Breaking News

(ISC)2 Security Congress APAC 2016: ทำความรู้จักกับ Web Defacement ทั้ง 4 แบบ พร้อม Best Practices สำหรับรับมือ

isc2_sec_congress_apac_2

Onn Chee Wong, CTO จาก Resolvo Systems Pte. Ltd. ออกมาอธิบายถึงภัยคุกคาม Web Defacement หรือการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบบ่อยในหน่วยงานรัฐบาลในแถบอาเซียน พร้อมแนะนำ Best Practices ในการรับมือกับการโจมตีดังกล่าว ภายในงาน Security Congress APAC 2016 โดย (ISC)2 ที่เพิ่งจัดไปเมื่อวานนี้

isc2_sec_con_apac_2016_web_defacement_1

ทำความรู้จัก Web Defacement เบื้องต้นกันก่อน

Wong ให้ความหมายของคำว่า Web Defacement ไว้ว่าเป็น “บริการออกแบบเว็บไซต์ฟรีอย่างไม่เต็มใจ” หรือก็คือ การโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ของเป้าหมาย โดยที่เป้าหมายไม่อนุญาตนั่นเอง ซึ่งหน้าเว็บอาจถูกเปลี่ยนไปอย่างถาวร อย่างมีเงื่อนไข หรือเฉพาะผู้ใช้บางคนก็ได้ สามารถแบ่งประเภทของ Web Defacement ออกเป็น 4 แบบ ได้ คือ

1. Existing Content Defacement

เป็นรูปแบบการเปลี่ยนหน้าเว็บที่เก่าแก่ที่สุด โดยแฮ็คเกอร์จะทำการเปลี่ยน Content บนเว็บไซต์โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ที่เข้าเยี่ยมชมเว็บเห็น Content เปลี่ยนไปจากเดิม โดยเฉพาะถ้าเกิดขึ้นที่หน้าโฮม จะทำให้เสียชื่อเสียงเป็นอย่างมาก การเปลี่ยนแปลง Content นี้อาจทำที่ระดับ Web Server หรือ Database ก็ได้ ซึ่งส่วนใหญ่มีสาเหตุมาจากการพิสูจน์ตัวตนที่ไม่เข้มแข็งเพียงพอ หรือช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_3

2. Conditional Defacement

เป็นรูปแบบการโจมตีที่ไม่ค่อยพบบ่อยนัก แฮ็คเกอร์จะทำการเปลี่ยนหน้าเว็บไซต์แบบมีเงื่อนไขเข้ามาเกี่ยวข้อง เช่น ประเภทของ Search Engine, User Agent หรือเฉพาะ IP ของบางประเทศ ถ้าผู้ใช้ที่เข้าเยี่ยมชมเว็บไซต์ตรงตามเงื่อนไขดังกล่าว ก็จะแสดง Content ที่เปลี่ยนไปจากเดิม การโจมตีรูปแบบนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner หรือการเฝ้าระวังของทีม SOC สาเหตุส่วนใหญ่ยังเป็นเช่นเดียวกับแบบแรก คือ การพิสูจน์ตัวตนไม่เข้มแข็งเพียงพอ หรือมีช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_4

3. Reflected Defacement

เป็นการเปลี่ยนหน้าเว็บไซต์ชั่วคราว ผู้ใช้จะเห็น Content เปลี่ยนไปจากเดิมเฉพาะ URL ที่ได้รับผลกระทบ สาเหตุหลักเกิดจากช่องโหว่บนแอพพลิเคชันหรือการตั้งค่าผิดพลาด (เช่น ช่องโหว่ Reflected XSS) การโจมตีนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner และการเฝ้าระวังของ SOC เนื่องจาก URL ที่ได้รับผลกระทบไม่ใช่ URL บนเว็บไซต์ปกติ แต่เป็น URL ที่ถูก Reflected XSS โจมตี

isc2_sec_con_apac_2016_web_defacement_5

4. Defacement via New Content Upload

เป็นการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบมากที่สุด โดยอัพโหลดหน้าเว็บใหม่ที่ไม่เคยมีมาก่อนขึ้นไปยังเว็บไซต์ของเป้าหมาย ซึ่งหน้าเว็บดังกล่าวอาจไม่ลิงค์กับหน้าเว็บอื่นๆ ที่มีอยู่เลยก็ได้ ผู้ใช้จะเห็นหน้าเว็บนี้ผ่านทางการเข้าถึง URL โดยตรงเท่านั้น การโจมตีนี้ไม่สามารถตรวจจับได้จาก Dynamic Scanner หรือการเฝ้าระวังของทีม SOC เนื่องจากเป็น URL ใหม่ที่ไม่เคยปรากฏมาก่อน สาเหตุส่วนใหญ่มาจากการพิสูจน์ตัวตนที่ไม่แข็งแกร่งเพียงพอ และช่องโหว่บน CMS

เว็บรัฐบาลไทยตกเป็นเป้าของ Web Defacement มากที่สุดในแถบอาเซียน

จากสถิติของ Zone-H พบว่าเว็บไซต์ของหน่วยงานรัฐบาลไทยตกเป็นเป้าหมายของการทำ Web Defacement มากที่สุดในแถบอาเซียน โดยเกิดเหตุการณ์ขึ้นทั้งหมดถึง 19,491 ครั้ง (เฉพาะ .go.th) รองลงมาคือเว็บไซต์ของรัฐบาลอินโดนีเซีย

isc2_sec_con_apac_2016_web_defacement_2

Best Practices ในการรับมือกับ Web Defacement

Wong ให้ได้คำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับการโจมตี Web Defacement โดยใช้ต้นทุนต่ำ ซึ่งสามารถกล่าวโดยสรุปเป็นขั้นตอนได้ ดังนี้

  • เมื่อพบว่าหน้าเว็บไซต์ถูกเปลี่ยนแปลง ให้ทำการออฟไลน์เว็บไซต์นั้นๆ และแยกเว็บออกมาจากระบบเครือข่าย (ห้ามแก้ไขหน้าเว็บจากข้อมูลสำรองหรือปิดระบบโดยเด็ดขาด เพราะจะส่งผลกระทบต่อการเก็บข้อมูลหลักฐาน)
  • แสดงหน้า Maintenance หรือหน้าเว็บเดิมโดยใช้ Reverse Proxy Cache ในกรณีที่ไม่มี ให้สร้างหน้า HTML แบบง่ายๆ ขึ้นมาเว็บเซิร์ฟเวอร์อีกคเรื่องหนึ่ง และ Redirect ทราฟฟิคมาที่หน้า HTML ดังกล่าวแทน
  • ทำการโคลนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อทำ Digital Forensics และวิเคราะห์ Log จากระบบเครือข่ายและเครื่องเซิร์ฟเวอร์เพื่อค้นหาสาเหตุและระบุวิธีที่แฮ็คเกอร์ใช้โจมตี
  • ปรับระบบความมั่นคงปลอดภัยของเครือข่ายให้แข็งแกร่งยิ่งขึ้น เพื่อป้องกันการโจมตีในอนาคต
  • อุดช่องโหว่ช่องเว็บเซิร์ฟเวอร์อื่นๆ ทั้งหมด
  • ส่งมอบหลักฐานการทำ Forensics ให้แก่ตำรวจเพื่อให้ดำเนินการตามกฏหมายต่อ
  • Restore ข้อมูลสำรองที่ไม่ได้รับผลกระทบของการโจมตีบนเซิร์ฟเวอร์เครื่องใหม่ (หรือบน VM ใหม่) แล้วทำการอุดช่องโหว่ทั้งหมดที่ค้นพบ อัปเดตแพทช์ล่าสุด และทำ Hardening
  • ทำ Vulnerability Assessment หรือ Penetration Testing คร่าวๆ บนเว็บไซต์ที่ Restore ขึ้นมาใหม่ เพื่อตรวจสอบช่องโหว่ที่หลงเหลืออยู่ก่อนนำขึ้น Production
  • Redirect ทราฟฟิคทั้งหมดกลับมายังเว็บไซต์ใหม่ที่จัดการแก้ไขปัญหาทั้งหมดเรียบร้อยแล้ว

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AIS เผยเทรนด์การลงทุน IoT พร้อมเชิญร่วมงานสัมมนาวิชาการ IoT ระดับนานาชาติครั้งแรกของไทยวันที่ 2-3 ธันวาคมนี้

AIS ได้เปิดเผยถึงเทรนด์ของโครงการลงทุน IoT ในประเทศไทยซึ่งมีการเติบโตในหลายภาคธุรกิจ นอกจากนี้บริษัทยังมุ่งเน้นการเติบโตอย่างยั่งยืนผ่านโครงการ AIS IoT Alliance Program (AIAP) และล่าสุดเพื่อยกระดับ Ecosystem ของตลาด IoT ไปอีกขั้นทาง …

เตือนสแปม Cisco Webex หลอกเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดมัลแวร์

Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote …