EternalBlue กลับมาแล้วด้วยการหลอกให้ติดตั้ง Backdoor ก่อน

Netskope ศูนย์วิจัยด้านภัยคุกคามได้ค้นพบวิธีการใช้งาน EternalBlue รูปแบบใหม่คือใช้เทคนิคเพื่อหลอกลวงผู้ใช้งานอีเมล์ก่อนเป็นด่านแรกเพื่อให้เข้าถึงระบบภายในได้แล้วค่อยเจาะระบบผ่านช่องโหว่ด้วย EternalBlue ต่อไปซึ่งมีผลให้แฮ็กเกอร์สามารถเข้าโจมตีระบบเครือข่ายจากภายในได้โดยตรง

Credit: http://omerez.com/eternalblues/

Netskope ได้กล่าวถึงช่องโหว่ EternalBlue ว่า “หลังจากที่เครื่องภายในองค์กรสักหนึ่งเครื่องถูกเจาะเข้ามาได้แล้ว ช่วงโหว่นี้สามารถใช้เป็นจุดที่เจาะระบบภายในต่อไปได้ ผ่านทางเครื่องที่เปิดแชร์ไฟล์หรือว่าระบบสำรองข้อมูล นั่นทำที่เก็บข้อมูลหลักตกอยู่ในความเสี่ยงอย่างไม่อาจทราบได้ล่วงหน้า ” เนื่องจาก EternalBlue เป็นการใช้ช่องโหว่จากโปรโตคอล SMB ของ Microsoft ที่ใช้สำหรับแชร์ไฟล์ภายในเน็ตเวิร์ค โดยเมื่อต้นปีที่ผ่านกลุ่ม Shadow Brokers ได้ออกมาเปิดเผยเกี่ยวกับช่วงโหว่นี้และเวลาต่อมา Wanacry, NotPetya และ Bad Rabbit ก็ได้นำช่องโหว่ดังกล่าวมาใช้เพื่อ Remote Code Execution กับเครื่องที่เปิดพอร์ตของ SMB เอาไว้

Ashwin Vamshi นัยวิจัยจาก Netskope ได้กล่าวว่า “เราเริ่มสังเกตุเห็นความผิดปกติจากไฟล์ที่อยู่บน Cloud และหลายๆ บริการ ว่ามีภัยคุกคามอย่างมีนัยสำคัญ แม้ว่ามันมาจากต้นทางที่น่าเชื่อถือ เมื่อ Endpoint ถูกควบคุมได้ขั้นต่อมาก็คือการใช้งาน EternalBlue เพื่อกระจายการโจมตีไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป

การโจมตีครั้งนี้เริ่มขึ้นกับอีเมล์แถวๆ สวิสเซอร์แลนด์ที่ไฟล์ Word มีไส้ในเป็น .Ink อีกที ซึ่งจริงๆ แล้วเป็น Backdoor เพื่อไปดาวน์โหลด EternalBlue Payload จากนั้นเองมันก็จะเริ่มการโจมตีภายในองค์กรโดยไม่ต้องอาศัยการกระทำของผู้ใช้งาน โดยที่องค์กรไม่เคยเตรียมการรับมือมาก่อน “องค์กรใช้งาน Cloud โดยเชื่อถือที่มาอย่างไร้การตรวจสอบ นำไปสู่การเปิดโอกาสให้มัลแวร์โจมตีได้มากขึ้นและนั่นคือความท้าทายใหม่ในองค์กร องค์กรต่างๆ ควรบังคับใช้นโยบายการใช้งานบริการที่ไม่เป็นทางการ หรือส่วนติดต่อที่ไม่เป็นทางการที่แม้ว่าเกิดมาจากบริการบน Cloud ที่เป็นทางการและน่าเชื่อถือก็ตาม” — Vamshi กล่าวทิ้งท้าย

ที่มา : https://www.infosecurity-magazine.com/news/eternalblue-is-back-with-new-tricks 

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผลศึกษาเผยองค์กรสามารถตรวจพบเหตุการณ์ Breach ได้เองมากขึ้นแต่ยังล่าช้าอยู่

CrowdStrike ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ศึกษาถึง Security Incidents กว่า 200 ครั้งพบว่าองค์กรกว่า 75% สามารถตรวจพบเหตุการณ์ Breach ได้เองซึ่งเพิ่มขึ้นมา 7% เมื่อเทียบกับปี 2017 อย่างไรก็ตามเวลาเฉลี่ยที่ใช้ยังกินเวลากว่า …

แฮ็กเกอร์ขโมย Credentials บริการของรัฐบาลในหลายประเทศปล่อยไว้ในออนไลน์

Group-IB บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงการค้นพบ Credentials ของบริการรัฐบาลในหลายประเทศผ่านทางออนไลน์ระหว่างการตามรอยมัลแวร์ ซึ่งมีเหยื่อกว่า 4 หมื่นรายและเชื่อว่า Crendentials ดังกล่าวอาจถูกเร่ขายในตลาดใต้ดินของกลุ่มแฮ็กเกอร์