวังมัลแวร์จากอีเมลฟิชชิ่ง คลิกเดียวระบบล่มทั้งบริษัท

โดย: Administrator

เมื่อ: 10/04/2563 08:33:31

Tags: cyber security, dart, emotet, malware, microsoft, phishing, ฟิชชิ่ง, มัลแวร์,

ระวังมัลแวร์จากอีเมลฟิชชิ่ง แค่คลิกลิงก์ครั้งเดียวระบบล่มทั้งบริษัทได้ โดย ทีม DART (Detection and Response Team) ซึ่งเป็นทีมตอบสนองภัยคุกคามทางไซเบอร์ของ Microsoft ได้เผยแพร่กรณีศึกษาเหตุการณ์ที่บริษัทแห่งหนึ่งติดมัลแวร์จนระบบไอทีทั้งหมดไม่สามารถให้บริการได้ โดยล่าสุดทีม DART ได้เข้าไปช่วยวิเคราะห์และแก้ปัญหาจนสามารถกู้ระบบคืนมาได้แล้ว ทั้งนี้ เหตุการณ์ดังกล่าวมีหลายประเด็นที่สามารถนำมาใช้เป็นกรณีศึกษาได้ทั้งในแง่ของแนวทางการโจมตี การรับมือ และการป้องกัน

โดยลักษณะการโจมตีด้วยฟิชชิ่งที่ร้ายแรงในครั้งนี้ ผู้โจมตีได้ส่งอีเมลฟิชชิ่งพร้อมทั้งแนบไฟล์มัลแวร์เพื่อหลอกขโมยรหัสผ่านและหลอกให้ผู้ใช้ติดตั้งมัลแวร์ดังกล่าว โดยตัวมัลแวร์ที่แนบมานั้นคือ Emotet ซึ่งมีความสามารถในการรับคำสั่งจากเครื่องควบคุมและดาวน์โหลดมัลแวร์สายพันธุ์อื่นมาติดตั้งเพิ่มเติมในภายหลัง นอกจากนั้นแล้ว Emotet ยังเป็นมัลแวร์ในลักษณะ polymorphic ซึ่งสามารถดัดแปลงโค้ดการทำงานไปเรี่อยๆ เพื่อหลบเลี่ยงโปรแกรมแอนติไวรัสที่ใช้วิธีตรวจจับจากฐานข้อมูลเป็นหลักได้ หลังจากที่ผู้ประสงค์ร้ายได้รหัสผ่านบัญชีของพนักงานที่ตกเป็นเหยื่อ รวมทั้งเครื่องคอมพิวเตอร์ของหนักงานคนดังกล่าวได้ติดมัลแวร์ Emotet แล้ว ผู้ประสงค์ร้ายได้สั่งให้คอมพิวเตอร์เครื่องนั้นดาวน์โหลดมัลแวร์และเครื่องมือโจมตีอื่นๆ มาติดตั้งเพิ่มเติมด้วย เช่น ใช้โปรแกรม Mimikatz เพื่อรวบรวมข้อมูลบัญชีของผู้ใช้อื่นๆ ในระบบ

หลังจากที่เหตุการณ์ผ่านไปแล้ว 4 วัน ผู้ประสงค์ร้ายได้เริ่มลงมือในขั้นต่อไป โดยใช้บัญชีของพนักงานที่ตกเป็นเหยื่อส่งอีเมลฟิชชิ่งออกไปหลอกพนักงานคนอื่นๆ ในบริษัท ซึ่งเนื่องจากระบบของทางบริษัทไม่ได้ตั้งค่าให้ตรวจสอบและคัดกรองอีเมลที่รับส่งกันภายใน ทำให้มัลแวร์และฟิชชิ่งแพร่กระจายออกไปอย่างรวดเร็ว มัลแวร์ Emotet แพร่กระจายไปยังเกือบทุกเครื่องของบริษัท จนกระทั่งเข้าวันที่ 8 ผู้ประสงค์ร้ายได้สั่งให้เครื่องที่อยู่ภายใต้การควบคุมโจมตีระบบสำคัญต่างๆ ของบริษัทจนทำให้ระบบไอทีไม่สามารถให้บริการต่อได้ จนถึงจุดนี้ทางบริษัทดังกล่าวจึงได้ขอให้ทางทีม DART เข้ามาช่วยแก้ไขปัญหา

ทางทีม DART ได้แบ่งการทำงานออกเป็น 2 ทีม โดยทีมแรกจะเข้าไปที่หน้างานเพื่อประเมินความเสียหายและแก้ไขปัญหาในเบื้องต้น ส่วนอีกทีมจะคอยประสานงานและให้ความสนับสนุนจากออฟฟิศ ในเบื้องต้นทางทีมที่เข้าไปทำหน้างานได้ติดตั้งเครื่องมือที่ช่วยให้สามารถเห็นสภาพความเสียหายในภาพรวมได้ พร้อมทั้งรวบรวมข้อมูล log เพื่อมาวิเคราะห์เพิ่มเติมในภายหลัง ในการแก้ไขปัญหา เบื้องต้นทางทีม DART ได้แนะนำให้ทางบริษัทปรับโครงสร้างระบบเครือข่ายใหม่ โดยเพิ่มส่วนที่เรียกว่า buffer zone ขึ้นมาเพื่อจำกัดความเสียหายจากมัลแวร์ Emotet จากนั้นค่อยๆ ทยอยนำระบบทีละส่วนเข้ามาในโซนนี้เพื่อกำจัดและแก้ไขปัญหามัลแวร์ ในขณะที่ทีม DART ฝั่งสนับสนุนได้วิเคราะห์ช่องทางการโจมตีและวิเคราะห์ไฟล์มัลแวร์ จากนั้นสร้างข้อมูล signature ออกมาเพื่อใช้สำหรับตรวจจับและกำจัดมัลแวร์ในเครื่องที่เหลือ

จากเหตุการณ์นี้ทาง Microsoft ได้สรุปเป็นกรณีศึกษาไว้หลายประเด็น เช่น สาเหตุที่มัลแวร์แพร่กระจายในเครือข่ายได้อย่างรวดเร็วและเป็นวงกว้างนั้นเกิดจากการที่ทางบริษัทไม่ได้ตั้งค่าระบบคัดกรองอีเมลให้ตรวจจับอีเมลที่รับส่งภายในด้วย ไม่มีระบบที่ช่วยแสดงให้เห็นว่าเกิดเหตุการณ์ผิดปกติอะไรขึ้นภายในเครือข่ายบ้าง ซึ่งหากมีระบบดังกล่าวเหตุการณ์มัลแวร์แพร่ระบาดน่าจะมีการแจ้งเตือนและแก้ไขสถานการณ์ได้ทัน รวมทั้งทางบริษัทยังไม่ได้มีการตั้งค่าสิทธิ์ของผู้ดูแลระบบที่ดีพอ และยังไม่ได้มีแผนการรับมือเหตุการณ์การโจมตีทางไซเบอร์ในลักษณะนี้ด้วย ซึ่งทีมที่เข้าไปทำหน้างานยังได้ให้ข้อมูลเพิ่มเติมอีกว่าสถานการณ์ในตอนนั้นทางเจ้าหน้าที่ไอทีมีความเหนื่อยล้าเป็นอย่างมากเนื่องจากต้องรับผิดชอบทั้งการแก้ไขกู้คืนระบบและการรายงานสถานการณ์ให้ผู้บริหารระดับสูงทราบเพื่อเตรียมแถลงข้อมูลการโจมตีนี้ต่อสาธารณะ



ที่มา : it24hrs.com

กลับ