รายงาน Bitdefender พบ 84% ของการโจมตีใหญ่ในปัจจุบันใช้เครื่องมือที่น่าเชื่อถือ

รายงานฉบับใหม่จาก Bitdefender Labs หน่วยวิจัยของบริษัทความมั่นคงปลอดภัยไซเบอร์ Bitdefender เผยว่า 84% ของเหตุการณ์ความมั่นคงปลอดภัยครั้งใหญ่ในปัจจุบันเกี่ยวข้องกับการใช้เครื่องมือดูแลระบบที่น่าเชื่อถือ ซึ่งเป็นกลยุทธ์ที่เรียกว่า “Living off the Land”

รายงานซึ่งอ้างอิงจากการศึกษาข้อมูลเหตุการณ์ความมั่นคงปลอดภัยจำนวน 700,000 กรณี แสดงให้เห็นว่าแทบทุกเหตุการณ์ความมั่นคงปลอดภัยครั้งใหญ่ล้วนมีการใช้ไบนารี เครื่องมือ และยูทิลิตี้ที่เชื่อถือได้ซึ่งมีอยู่แล้วในสภาพแวดล้อมขององค์กร ทั้งนี้ ข้อมูลยืนยันเพิ่มเติมจากบริการ Managed Detection and Response ของ Bitdefender ยังยืนยันแนวโน้มดังกล่าว โดยพบว่า 85% ของเหตุการณ์ที่มีความรุนแรงสูงมีการใช้เทคนิค LOTL

เครื่องมือที่ถูกผู้โจมตีใช้บ่อยที่สุด ได้แก่ netsh.exe ซึ่งเป็นยูทิลิตี้มาตรฐานของ Windows สำหรับจัดการการตั้งค่าเครือข่าย โดยพบในหนึ่งในสามของการโจมตีครั้งใหญ่ ตามมาด้วยเครื่องมือที่คุ้นเคย เช่น powershell.exe, reg.exe, cscript.exe และ rundll32.exe ซึ่งแม้จะเป็นเครื่องมือที่ผู้ดูแลระบบใช้งานประจำ แต่ผู้โจมตีได้เรียนรู้ที่จะนำไปใช้เพื่อประโยชน์ของตนเอง

แม้เครื่องมือบางอย่างที่ถูกนำไปใช้จะเป็นที่รู้จักดี แต่รายงานยังพบว่าผู้โจมตีกำลังพัฒนากลยุทธ์ให้แยบยลมากขึ้น ด้วยการใช้เครื่องมือที่ไม่เป็นที่รู้จักทั่วไป เช่น sc.exe, msbuild.exe และ ngen.exe ซึ่งมักใช้โดยนักพัฒนา เครื่องมือเหล่านี้มักหลุดรอดจากการตรวจจับเนื่องจากอยู่นอกขอบเขตของการเฝ้าระวังความมั่นคงปลอดภัยแบบทั่วไป

Bitdefender Labs ชี้ว่า การใช้เครื่องมือเหล่านี้ทั้งในด้านฟังก์ชันที่จำเป็นและในแง่การถูกนำไปใช้โจมตี ก่อให้เกิดความท้าทายอย่างยิ่งต่อผู้ป้องกัน ซึ่งต้องรักษาเสถียรภาพของการดำเนินงานพร้อมกับรับประกันความมั่นคงปลอดภัย

สถานการณ์ยิ่งซับซ้อนขึ้นจากการวิเคราะห์ตามภูมิภาค ซึ่งพบความแตกต่างอย่างมีนัยสำคัญในการใช้งานเครื่องมือ เช่น powershell.exe ที่พบใน 97.3% ขององค์กรในยุโรป ตะวันออกกลาง และแอฟริกา แต่กลับพบเพียง 53.3% ในภูมิภาคเอเชียแปซิฟิก ในทางกลับกัน reg.exe ถูกใช้งานมากกว่าในเอเชียแปซิฟิกมากกว่าภูมิภาคอื่น ซึ่งสะท้อนถึงพฤติกรรมที่แตกต่างซึ่งส่งผลต่อการออกแบบและบังคับใช้มาตรการความมั่นคงปลอดภัย

นอกจากนี้ยังมีความจำเป็นต้องสามารถแยกแยะระหว่างพฤติกรรมที่ถูกต้องกับพฤติกรรม LOTL เครื่องมืออย่าง PowerShell และ wmic.exe มักถูกเรียกใช้ไม่เพียงโดยผู้ดูแลระบบ แต่ยังรวมถึงแอปพลิเคชันของบุคคลที่สามที่ฝังโค้ดเอาไว้ ยิ่งทำให้การวิเคราะห์ว่าเป็นการใช้งานที่ถูกต้องหรือไม่ซับซ้อนมากขึ้น

“ผู้โจมตีแสดงให้เห็นอย่างชัดเจนว่าพวกเขาสามารถหลบเลี่ยงการป้องกันแบบดั้งเดิมได้อย่างมีประสิทธิภาพ ด้วยการใช้เครื่องมือของระบบที่เราทุกคนไว้วางใจและใช้ในชีวิตประจำวันอย่างเชี่ยวชาญ และกลุ่มผู้ไม่หวังดีเหล่านี้ก็ปฏิบัติการอย่างมั่นใจว่าตนจะไม่ถูกตรวจจับได้” นักวิจัยระบุ “ความเป็นจริงอันน่าตกใจนี้เรียกร้องให้เกิดการเปลี่ยนแปลงในระดับรากฐานไปสู่โซลูชันความมั่นคงปลอดภัย เช่น Bitdefender’s PHASR ซึ่งไม่เพียงแค่บล็อกแบบตรงไปตรงมา แต่ยังสามารถวิเคราะห์และกำจัดเจตนาร้ายภายในเครื่องมือเหล่านี้ได้ด้วย”

ที่มา: https://siliconangle.com/2025/06/03/bitdefender-report-finds-84-major-attacks-now-involve-legitimate-tools/