CDIC 2023

(ISC)2 Security Congress APAC 2016: ทำความรู้จักกับ Web Defacement ทั้ง 4 แบบ พร้อม Best Practices สำหรับรับมือ

isc2_sec_congress_apac_2

Onn Chee Wong, CTO จาก Resolvo Systems Pte. Ltd. ออกมาอธิบายถึงภัยคุกคาม Web Defacement หรือการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบบ่อยในหน่วยงานรัฐบาลในแถบอาเซียน พร้อมแนะนำ Best Practices ในการรับมือกับการโจมตีดังกล่าว ภายในงาน Security Congress APAC 2016 โดย (ISC)2 ที่เพิ่งจัดไปเมื่อวานนี้

isc2_sec_con_apac_2016_web_defacement_1

ทำความรู้จัก Web Defacement เบื้องต้นกันก่อน

Wong ให้ความหมายของคำว่า Web Defacement ไว้ว่าเป็น “บริการออกแบบเว็บไซต์ฟรีอย่างไม่เต็มใจ” หรือก็คือ การโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ของเป้าหมาย โดยที่เป้าหมายไม่อนุญาตนั่นเอง ซึ่งหน้าเว็บอาจถูกเปลี่ยนไปอย่างถาวร อย่างมีเงื่อนไข หรือเฉพาะผู้ใช้บางคนก็ได้ สามารถแบ่งประเภทของ Web Defacement ออกเป็น 4 แบบ ได้ คือ

1. Existing Content Defacement

เป็นรูปแบบการเปลี่ยนหน้าเว็บที่เก่าแก่ที่สุด โดยแฮ็คเกอร์จะทำการเปลี่ยน Content บนเว็บไซต์โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ที่เข้าเยี่ยมชมเว็บเห็น Content เปลี่ยนไปจากเดิม โดยเฉพาะถ้าเกิดขึ้นที่หน้าโฮม จะทำให้เสียชื่อเสียงเป็นอย่างมาก การเปลี่ยนแปลง Content นี้อาจทำที่ระดับ Web Server หรือ Database ก็ได้ ซึ่งส่วนใหญ่มีสาเหตุมาจากการพิสูจน์ตัวตนที่ไม่เข้มแข็งเพียงพอ หรือช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_3

2. Conditional Defacement

เป็นรูปแบบการโจมตีที่ไม่ค่อยพบบ่อยนัก แฮ็คเกอร์จะทำการเปลี่ยนหน้าเว็บไซต์แบบมีเงื่อนไขเข้ามาเกี่ยวข้อง เช่น ประเภทของ Search Engine, User Agent หรือเฉพาะ IP ของบางประเทศ ถ้าผู้ใช้ที่เข้าเยี่ยมชมเว็บไซต์ตรงตามเงื่อนไขดังกล่าว ก็จะแสดง Content ที่เปลี่ยนไปจากเดิม การโจมตีรูปแบบนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner หรือการเฝ้าระวังของทีม SOC สาเหตุส่วนใหญ่ยังเป็นเช่นเดียวกับแบบแรก คือ การพิสูจน์ตัวตนไม่เข้มแข็งเพียงพอ หรือมีช่องโหว่บน CMS

isc2_sec_con_apac_2016_web_defacement_4

3. Reflected Defacement

เป็นการเปลี่ยนหน้าเว็บไซต์ชั่วคราว ผู้ใช้จะเห็น Content เปลี่ยนไปจากเดิมเฉพาะ URL ที่ได้รับผลกระทบ สาเหตุหลักเกิดจากช่องโหว่บนแอพพลิเคชันหรือการตั้งค่าผิดพลาด (เช่น ช่องโหว่ Reflected XSS) การโจมตีนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner และการเฝ้าระวังของ SOC เนื่องจาก URL ที่ได้รับผลกระทบไม่ใช่ URL บนเว็บไซต์ปกติ แต่เป็น URL ที่ถูก Reflected XSS โจมตี

isc2_sec_con_apac_2016_web_defacement_5

4. Defacement via New Content Upload

เป็นการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบมากที่สุด โดยอัพโหลดหน้าเว็บใหม่ที่ไม่เคยมีมาก่อนขึ้นไปยังเว็บไซต์ของเป้าหมาย ซึ่งหน้าเว็บดังกล่าวอาจไม่ลิงค์กับหน้าเว็บอื่นๆ ที่มีอยู่เลยก็ได้ ผู้ใช้จะเห็นหน้าเว็บนี้ผ่านทางการเข้าถึง URL โดยตรงเท่านั้น การโจมตีนี้ไม่สามารถตรวจจับได้จาก Dynamic Scanner หรือการเฝ้าระวังของทีม SOC เนื่องจากเป็น URL ใหม่ที่ไม่เคยปรากฏมาก่อน สาเหตุส่วนใหญ่มาจากการพิสูจน์ตัวตนที่ไม่แข็งแกร่งเพียงพอ และช่องโหว่บน CMS

เว็บรัฐบาลไทยตกเป็นเป้าของ Web Defacement มากที่สุดในแถบอาเซียน

จากสถิติของ Zone-H พบว่าเว็บไซต์ของหน่วยงานรัฐบาลไทยตกเป็นเป้าหมายของการทำ Web Defacement มากที่สุดในแถบอาเซียน โดยเกิดเหตุการณ์ขึ้นทั้งหมดถึง 19,491 ครั้ง (เฉพาะ .go.th) รองลงมาคือเว็บไซต์ของรัฐบาลอินโดนีเซีย

isc2_sec_con_apac_2016_web_defacement_2

Best Practices ในการรับมือกับ Web Defacement

Wong ให้ได้คำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับการโจมตี Web Defacement โดยใช้ต้นทุนต่ำ ซึ่งสามารถกล่าวโดยสรุปเป็นขั้นตอนได้ ดังนี้

  • เมื่อพบว่าหน้าเว็บไซต์ถูกเปลี่ยนแปลง ให้ทำการออฟไลน์เว็บไซต์นั้นๆ และแยกเว็บออกมาจากระบบเครือข่าย (ห้ามแก้ไขหน้าเว็บจากข้อมูลสำรองหรือปิดระบบโดยเด็ดขาด เพราะจะส่งผลกระทบต่อการเก็บข้อมูลหลักฐาน)
  • แสดงหน้า Maintenance หรือหน้าเว็บเดิมโดยใช้ Reverse Proxy Cache ในกรณีที่ไม่มี ให้สร้างหน้า HTML แบบง่ายๆ ขึ้นมาเว็บเซิร์ฟเวอร์อีกคเรื่องหนึ่ง และ Redirect ทราฟฟิคมาที่หน้า HTML ดังกล่าวแทน
  • ทำการโคลนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อทำ Digital Forensics และวิเคราะห์ Log จากระบบเครือข่ายและเครื่องเซิร์ฟเวอร์เพื่อค้นหาสาเหตุและระบุวิธีที่แฮ็คเกอร์ใช้โจมตี
  • ปรับระบบความมั่นคงปลอดภัยของเครือข่ายให้แข็งแกร่งยิ่งขึ้น เพื่อป้องกันการโจมตีในอนาคต
  • อุดช่องโหว่ช่องเว็บเซิร์ฟเวอร์อื่นๆ ทั้งหมด
  • ส่งมอบหลักฐานการทำ Forensics ให้แก่ตำรวจเพื่อให้ดำเนินการตามกฏหมายต่อ
  • Restore ข้อมูลสำรองที่ไม่ได้รับผลกระทบของการโจมตีบนเซิร์ฟเวอร์เครื่องใหม่ (หรือบน VM ใหม่) แล้วทำการอุดช่องโหว่ทั้งหมดที่ค้นพบ อัปเดตแพทช์ล่าสุด และทำ Hardening
  • ทำ Vulnerability Assessment หรือ Penetration Testing คร่าวๆ บนเว็บไซต์ที่ Restore ขึ้นมาใหม่ เพื่อตรวจสอบช่องโหว่ที่หลงเหลืออยู่ก่อนนำขึ้น Production
  • Redirect ทราฟฟิคทั้งหมดกลับมายังเว็บไซต์ใหม่ที่จัดการแก้ไขปัญหาทั้งหมดเรียบร้อยแล้ว

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …