คุณมั่นใจหรือ? ว่าการเลือกใช้ Cloud ของผู้ให้บริการชื่อดังจะช่วยให้บริษัทปลอดภัยหายห่วง

นี่เป็นคำถามที่เกิดขึ้นหลังจากนักวิจัยทีม Unit 42 จาก Palo Alto Networks ค้นพบ Newly Observed Hostname (NOH) หรือชื่อของ Hostname ใหม่ซึ่งมี Keyword ที่เกี่ยวข้องกับการระบาดของไวรัส COVID-19 จำนวน 1,200,000 ชื่อ จนพบว่าชื่อโดเมนแบบเต็ม (Fully Qualified Domain Names) กว่า 86,600 โดเมนนั้นสามารถจำแนกแยกแยะได้เป็นโดเมนประเภท “High-risk” หรือ “Malicious” (C2, Malware หรือ Phishing) มีการกระจายไปทั่วภูมิภาคต่างๆ  ไม่ว่าจะเป็นสหรัฐอเมริกาที่มีจำนวน Malicious Domain มากที่สุด (29,007) ตามด้วยอิตาลี (2,877), เยอรมัน (2,564), และรัสเซีย (2,456)

NOH โฮสต์อยู่ที่ไหนบ้าง? ทีมนักวิจัยแห่ง Palo Alto Networks พบว่ากว่า 56,200 ของ NOH นั้นโฮสต์ไว้กับผู้ให้บริการ Cloud รายใหญ่ (Cloud Service Providers) 4 ราย ได้แก่ Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) และ Alibaba แสดงให้เห็นว่าต่อให้คุณเลือกใช้บริการ Cloud จากผู้ให้บริการชื่อดัง ก็ไม่ได้ช่วยให้คุณปลอดภัย อยู่ดี

ในระหว่างการวิจัยยังพบว่าบาง Malicious Domain นั้นแปลงไปเป็น IP ได้แบบ Multiple IP address และบาง IP address นั้น Map กับหลาย Malicious Domain ซึ่งการ Mapping แบบ Many-to-many นี้เกิดขึ้นได้บ่อยใน Cloud Environment ที่มีการใช้งานในลักษณะ Content Delivery Networks (CDNs) โดยจะส่งผลให้ Firewall ที่ทำงานในระดับ IP-based นั้นไร้ประโยชน์ไปโดยปริยาย

ข้อมูลน่าสนใจจากการวิจัย

  • โดยเฉลี่ยจะมี 1,767 High-risk Domain หรือ Malicious Domain Name ที่ใช้ Theme COVID-19 เกิดขึ้นใหม่ทุกวัน
  • จากกว่า 86,600 Domain Names พบว่า 2,829 Domain Names ที่โฮสต์ไว้ใน Public Cloud นั้นเป็น High-risk หรือ Malicious Domain โดยมีรายละเอียดดังนี้
    • 2% in AWS
    • 6% in GCP
    • 9% in Azure
    • 3% in Alibaba
  • ผู้ไม่ประสงค์ดีพยายามแฝง Malicious Activity เช่น Phishing และการส่ง Malware ผ่าน Cloud
  • ราคาที่สูง รวมถึงกระบวนการคัดกรองและตรวจสอบที่เข้มงวดนั้น ทำให้ Malicious Actors ไม่อยากจะโฮสต์ Malicious Domain ไว้ใน Public Cloud

ภัยคุกคามที่โจมตีมาจาก Cloud นั้นยากต่อการป้องกัน เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จาก Resource ของระบบ Cloud นำมาช่วยเพิ่มพลังการโจมตีและหลบหลีกการตรวจจับ นี่จึงทำให้เราได้คำตอบว่า

Secure The Cloud คือสิ่งที่บริษัทต้องทำทันที เพราะผู้ให้บริการ Cloud ยอดนิยมไม่ได้ตอบโจทย์ในเรื่องของความปลอดภัยอีกแล้ว บริษัทควรเลือกใช้ Cloud-Native Security Platform และแอปพลิเคชันบน Firewall ที่รู้เท่าทันภัยคุกคามเช่นนี้ ซึ่ง Palo Alto Networks หมั่นตรวจสอบ Malicious NOH อย่างต่อเนื่อง ด้วยโซลูชั่น Prisma Cloud และ VM-Series ที่ทำให้ Cloud Environment มีความสามารถระดับ Layer-7 Firewall ป้องกัน Malicious Activity ที่เสี่ยงจะก่อให้เกิดอันตรายจาก Malicious Domain

นอกจากนี้ Palo Alto Networks ยังมีการคัดกรอง URL เพื่อให้ระบบของบริษัทปลอดภัยสูงสุดด้วย URL Filtering โดย URL นั้นๆจะถูกจัดว่าเป็นอันตราย (Malicious) หากตรวจพบว่ามีความเสี่ยงที่จะเป็น Malware หรือ Phishing ยิ่งหากก่อนหน้านี้พบว่าเป็น Malicious, โฮสต์บน Bulletproof ISPs, มีการแชร์โดเมนกับ Malicious Site ก็จะถูกระบบตีตราไว้ว่าเป็น High-risk หรือ Malicious ทันที

รู้เท่าทันภัยคุกคามด้วยข้อมูลที่เป็นปัจจุบันอยู่เสมอ ฐานข้อมูลของ Palo Alto Networks ถูกเพิ่มพูนด้วยข้อมูลสำคัญจากการใช้ Palo Alto Networks URL Filtering, AutoFocus, WHOIS Database, และ IP Geolocation เราจึงมั่นใจได้ว่าไม่ว่าจะเป็น NOH หรือ Hostname อื่นๆ Palo Alto Networks ก็จะยังกดความเสี่ยงที่อาจเกิดขึ้นกับระบบให้ต่ำลงได้มากที่สุด

ลูกค้า Palo Alto Networks จะได้รับการคุ้มครองจากภัยคุกคามเหล่านี้ จากโซลูชั่น Prisma Cloud, VM-Series และ Palo Alto Network URL Filtering

ภัยคุกคามทางไซเบอร์พัฒนาขึ้นอย่างรวดเร็ว เราจะเห็นได้ว่าตอนนี้การจู่โจมที่เกิดขึ้นไม่ได้ตั้งเป้าไปที่ผู้ใช้งาน Cloud เพียงอย่างเดียว แต่กลับเป็นภัยคุกคามที่เกิดขึ้นบน Cloud เองด้วยซ้ำ ทุกๆวัน Malicious Domain จำนวนมากมายกำลัง Online อยู่ มันเป็นเรื่องสำคัญมากที่เราจะต้องปกป้อง Endpoint ด้วยโซลูชันที่สามารถปกป้องภัยคุกคามได้อย่างอัตโนมัติ และมีการ Monitor อย่างต่อเนื่อง เพราะแอปพลิเคชันที่อยู่บน Cloud เองก็ถูกภัยคุกคามตัวเดียวกับ Endpoint ที่ไม่ได้ใช้ Cloud โดน ซึ่งปัญหานี้จะยิ่งซับซ้อนมากขึ้นไปอีกหากคุณต้องทำงานบน Multi-cloud Environment เท่านั้นยังไม่พอความซับซ้อนของ Cloud Management ก็ทำให้เกิดการ Config ที่ผิดพลาดโดยตัวผู้ใช้งานเองจนอาจทำให้เกิดปัญหาด้านความปลอดภัย

ดังนั้น Cloud Native Security Platforms (CNSPs) จึงเข้ามาช่วยให้บริษัทดูแลและปกป้องข้อมูลที่ต้องผ่านผู้ให้บริการ Cloud หลายเจ้าได้ อีกทั้งยังช่วยจัดการปัญหาเกี่ยวกับ Workloads และ Hybrid Cloud Environments อีกด้วย

อยากได้ข้อมูลมากกว่านี้? nForce Secure คือผู้เชี่ยวชาญระดับ Value-added ในการให้คำแนะนำและจัดจำหน่าย Palo Alto Networks ที่คอยตอบคำถามของคุณพร้อมรอยยิ้ม ติดต่อได้ที่ Line: @nforcesecure หรือโทร 02 274 0984

คลิกเพื่อดูที่มาข้อมูล

ช่วงนี้ถือเป็นช่วงที่ระบบปฏิบัติการ Mac OS ถูกแรนซัมแวร์โจมตีติดๆกันเลยครับ เพราะหลังจากที่โดนถล่มด้วยมัลแวร์ประเภท Adware ไปแล้ว ครั้งนี้ก็ถึงคราวโดนมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตีบ้างครับ
แรนซัมแวร์ที่โจมตี Mac OS นั้นเป็นหนึ่งในแรนซัมแวร์ 3 ตัวที่ถูกค้นพบขึ้นมาใหม่และสามารถดึงดูดความสนใจจากนักวิจัยด้านความปลอดภัยไซเบอร์และนักวิจัยมัลแวร์ ซึ่งแรมซัมแวร์ตัวนี้จะมุ่งเป้าโจมตีไปที่ผู้ใช้เครื่องระบบ Mac โดยเฉพาะ

OSX.EvilQuest, คือชื่อของแม็คแรนซัมแวร์ (Mac Ransomware) ที่แพร่กระจายผ่านทางเว็บ Torrent จากประเทศรัสเซีย และทำการแชร์จากฟอรั่มมาในรูปแบบของ Disk Image File ที่สามารถดาวน์โหลดออกไปได้ ซึ่งไฟล์นั้นจะเป็นเหมือนตัวติดตั้งตัวเล็กๆของ Hosted-based Application Firewall
นักวิจัยบางส่วนรายงานถึงการค้นพบที่เกิดขึ้น ทั้งนี้หนึ่งในนักวิจัยได้ทวิตลงในทวิตเตอร์ของตนถึงตัวอย่างของ OSX. EvilQuest มัลแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ (0% Detection Rate) และตัวมันยังแกล้งทำเป็นตัว Google Software Update Program อีกด้วย
แม้มัลแวร์ตัวนี้จะยังมีข้อบกพร่องอยู่บ้าง แต่จากรายงานของ Thomas Reed ผู้อำนวยการบริษัทมัลแวร์ไบท์ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ได้โพสต์ใน Blog ว่าจากการดาวน์โหลดตัวติดตั้งของแอป Little Snitch ที่เป็นแอปเถื่อนทำให้เห็นได้ชัดว่า มีบางอย่างผิดปกติเกิดขึ้นสำหรับแอป Little Snitch แบบโหลดเถื่อน โดยมันจะมาพร้อมกับ Generic Installer Package ปกติ ซึ่งดูเผินๆเหมือนกับติดตั้งแอป Little Snitch เวอร์ชันจริง แต่ความจริงแล้วมันยังติดตั้งไฟล์ที่มีชื่อว่า Patch เพิ่มเข้ามาด้วย อีกทั้งยังมีสคริปต์หลังจากติดตั้งแอป เป็นสาเหตุที่ทำให้เครื่องๆนั้นติดแรนซัมแวร์
หลังจากนั้นสคริปต์ที่ติดตั้งดังกล่าวจะย้ายไฟล์ที่ชื่อ Patch ไปยังที่ใหม่แล้วเปลี่ยนชื่อใหม่ให้มันเป็น CrashReporter ซึ่งซ่อนอยู่ใน Activity Monitor จึงทำให้ผู้ใช้ไม่เกิดความสงสัย จากนั้นไฟล์ที่ชื่อ Patch จะเริ่มติดตั้งตัวเองไปอีกหลายจุดในเครื่องนั้น แล้วแรนซัมแวร์จะทำการเข้ารหัสการตั้งค่าและไฟล์ข้อมูลต่างๆ บนเครื่อง Mac เหมือนกับไฟล์ Keychain ซึ่งจะส่งผลให้มี Error เกิดขึ้นเมื่อพยายามเข้าถึง iCloud Keychain รวมไปถึง Finder เองก็จะเริ่มทำงานผิดปกติหลังจากติดตั้งเสร็จ ไม่เพียงเท่านั้นส่วนอื่นๆ เช่น Dock และแอปพลิเคชันต่างๆก็จะเริ่มเกิดปัญหาขึ้น
ซึ่งไฟล์ที่ชื่อ Patch นี้ได้กลายมาเป็นตัวที่เข้ารหัสกับ Hard Drive ไฟล์ต่างๆ โดยทั้งหมดนั้นใช้สิทธิ์ของ Root Privileges ในการรันบนเครื่องของเหยื่อ ทั้งนี้มัลแวร์ยังได้แจ้งเตือนเหยื่อผ่านทางข้อความและหน้าต่าง Prompt ซึ่งในตัวอย่างข้อความที่ถูกเปิดเผยพบว่าได้มีการอ้างว่ามีการใช้ AES-256 อัลกอริทึมที่ใช้ในการเข้ารหัสไฟล์ และบอกให้เหยื่อจ่าย 50 ดอลลาร์สหรัฐสำหรับการไถ่ข้อมูลคืนผ่านช่องทางบิตคอยน์(Bitcoin) รวมถึงให้ระยะเวลาในการจ่ายเงินเพื่อไถ่ข้อมูลคืนภายใน 3 วัน ไม่เช่นนั้นจะไม่สามารถเรียกหรือกู้คืนข้อมูลกลับมาได้ และนอกจากการล็อคไฟล์ไว้เรียกค่าไถ่แล้ว มัลแวร์ในเครื่องยังติดตั้ง Keylogger เพื่อเก็บข้อมูลการกดแป้นพิมพ์ของผู้ใช้งานมาอีกด้วย
ช่วงนี้เป็นช่วงที่แรนซัมแวร์ระบาดครับ นอกเหนือจากที่ผมได้ยกตัวอย่างมานั้นก็ยังมีอีกหลายตัวที่มีจุดมุ่งหมายในการโจมตีที่ต่างกันออกไป ยิ่งมีแรนซัมแวร์ที่แอนตี้ไวรัสไม่สามารถตรวจพบได้ ยิ่งทำให้องค์กรต้องหันมาให้ความสำคัญกับการป้องกันระบบในทุกๆส่วน และเลือกใช้โซลูชัน (Solution) ที่สามารถ Integrate กันได้ เพื่อทำให้การคุ้มครองระบบมีช่องโหว่น้อยที่สุดครับ

โลกไซเบอร์ในปัจจุบันนี้ถูกเปลี่ยนไปเยอะนะครับ นอกจากจะมีบริการเพื่อให้ผู้ใช้งานใช้งานได้สะดวกขึ้นแล้ว ยังมีบริการให้แฮกเกอร์โจมตีเหยื่อได้สะดวกขึ้นด้วยเช่นกัน ทุกวันนี้จึงมีแรนซัมแวร์ตัวใหม่ๆเกิดขึ้นมากมาย ไม่ว่าจะเป็น Zeppelin, REvil/Sodinokibi และยังมีแรนซัมแวร์ที่มีการพัฒนาสายพันธุ์ให้มีความรุนแรงและแยบยลในการจู่โจมมากยิ่งขึ้น จนเกิดเป็นรูปแบบของ Ransomware-as-a-Service (RaaS) ซึ่งผู้ที่สร้างมันขึ้นมาได้ให้บริการแรนซัมแวร์ โดยการขายหรือปล่อยให้เช่ากับอาชญากรไซเบอร์ แลกกับส่วนแบ่งกำไรหลังจากที่ก่ออาชญากรรมสำเร็จ
อีเมลยังเป็นอาวุธหลักที่นำมาใช้เปิดการจู่โจม และนิยมมากที่สุดรูปแบบหนึ่งของแรนซัมแวร์ ยิ่งอีเมลถูกนำมาใช้ในรูปแบบ Social Engineering ก็ยิ่งจู่โจมได้แยบยลมากยิ่งขึ้น โดยเป้าหมายส่วนมากจะเน้นไปที่พนักงานทั่วไปในองค์กรมากกว่าจะจู่โจมแบบสุ่มๆเข้ามาในระบบเครือข่ายเหมือนแต่ก่อน นอกจากนี้ช่องโหว่ของระบบที่ไม่ได้มีการอัพเดทแพตช์ และข้อผิดพลาดในการตั้งค่าของระบบ เช่น การใช้ Remote Desktop Connection ที่ไม่ปลอดภัย ก็ทำให้ไม่สามารถหาโซลูชั่นที่จะตอบโจทย์การป้องกันแรนซัมแวร์ได้สมบูรณ์แบบในคราวเดียว
ถึงแม้ว่าจะมี Firewalls, IPS/IDS, Proxies และ Endpoint Protection Platform (EPP) รวมถึง Antivirus ก็ไม่สามารถที่จะหยุดการโจมตีจากแรนซัมแวร์ได้ทั้งหมดอยู่ดี เพราะหากมีการดัดแปลง Signature แล้วก็จะตรวจจับได้ยาก Endpoint Detection and Response (EDR) จึงถือกำเนิดขึ้นเพื่อช่วยป้องกันอีกชั้นนึง ด้วยเทคนิคการตรวจจับของ EDR ที่มีการตรวจจับที่ลึกกว่าเพื่อมองหาสิ่งผิดปกติที่เกิดขึ้นในอุปกรณ์นั้นๆ ถึงแม้ว่า EDR จะไม่สามารถหยุดการจู่โจมได้ทุกอย่างเหมือน EPP ก็ตาม แต่ก็สามารถที่จะขัดขวางการจู่โจมได้เป็นส่วนมาก
แต่นั่นก็ยังไม่สามารถหยุดยั้งแรนซันแวร์ได้ และถึงคราวต้องใช้เทคโนโลยีในการตรวจจับแบบขั้นสูงอย่าง Deception มาช่วยผสานงานในการตรวจจับเพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้นไปอีก โดย Advanced Deception Technology นั้นสามารถตรวจจับการเคลื่อนไหวที่เกิดขึ้นภายใน (Lateral Movement) รวมถึงสามารถปกป้องหรือซ่อนเครื่องที่ถูกใช้จริงจากการจู่โจม และส่งแรนซัมแวร์ไปยังเครื่องที่มีการแชร์ไฟล์ปลอมๆเอาไว้ จากนั้นก็หลอกผู้จู่โจมโดยการส่งข้อมูลปลอมไปให้ ซึ่งในระหว่างนั้นระบบ Deception จะแจ้งเตือนไปยังผู้ที่ดูแล และแยกเครื่องที่มีการติดแรนซัมแวร์ออกจากระบบเครือข่ายเพื่อป้องกันการแพร่กระจายอีกด้วย
นี่ถือเป็นเรื่องใหม่ของการป้องกันภัยคุกคามอย่างแรนซัมแวร์ เพราะเมื่อรวมความสามารถทั้งหมดของ EPP, EDR, และ Deception เข้าด้วยกันก็ทำให้เกิดระบบการป้องกันและตรวจจับที่มีประสิทธิภาพสูง และสามารถตรวจสอบหาสาเหตุและช่องโหว่เพื่อที่จะทำการอุดช่องโหว่ ตลอดจนรู้เท่าทันวิธีการต่างๆที่อาชญากรไซเบอร์ใช้ในการจู่โจมครั้งต่อไปได้ ช่วยให้ตอบสนองและแก้ปัญหาได้อย่างรวดเร็ว ลดผลกระทบที่จะเกิดขึ้นให้น้อยที่สุด จนเชื่อว่านี่จะเป็นโซลูชั่นที่ทุกองค์กรต่างต้องการมีไว้ใช้ป้องกันระบบครับ

การอัพเดทแพตช์ของสองยักษ์ใหญ่

ทุกโปรแกรมต่อให้เปิดตัวมานานหลายปี มีผู้ใช้งานมากมายเช่นไร ก็ยังต้องหมั่นตรวจสอบหาช่องโหว่ (Vulnerability) และทำการแพตช์ (Patch) ปิดช่องโหว่นั้นอยู่เสมอ เช่นเดียวกันกับเจ้าของระบบปฏิบัติการที่คนทั่วโลกต้องรู้จักอย่างไมโครซอฟท์ และโปรแกรมทำงานด้านรูปภาพและวีดีโออย่าง Adobe

โดยก่อนหน้านี้ไมโครซอฟท์ได้ปล่อยอัพเดทแพตช์เพิ่มความปลอดภัยของโปรแกรมมามากกว่า 100 แพตช์ ในทุกๆวันอังคารเป็นเวลากว่าสองเดือนติดต่อกัน ทั้งนี้มี 3 แพตช์ช่องโหว่สำคัญใหญ่ๆ ซึ่งในภาพรวมจะเห็นว่ามี 113 ช่องโหว่ที่มากับ 19 ปัญหาร้ายแรงที่ต้องอัพเดทแพตช์อย่างเร่งด่วน

ช่องโหว่บางส่วนสามารถพบได้ใน Adobe Font Manager Library ซึ่งเป็นสาเหตุของภัยคุกคามแบบ Remote Code Execution ซึ่งการที่ผู้จู่โจมจะอาศัยช่องโหว่นี้ได้ต้องอาศัยเทคนิคในด้าน Social Engineering เพื่อให้เหยื่อเปิดไฟล์เอกสารที่แฝงภัยคุกคามมาด้วย หรือทำให้เหยื่อเปิดเอกสารนั้นใน Windows Preview Pane

ช่องโหว่บางส่วนถูกพบใน Internet Explorer และพบว่าปัญหาคือการจัดการที่ไม่ถูกต้องภายในโปรแกรม Internet Explorer เอง ในขณะที่ช่องโหว่บางส่วนยังไปเพิ่มระดับของช่องโหว่ใน Windows Kernel ซึ่งถือเป็นช่องโหว่ที่แพร่กระจายไปทั่ว รวมถึงไมโครซอฟได้กำหนดระดับความอันตรายของช่องโหว่นี้ในระดับ “Exploitation More Likely” ซึ่งถือว่าเป็นระดับที่สูงมากอีกด้วย

OneDrive ของไมโครซอฟท์เองก็พบช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถทำการรัน Crafted Application เพื่อที่จะทำการควบคุมระบบที่เป็นเป้าหมายได้อีกด้วย

ในส่วนของ Adobe นั้นมีการอัพเดทแพตช์ในเดือนเมษายนนี้ โดยแพตช์จะครอบคลุมสำหรับโปรแกรมของ Adobe ทั้ง 3 โปรแกรมที่มีช่องโหว่ทั้งหมด และช่องโหว่ทั้งหมดนี้ถูกจัดให้เป็นช่องโหว่สำคัญที่ต้องมีการอัพเดทแพตช์อย่างเร่งด่วน

ColdFusion 2016 และ 2018 ซึ่งเป็นโปรแกรมของ Adobe ได้รับแพตช์เช่นกัน ซึ่งเป็นช่องโหว่เกี่ยวกับการ Input Validation ช่องโหว่ในระดับแอปพลิเคชันของ DoS เป็นช่องโหว่เกี่ยวกับ DLL Search-order Hijacking ที่สามารถนำไปสู่การยกระดับสิทธิ์ของผู้ไม่ประสงค์ดี และยังมีช่องโหว่บางส่วนที่เกี่ยวกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งนำไปสู่ปัญหาเรื่องโครงสร้างของระบบที่อาจถูกเปิดเผยนั่นเอง

ทั้งไมโครซอฟท์และ Adobe ต่างก็เป็นโปรแกรมที่องค์กรหลายๆแห่งเลือกให้พนักงานใช้ เมื่อทั้งสองโปรแกรมปล่อยอัพเดทแพตช์ออกมา องค์กรควรรีบแจ้งให้พนักงานทุกคนทำการอัพเดท เพื่อไม่ให้เกิด Zero Day Attacks หรือภัยที่เกิดจากช่องโหว่ของโปรแกรมในคอมพิวเตอร์ เพราะในช่วงเวลาที่ทุกคนต้องทำงานที่บ้าน (Work From Home) เช่นนี้ เมื่อเกิดปัญหาจะทำให้การ Support ของผู้ให้บริการเป็นไปอย่างยากลำบาก ซึ่งจะทำให้ผู้ใช้งานได้รับการบริการที่ช้าลงกว่าในช่วงเวลาปกติ จนอาจส่งผลให้ธุรกิจดำเนินไปได้อย่างไม่เต็มประสิทธิภาพ ทั้งนี้ก็ควรให้ความสำคัญกับ Perimeter และ Firewall ที่องค์กรใช้งานเช่นกันครับ