EternalBlue กลับมาแล้วด้วยการหลอกให้ติดตั้ง Backdoor ก่อน

Netskope ศูนย์วิจัยด้านภัยคุกคามได้ค้นพบวิธีการใช้งาน EternalBlue รูปแบบใหม่คือใช้เทคนิคเพื่อหลอกลวงผู้ใช้งานอีเมล์ก่อนเป็นด่านแรกเพื่อให้เข้าถึงระบบภายในได้แล้วค่อยเจาะระบบผ่านช่องโหว่ด้วย EternalBlue ต่อไปซึ่งมีผลให้แฮ็กเกอร์สามารถเข้าโจมตีระบบเครือข่ายจากภายในได้โดยตรง

Credit: http://omerez.com/eternalblues/

Netskope ได้กล่าวถึงช่องโหว่ EternalBlue ว่า “หลังจากที่เครื่องภายในองค์กรสักหนึ่งเครื่องถูกเจาะเข้ามาได้แล้ว ช่วงโหว่นี้สามารถใช้เป็นจุดที่เจาะระบบภายในต่อไปได้ ผ่านทางเครื่องที่เปิดแชร์ไฟล์หรือว่าระบบสำรองข้อมูล นั่นทำที่เก็บข้อมูลหลักตกอยู่ในความเสี่ยงอย่างไม่อาจทราบได้ล่วงหน้า ” เนื่องจาก EternalBlue เป็นการใช้ช่องโหว่จากโปรโตคอล SMB ของ Microsoft ที่ใช้สำหรับแชร์ไฟล์ภายในเน็ตเวิร์ค โดยเมื่อต้นปีที่ผ่านกลุ่ม Shadow Brokers ได้ออกมาเปิดเผยเกี่ยวกับช่วงโหว่นี้และเวลาต่อมา Wanacry, NotPetya และ Bad Rabbit ก็ได้นำช่องโหว่ดังกล่าวมาใช้เพื่อ Remote Code Execution กับเครื่องที่เปิดพอร์ตของ SMB เอาไว้

Ashwin Vamshi นัยวิจัยจาก Netskope ได้กล่าวว่า “เราเริ่มสังเกตุเห็นความผิดปกติจากไฟล์ที่อยู่บน Cloud และหลายๆ บริการ ว่ามีภัยคุกคามอย่างมีนัยสำคัญ แม้ว่ามันมาจากต้นทางที่น่าเชื่อถือ เมื่อ Endpoint ถูกควบคุมได้ขั้นต่อมาก็คือการใช้งาน EternalBlue เพื่อกระจายการโจมตีไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป

การโจมตีครั้งนี้เริ่มขึ้นกับอีเมล์แถวๆ สวิสเซอร์แลนด์ที่ไฟล์ Word มีไส้ในเป็น .Ink อีกที ซึ่งจริงๆ แล้วเป็น Backdoor เพื่อไปดาวน์โหลด EternalBlue Payload จากนั้นเองมันก็จะเริ่มการโจมตีภายในองค์กรโดยไม่ต้องอาศัยการกระทำของผู้ใช้งาน โดยที่องค์กรไม่เคยเตรียมการรับมือมาก่อน “องค์กรใช้งาน Cloud โดยเชื่อถือที่มาอย่างไร้การตรวจสอบ นำไปสู่การเปิดโอกาสให้มัลแวร์โจมตีได้มากขึ้นและนั่นคือความท้าทายใหม่ในองค์กร องค์กรต่างๆ ควรบังคับใช้นโยบายการใช้งานบริการที่ไม่เป็นทางการ หรือส่วนติดต่อที่ไม่เป็นทางการที่แม้ว่าเกิดมาจากบริการบน Cloud ที่เป็นทางการและน่าเชื่อถือก็ตาม” — Vamshi กล่าวทิ้งท้าย

ที่มา : https://www.infosecurity-magazine.com/news/eternalblue-is-back-with-new-tricks 

 



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปิดตัว Palo Alto Networks Traps for Android ตรวจจับ Malware บน Android โดยเฉพาะ

Palo Alto Networks ได้ออกมาประกาศเปิดตัว Traps for Android เทคโนโลยีสำหรับตรวจจับ Malware บนอุปกรณ์ Smartphone และ Tablet ที่ใช้ระบบปฏิบัติการ Android …

เตือน Clipboard Hijacker พุ่งเป้าผู้ใช้ Bitcoin และ Ethereum ตกเป็นเหยื่อแล้วกว่า 300,000 ราย

Qihoo 360 Total Security ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดังจากจีน ออกแมาแจ้งเตือนถึงแคมเปญมัลแวร์ใหม่ ชื่อว่า ClipboardWalletHijacker ที่แพร่ระบาด Clipboard Hijacker ไปยัง PC …