IBM Flashsystem

(ISC)2 Security Congress APAC 2016: ทำความรู้จักกับ Web Defacement ทั้ง 4 แบบ พร้อม Best Practices สำหรับรับมือ

isc2_sec_congress_apac_2

Onn Chee Wong, CTO จาก Resolvo Systems Pte. Ltd. ออกมาอธิบายถึงภัยคุกคาม Web Defacement หรือการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบบ่อยในหน่วยงานรัฐบาลในแถบอาเซียน พร้อมแนะนำ Best Practices ในการรับมือกับการโจมตีดังกล่าว ภายในงาน Security Congress APAC 2016 โดย (ISC)2 ที่เพิ่งจัดไปเมื่อวานนี้

isc2_sec_con_apac_2016_web_defacement_1

ทำความรู้จัก Web Defacement เบื้องต้นกันก่อน

Wong ให้ความหมายของคำว่า Web Defacement ไว้ว่าเป็น “บริการออกแบบเว็บไซต์ฟรีอย่างไม่เต็มใจ” หรือก็คือ การโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ของเป้าหมาย โดยที่เป้าหมายไม่อนุญาตนั่นเอง ซึ่งหน้าเว็บอาจถูกเปลี่ยนไปอย่างถาวร อย่างมีเงื่อนไข หรือเฉพาะผู้ใช้บางคนก็ได้ สามารถแบ่งประเภทของ Web Defacement ออกเป็น 4 แบบ ได้ คือ

1. Existing Content Defacement

เป็นรูปแบบการเปลี่ยนหน้าเว็บที่เก่าแก่ที่สุด โดยแฮ็คเกอร์จะทำการเปลี่ยน Content บนเว็บไซต์โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ที่เข้าเยี่ยมชมเว็บเห็น Content เปลี่ยนไปจากเดิม โดยเฉพาะถ้าเกิดขึ้นที่หน้าโฮม จะทำให้เสียชื่อเสียงเป็นอย่างมาก การเปลี่ยนแปลง Content นี้อาจทำที่ระดับ Web Server หรือ Database ก็ได้ ซึ่งส่วนใหญ่มีสาเหตุมาจากการพิสูจน์ตัวตนที่ไม่เข้มแข็งเพียงพอ หรือช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_3

2. Conditional Defacement

เป็นรูปแบบการโจมตีที่ไม่ค่อยพบบ่อยนัก แฮ็คเกอร์จะทำการเปลี่ยนหน้าเว็บไซต์แบบมีเงื่อนไขเข้ามาเกี่ยวข้อง เช่น ประเภทของ Search Engine, User Agent หรือเฉพาะ IP ของบางประเทศ ถ้าผู้ใช้ที่เข้าเยี่ยมชมเว็บไซต์ตรงตามเงื่อนไขดังกล่าว ก็จะแสดง Content ที่เปลี่ยนไปจากเดิม การโจมตีรูปแบบนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner หรือการเฝ้าระวังของทีม SOC สาเหตุส่วนใหญ่ยังเป็นเช่นเดียวกับแบบแรก คือ การพิสูจน์ตัวตนไม่เข้มแข็งเพียงพอ หรือมีช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_4

3. Reflected Defacement

เป็นการเปลี่ยนหน้าเว็บไซต์ชั่วคราว ผู้ใช้จะเห็น Content เปลี่ยนไปจากเดิมเฉพาะ URL ที่ได้รับผลกระทบ สาเหตุหลักเกิดจากช่องโหว่บนแอพพลิเคชันหรือการตั้งค่าผิดพลาด (เช่น ช่องโหว่ Reflected XSS) การโจมตีนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner และการเฝ้าระวังของ SOC เนื่องจาก URL ที่ได้รับผลกระทบไม่ใช่ URL บนเว็บไซต์ปกติ แต่เป็น URL ที่ถูก Reflected XSS โจมตี

isc2_sec_con_apac_2016_web_defacement_5

4. Defacement via New Content Upload

เป็นการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบมากที่สุด โดยอัพโหลดหน้าเว็บใหม่ที่ไม่เคยมีมาก่อนขึ้นไปยังเว็บไซต์ของเป้าหมาย ซึ่งหน้าเว็บดังกล่าวอาจไม่ลิงค์กับหน้าเว็บอื่นๆ ที่มีอยู่เลยก็ได้ ผู้ใช้จะเห็นหน้าเว็บนี้ผ่านทางการเข้าถึง URL โดยตรงเท่านั้น การโจมตีนี้ไม่สามารถตรวจจับได้จาก Dynamic Scanner หรือการเฝ้าระวังของทีม SOC เนื่องจากเป็น URL ใหม่ที่ไม่เคยปรากฏมาก่อน สาเหตุส่วนใหญ่มาจากการพิสูจน์ตัวตนที่ไม่แข็งแกร่งเพียงพอ และช่องโหว่บน CMS

เว็บรัฐบาลไทยตกเป็นเป้าของ Web Defacement มากที่สุดในแถบอาเซียน

จากสถิติของ Zone-H พบว่าเว็บไซต์ของหน่วยงานรัฐบาลไทยตกเป็นเป้าหมายของการทำ Web Defacement มากที่สุดในแถบอาเซียน โดยเกิดเหตุการณ์ขึ้นทั้งหมดถึง 19,491 ครั้ง (เฉพาะ .go.th) รองลงมาคือเว็บไซต์ของรัฐบาลอินโดนีเซีย

isc2_sec_con_apac_2016_web_defacement_2

Best Practices ในการรับมือกับ Web Defacement

Wong ให้ได้คำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับการโจมตี Web Defacement โดยใช้ต้นทุนต่ำ ซึ่งสามารถกล่าวโดยสรุปเป็นขั้นตอนได้ ดังนี้

  • เมื่อพบว่าหน้าเว็บไซต์ถูกเปลี่ยนแปลง ให้ทำการออฟไลน์เว็บไซต์นั้นๆ และแยกเว็บออกมาจากระบบเครือข่าย (ห้ามแก้ไขหน้าเว็บจากข้อมูลสำรองหรือปิดระบบโดยเด็ดขาด เพราะจะส่งผลกระทบต่อการเก็บข้อมูลหลักฐาน)
  • แสดงหน้า Maintenance หรือหน้าเว็บเดิมโดยใช้ Reverse Proxy Cache ในกรณีที่ไม่มี ให้สร้างหน้า HTML แบบง่ายๆ ขึ้นมาเว็บเซิร์ฟเวอร์อีกคเรื่องหนึ่ง และ Redirect ทราฟฟิคมาที่หน้า HTML ดังกล่าวแทน
  • ทำการโคลนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อทำ Digital Forensics และวิเคราะห์ Log จากระบบเครือข่ายและเครื่องเซิร์ฟเวอร์เพื่อค้นหาสาเหตุและระบุวิธีที่แฮ็คเกอร์ใช้โจมตี
  • ปรับระบบความมั่นคงปลอดภัยของเครือข่ายให้แข็งแกร่งยิ่งขึ้น เพื่อป้องกันการโจมตีในอนาคต
  • อุดช่องโหว่ช่องเว็บเซิร์ฟเวอร์อื่นๆ ทั้งหมด
  • ส่งมอบหลักฐานการทำ Forensics ให้แก่ตำรวจเพื่อให้ดำเนินการตามกฏหมายต่อ
  • Restore ข้อมูลสำรองที่ไม่ได้รับผลกระทบของการโจมตีบนเซิร์ฟเวอร์เครื่องใหม่ (หรือบน VM ใหม่) แล้วทำการอุดช่องโหว่ทั้งหมดที่ค้นพบ อัปเดตแพทช์ล่าสุด และทำ Hardening
  • ทำ Vulnerability Assessment หรือ Penetration Testing คร่าวๆ บนเว็บไซต์ที่ Restore ขึ้นมาใหม่ เพื่อตรวจสอบช่องโหว่ที่หลงเหลืออยู่ก่อนนำขึ้น Production
  • Redirect ทราฟฟิคทั้งหมดกลับมายังเว็บไซต์ใหม่ที่จัดการแก้ไขปัญหาทั้งหมดเรียบร้อยแล้ว

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

องค์กรที่ขับเคลื่อนด้วย Data และ AI ได้เปรียบกว่าเสมอ! ร่วมเรียนรู้วิธีสร้างกลยุทธ์ด้วย AI และ Machine Learning เพื่อสร้างผลลัพธ์ที่วัดได้จริงในโลกธุรกิจ ไปกับ 2 หลักสูตรที่น่าสนใจ จากวิทยากรผู้เชี่ยวชาญตัวจริง [Guest Post]

ขอเชิญเข้าร่วมอบรม 2 หลักสูตร “กลยุทธ์การนำ AI & Machine Learning ไปใช้อย่างเป็นระบบ” (Deploying AI & Machine Learning for …

Chainguard สตาร์ทอัพความมั่นคงปลอดภัยโค้ดโอเพนซอร์ส ระดมทุน 356 ล้านดอลลาร์ มูลค่าแตะ 3.5 พันล้านดอลลาร์

Chainguard ซึ่งเป็นสตาร์ทอัพที่ช่วยให้นักพัฒนาสามารถมั่นใจได้ว่าโค้ดโอเพนซอร์สที่ใช้งานมีความมั่นคงปลอดภัย ประกาศระดมทุนรอบใหม่ได้ 356 ล้านดอลลาร์ ในรอบ Series D ที่นำโดย Kleiner Perkins และ IVP เพื่อเร่งการขยายตลาดและพัฒนาฟีเจอร์ใหม่ ๆ …