Breaking News

EternalBlue กลับมาแล้วด้วยการหลอกให้ติดตั้ง Backdoor ก่อน

Netskope ศูนย์วิจัยด้านภัยคุกคามได้ค้นพบวิธีการใช้งาน EternalBlue รูปแบบใหม่คือใช้เทคนิคเพื่อหลอกลวงผู้ใช้งานอีเมล์ก่อนเป็นด่านแรกเพื่อให้เข้าถึงระบบภายในได้แล้วค่อยเจาะระบบผ่านช่องโหว่ด้วย EternalBlue ต่อไปซึ่งมีผลให้แฮ็กเกอร์สามารถเข้าโจมตีระบบเครือข่ายจากภายในได้โดยตรง

Credit: http://omerez.com/eternalblues/

Netskope ได้กล่าวถึงช่องโหว่ EternalBlue ว่า “หลังจากที่เครื่องภายในองค์กรสักหนึ่งเครื่องถูกเจาะเข้ามาได้แล้ว ช่วงโหว่นี้สามารถใช้เป็นจุดที่เจาะระบบภายในต่อไปได้ ผ่านทางเครื่องที่เปิดแชร์ไฟล์หรือว่าระบบสำรองข้อมูล นั่นทำที่เก็บข้อมูลหลักตกอยู่ในความเสี่ยงอย่างไม่อาจทราบได้ล่วงหน้า ” เนื่องจาก EternalBlue เป็นการใช้ช่องโหว่จากโปรโตคอล SMB ของ Microsoft ที่ใช้สำหรับแชร์ไฟล์ภายในเน็ตเวิร์ค โดยเมื่อต้นปีที่ผ่านกลุ่ม Shadow Brokers ได้ออกมาเปิดเผยเกี่ยวกับช่วงโหว่นี้และเวลาต่อมา Wanacry, NotPetya และ Bad Rabbit ก็ได้นำช่องโหว่ดังกล่าวมาใช้เพื่อ Remote Code Execution กับเครื่องที่เปิดพอร์ตของ SMB เอาไว้

Ashwin Vamshi นัยวิจัยจาก Netskope ได้กล่าวว่า “เราเริ่มสังเกตุเห็นความผิดปกติจากไฟล์ที่อยู่บน Cloud และหลายๆ บริการ ว่ามีภัยคุกคามอย่างมีนัยสำคัญ แม้ว่ามันมาจากต้นทางที่น่าเชื่อถือ เมื่อ Endpoint ถูกควบคุมได้ขั้นต่อมาก็คือการใช้งาน EternalBlue เพื่อกระจายการโจมตีไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป

การโจมตีครั้งนี้เริ่มขึ้นกับอีเมล์แถวๆ สวิสเซอร์แลนด์ที่ไฟล์ Word มีไส้ในเป็น .Ink อีกที ซึ่งจริงๆ แล้วเป็น Backdoor เพื่อไปดาวน์โหลด EternalBlue Payload จากนั้นเองมันก็จะเริ่มการโจมตีภายในองค์กรโดยไม่ต้องอาศัยการกระทำของผู้ใช้งาน โดยที่องค์กรไม่เคยเตรียมการรับมือมาก่อน “องค์กรใช้งาน Cloud โดยเชื่อถือที่มาอย่างไร้การตรวจสอบ นำไปสู่การเปิดโอกาสให้มัลแวร์โจมตีได้มากขึ้นและนั่นคือความท้าทายใหม่ในองค์กร องค์กรต่างๆ ควรบังคับใช้นโยบายการใช้งานบริการที่ไม่เป็นทางการ หรือส่วนติดต่อที่ไม่เป็นทางการที่แม้ว่าเกิดมาจากบริการบน Cloud ที่เป็นทางการและน่าเชื่อถือก็ตาม” — Vamshi กล่าวทิ้งท้าย

ที่มา : https://www.infosecurity-magazine.com/news/eternalblue-is-back-with-new-tricks 

 




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สนามบิน Bristol ถูก Ransomware โจมตี ทำจอแสดงข้อมูลการบินดับ

สนามบิน Bristol สหราชอาณาจักร ออกมาเปิดเผยถึงเหตุการณ์หน้าจอแสดงข้อมูลเที่ยวบินดับเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีสาเหตุมาจากการถูก Ransomware โจมตี

สรุปงานสัมมนา Cyber Security in Digital Disruption & Robotic 4.0 Era โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Cyber Security in Digital Disruption & Robotic 4.0 Era อัปเดตแนวโน้มด้านภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ล่าสุด พร้อมรวบรวมวิธีปฏิบัติและแนวคิดต่างๆ …