NLPRank: นวัตกรรมสำหรับหยุดยั้งภัยคุกคามแบบ APT

opendns_logo

ทีมนักวิจัยด้านความปลอดภัยของ OpenDNS ประสบความสำเร็จในการพัฒนาระบบป้องกันภัยคุกคามแบบ APT รูปแบบใหม่ ซึ่งสามารถตรวจจับเว็บไซต์ที่เป็นแหล่ง Phishing และแอบแฝงมัลแวร์ที่ถูกสร้างขึ้นโดยกลุ่มแฮ็คเกอร์เพื่อปูพื้นการโจมตีแบบ APT ได้อย่างรวดเร็วและแม่นยำ เรียกว่า NLTRank

แนวคิดในการพัฒนา NLPRank มาจากการที่ทีมนักวิจัยพยายามวิเคราะห์ชื่อโดเมนที่ใช้โดยกลุ่มแฮ็คเกอร์ APT ได้แก่ Carbanak, Anunak และ DarkHotel โดยทีมนักวิจัยค้นพบว่าอีเมลล์ Phishing ที่ถูกส่งไปยังเป้าหมายนั้น จะประกอบด้วยลิงค์ที่นำไปสู่เว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่ ซึ่งเว็บไซต์เหล่านั้นมักใช้ชื่อโดเมนคล้ายคลึงกับบริษัทไอทีขนาดใหญ่ เช่น Microsoft, Adobe, Firefox, Facebook และมีคำจำพวก login, update, security-center เพื่อเพิ่มความน่าเชื่อถือให้แก่ชื่อโดเมนที่ใช้ ยกตัวอย่างเช่น

  • adobeupdates[.]com
  • microsoft-xpupdate[.]com
  • adobe-update[.]net
  • firefoxupdata[.]com

อย่างไรก็ตาม เว็บไซต์เหล่านี้ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทไอทีที่ถูกกล่าวอ้างแต่อย่างใด

OpenDNS จึงได้สร้างคลังชื่อโดเมนที่เกิดจากชื่อบริษัทไอทีขนาดใหญ่รวมกับคำจำพวกที่กล่าวไปข้างต้น เพื่อส่งไปให้ NLPRank ตรวจสอบ ซึ่งนอกจากจะพิจารณาจากชื่อโดเมนแล้ว NLPRank ยังใช้ข้อมูลจาก WHOIS เพื่อวิเคราะห์รายละเอียดของเว็บไซต์ที่เข้าข่ายเป็นเว็บไซต์ของแฮ็คเกอร์ เช่น HTML Tag และข้อมูล ASN ยกตัวอย่างเช่น Java Update ควรมีข้อมูลอ้างอิงจาก Oracle ASN เช่น 41900, 1215 และอื่นๆ แต่เว็บไซต์ของแฮ็คเกอร์จะมีข้อมูล ASN ที่แตกต่างออกไป เช่น 44050 อ้างอิงจาก PIN-AS Petersburg Internet Network LLC ในประเทศรัสเซีย เป็นต้น

Credit: Maksim Kabakou/ShutterStock
Credit: Maksim Kabakou/ShutterStock

NLPRank ถือว่าประสบความสำเร็จในการตรวจจับโดเมนแปลกปลอมที่ใช้เป็นเครื่องมือในการโจมตี APT ของกลุ่มแฮ็คเกอร์ รวมทั้งช่วยตรวจจับโดเมนที่ไม่พึงประสงค์ ที่มีเป้าหมายในการสร้างความเดือดร้อนแก่ผู้อื่น ซึ่งวิธีนี้มีข้อได้เปรียบกว่า Web Reputation Services คือ Web Reputation Services จำเป็นต้องมีการติดต่อกับเว็บไซต์เหล่านั้นก่อน จึงจะทราบได้ว่าเป็นเว็บไซต์ที่ไม่พึงประสงค์ ในขณะที่ NLPRank สามารถตรวจสอบจากชื่อและข้อมูลรายละเอียดของโดเมนเหล่านั้นได้ทันทีที่มีการร้องขอ DNS

รายละเอียดเพิ่มเติม: https://labs.opendns.com/2015/03/05/nlp-apt-dns/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] “โฟร์เกิ้ล” สตาร์ทอัพไทยคว้าเงินระดมทุนรอบ Seed Fund เดินหน้าเปิดตัวแพลตฟอร์มคอมมูนิตี้ยกระดับไลฟ์สไตล์คนยุคใหม่ปลายปี 64

“โฟร์เกิ้ล” (Fourgle) บริษัทสตาร์ทอัพสัญชาติไทย โชว์ศักยภาพคว้าทุนรอบ Seed Fund จำนวน 1 ล้านดอลลาร์สหรัฐ เดินหน้าพัฒนาแพลตฟอร์มคอมมูนิตี้รูปแบบใหม่ เชื่อมต่อผู้มีความสนใจเดียวกัน อินฟลูเอนเซอร์ ผู้ประกอบการ และแบรนด์ต่างๆ นำร่องเปิดตัว …

Dynatrace Webinar: ทำ DevSecOps ให้ไหลลื่นด้วยการใช้ระบบ AI

Dynatrace ร่วมกับ DPM (Thailand) ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมงานสัมมนา Dynatrace Webinar เรื่อง "ทำ DevSecOps ให้ไหลลื่นด้วยการใช้ระบบ AI" พร้อมอัปเดตความท้าทายและแนวทางปฏิบัติด้าน DevSecOps ล่าสุด ในวันพุธที่ 27 ตุลาคม 2021 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี