Breaking News

(ISC)2 Security Congress APAC 2016: ทำความรู้จักกับ Web Defacement ทั้ง 4 แบบ พร้อม Best Practices สำหรับรับมือ

isc2_sec_congress_apac_2

Onn Chee Wong, CTO จาก Resolvo Systems Pte. Ltd. ออกมาอธิบายถึงภัยคุกคาม Web Defacement หรือการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบบ่อยในหน่วยงานรัฐบาลในแถบอาเซียน พร้อมแนะนำ Best Practices ในการรับมือกับการโจมตีดังกล่าว ภายในงาน Security Congress APAC 2016 โดย (ISC)2 ที่เพิ่งจัดไปเมื่อวานนี้

isc2_sec_con_apac_2016_web_defacement_1

ทำความรู้จัก Web Defacement เบื้องต้นกันก่อน

Wong ให้ความหมายของคำว่า Web Defacement ไว้ว่าเป็น “บริการออกแบบเว็บไซต์ฟรีอย่างไม่เต็มใจ” หรือก็คือ การโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ของเป้าหมาย โดยที่เป้าหมายไม่อนุญาตนั่นเอง ซึ่งหน้าเว็บอาจถูกเปลี่ยนไปอย่างถาวร อย่างมีเงื่อนไข หรือเฉพาะผู้ใช้บางคนก็ได้ สามารถแบ่งประเภทของ Web Defacement ออกเป็น 4 แบบ ได้ คือ

1. Existing Content Defacement

เป็นรูปแบบการเปลี่ยนหน้าเว็บที่เก่าแก่ที่สุด โดยแฮ็คเกอร์จะทำการเปลี่ยน Content บนเว็บไซต์โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ที่เข้าเยี่ยมชมเว็บเห็น Content เปลี่ยนไปจากเดิม โดยเฉพาะถ้าเกิดขึ้นที่หน้าโฮม จะทำให้เสียชื่อเสียงเป็นอย่างมาก การเปลี่ยนแปลง Content นี้อาจทำที่ระดับ Web Server หรือ Database ก็ได้ ซึ่งส่วนใหญ่มีสาเหตุมาจากการพิสูจน์ตัวตนที่ไม่เข้มแข็งเพียงพอ หรือช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_3

2. Conditional Defacement

เป็นรูปแบบการโจมตีที่ไม่ค่อยพบบ่อยนัก แฮ็คเกอร์จะทำการเปลี่ยนหน้าเว็บไซต์แบบมีเงื่อนไขเข้ามาเกี่ยวข้อง เช่น ประเภทของ Search Engine, User Agent หรือเฉพาะ IP ของบางประเทศ ถ้าผู้ใช้ที่เข้าเยี่ยมชมเว็บไซต์ตรงตามเงื่อนไขดังกล่าว ก็จะแสดง Content ที่เปลี่ยนไปจากเดิม การโจมตีรูปแบบนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner หรือการเฝ้าระวังของทีม SOC สาเหตุส่วนใหญ่ยังเป็นเช่นเดียวกับแบบแรก คือ การพิสูจน์ตัวตนไม่เข้มแข็งเพียงพอ หรือมีช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_4

3. Reflected Defacement

เป็นการเปลี่ยนหน้าเว็บไซต์ชั่วคราว ผู้ใช้จะเห็น Content เปลี่ยนไปจากเดิมเฉพาะ URL ที่ได้รับผลกระทบ สาเหตุหลักเกิดจากช่องโหว่บนแอพพลิเคชันหรือการตั้งค่าผิดพลาด (เช่น ช่องโหว่ Reflected XSS) การโจมตีนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner และการเฝ้าระวังของ SOC เนื่องจาก URL ที่ได้รับผลกระทบไม่ใช่ URL บนเว็บไซต์ปกติ แต่เป็น URL ที่ถูก Reflected XSS โจมตี

isc2_sec_con_apac_2016_web_defacement_5

4. Defacement via New Content Upload

เป็นการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบมากที่สุด โดยอัพโหลดหน้าเว็บใหม่ที่ไม่เคยมีมาก่อนขึ้นไปยังเว็บไซต์ของเป้าหมาย ซึ่งหน้าเว็บดังกล่าวอาจไม่ลิงค์กับหน้าเว็บอื่นๆ ที่มีอยู่เลยก็ได้ ผู้ใช้จะเห็นหน้าเว็บนี้ผ่านทางการเข้าถึง URL โดยตรงเท่านั้น การโจมตีนี้ไม่สามารถตรวจจับได้จาก Dynamic Scanner หรือการเฝ้าระวังของทีม SOC เนื่องจากเป็น URL ใหม่ที่ไม่เคยปรากฏมาก่อน สาเหตุส่วนใหญ่มาจากการพิสูจน์ตัวตนที่ไม่แข็งแกร่งเพียงพอ และช่องโหว่บน CMS

เว็บรัฐบาลไทยตกเป็นเป้าของ Web Defacement มากที่สุดในแถบอาเซียน

จากสถิติของ Zone-H พบว่าเว็บไซต์ของหน่วยงานรัฐบาลไทยตกเป็นเป้าหมายของการทำ Web Defacement มากที่สุดในแถบอาเซียน โดยเกิดเหตุการณ์ขึ้นทั้งหมดถึง 19,491 ครั้ง (เฉพาะ .go.th) รองลงมาคือเว็บไซต์ของรัฐบาลอินโดนีเซีย

isc2_sec_con_apac_2016_web_defacement_2

Best Practices ในการรับมือกับ Web Defacement

Wong ให้ได้คำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับการโจมตี Web Defacement โดยใช้ต้นทุนต่ำ ซึ่งสามารถกล่าวโดยสรุปเป็นขั้นตอนได้ ดังนี้

  • เมื่อพบว่าหน้าเว็บไซต์ถูกเปลี่ยนแปลง ให้ทำการออฟไลน์เว็บไซต์นั้นๆ และแยกเว็บออกมาจากระบบเครือข่าย (ห้ามแก้ไขหน้าเว็บจากข้อมูลสำรองหรือปิดระบบโดยเด็ดขาด เพราะจะส่งผลกระทบต่อการเก็บข้อมูลหลักฐาน)
  • แสดงหน้า Maintenance หรือหน้าเว็บเดิมโดยใช้ Reverse Proxy Cache ในกรณีที่ไม่มี ให้สร้างหน้า HTML แบบง่ายๆ ขึ้นมาเว็บเซิร์ฟเวอร์อีกคเรื่องหนึ่ง และ Redirect ทราฟฟิคมาที่หน้า HTML ดังกล่าวแทน
  • ทำการโคลนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อทำ Digital Forensics และวิเคราะห์ Log จากระบบเครือข่ายและเครื่องเซิร์ฟเวอร์เพื่อค้นหาสาเหตุและระบุวิธีที่แฮ็คเกอร์ใช้โจมตี
  • ปรับระบบความมั่นคงปลอดภัยของเครือข่ายให้แข็งแกร่งยิ่งขึ้น เพื่อป้องกันการโจมตีในอนาคต
  • อุดช่องโหว่ช่องเว็บเซิร์ฟเวอร์อื่นๆ ทั้งหมด
  • ส่งมอบหลักฐานการทำ Forensics ให้แก่ตำรวจเพื่อให้ดำเนินการตามกฏหมายต่อ
  • Restore ข้อมูลสำรองที่ไม่ได้รับผลกระทบของการโจมตีบนเซิร์ฟเวอร์เครื่องใหม่ (หรือบน VM ใหม่) แล้วทำการอุดช่องโหว่ทั้งหมดที่ค้นพบ อัปเดตแพทช์ล่าสุด และทำ Hardening
  • ทำ Vulnerability Assessment หรือ Penetration Testing คร่าวๆ บนเว็บไซต์ที่ Restore ขึ้นมาใหม่ เพื่อตรวจสอบช่องโหว่ที่หลงเหลืออยู่ก่อนนำขึ้น Production
  • Redirect ทราฟฟิคทั้งหมดกลับมายังเว็บไซต์ใหม่ที่จัดการแก้ไขปัญหาทั้งหมดเรียบร้อยแล้ว


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] วิสัยทัศน์ของซัมซุงกับการขับเคลื่อนอุตสาหกรรมสมาร์ทโฟนไปสู่ Next Normal

ซัมซุง เปิดมุมมองใหม่ของอุตสาหกรรมสมาร์ทโฟน ผ่านบทความของ ดร. ทีเอ็ม โรห์ ประธานฝ่าย โมบายล์ คอมมูนิเคชั่น ซัมซุง อิเลคโทรนิคส์  

แนะนำ Eaton 9E UPS: อุปกรณ์สำรองไฟอเนกประสงค์สำหรับธุรกิจขนาด 1000-3000VA

เมื่อการใช้เทคโนโลยีเข้ามามีบทบาทในการทำงานมาก และการทำงานเฉพาะทางหลายประเภทก็ต้องอาศัยอุปกรณ์หรือเครื่องมือที่ต้องใช้ไฟฟ้าในการทำงาน UPS หรืออุปกรณ์สำรองไฟฟ้าก็กลายเป็นสิ่งที่จำเป็นต่อธุรกิจให้ดำเนินต่อไปได้อย่างไม่สะดุด และ Eaton เองก็มีอุปกรณ์ UPS รุ่นเล็กอเนกประสงค์สำหรับใช้งานในภาคธุรกิจโดยเฉพาะ อย่าง Eaton 9E UPS ซึ่งบทความนี้เราจะมาแนะนำให้ทุกท่านรู้จักกันครับ