Targeted Attack และ Advanced Persistent Threat ภัยคุกคามปัญหาใหญ่ในปัจจุบัน

trend_micro_logo

ในช่วงปีที่ผ่านมา หลายคนคงเริ่มคุ้นชื่อกับคำว่าภัยคุกคามขั้นสูง (Advanced Threat) ซึ่งเป็นภัยคุกคามที่ตรวจจับด้วยวิธีปกติ เช่น Signature-based ไม่ได้ผล เนื่องจากอาจเป็นภัยคุกคามที่ไม่เคยพบเห็นมาก่อน (Unknown Threat หรือ Zero-day Attack) หรือมีเทคนิคในการหลบหลีกการตรวจจับ (Evasion Technique) ต้องใช้วิธีการอื่นๆเข้ามาช่วยวิเคราะห์ ไม่ว่าจะเป็นการทำ Sandboxing, การตรวจสอบแบบ Behavior-based หรือการทำ Big Data Analysis

สมัยก่อน การโจมตีของแฮ็คเกอร์จะเป็นการโจมตีแบบหว่านไปทั่ว คือ โจมตีหลายๆบริษัท หรือหลายๆเป้าหมายพร้อมๆกัน เพื่อดูว่าเป้าหมายใดมีช่องโหว่ในการที่จะเจาะระบบเข้าไปได้ แต่ตอนนี้ที่มีการนำเทคโนโลยีหลายอย่างเข้ามาใช้ภายในบริษัท ไม่ว่าจะเป็นระบบคลาวด์ หรือ BYOD ทำให้พนักงานสามารถเข้าถึงระบบเครือข่ายจากที่ใดก็ได้ ส่งผลให้แฮ็คเกอร์มีช่องทางที่สามารถเก็บรวบรวมข้อมูลและเจาะระบบเป้าหมายได้มากกว่าสมัยก่อน การเลือกโจมตีเฉพาะเป้าหมายที่ต้องการ เรียกว่า Targeted Attack และการค่อยๆเจาะระบบเป้าหมายไปเรื่อยๆโดยอาศัยวิธีการต่างๆ เช่น Advanced Threat หรือ Advanced Malware ที่มีความสลับซับซ้อน ยากต่อการวิเคราะห์และตรวจจับ จนกว่าจะเจาะผ่านเข้าไปได้ เรียกว่าการโจมตีแบบ Advanced Persistent Threat (APT)

ขั้นตอนการโจมตีแบบ Targeted Attack / APT

trend_micro_apt_steps

1. Intelligence Gathering
เปรียบเสมือนภารกิจลาดตระเวนของหน่วยทหาร เป็นเฟสเริ่มต้นเพื่อเก็บรวบรวมข้อมูลของเป้าหมาย ไม่เพียงแค่ข้อมูลเกี่ยวกับระบบ IT เท่านั้น ยังรวมถึงข้อมูลเกี่ยวกับโครงสร้างขององค์กร, ลักษณะการทำงาน และความเชื่อมโยงระหว่าง Business Application ที่ใช้กับหน้าที่ความรับผิดของพนักงานแต่ละคน เพื่อนำมาวิเคราะห์กลยุทธ์ในการเจาะระบบเป้าหมายต่อไป

2. Point of Entry and Compromise
ปกติแล้ว แฮ็คเกอร์จะใช้ประโยชน์จากการติดต่อสื่อสารพื้นฐานขององค์กร เช่น อีเมลล์, โปรแกรมแชท หรือโซเชียลเน็ตเวิร์ค ในการส่งกลไกบางอย่างเข้ามาเพื่อเป็นช่องทางเริ่มต้นในการเจาะระบบ ซึ่งแฮ็คเกอร์จะใช้วิธี Social Engineering เช่น ส่งลิงค์หลอกให้เหยื่อมากด หรือดาวน์โหลดมัลแวร์เข้าไปในองค์กร เป็นต้น เมื่อรวมกับข้อมูลที่รวบรวมมาได้ในขั้นตอนที่ 1 แฮ็คเกอร์ก็สามารถเลือกและระบุจุดที่เป็นช่องโหว่ที่เปราะบางที่สุดขององค์กรนั้นๆได้ การแทรกซึมระบบได้เริ่มขึ้นแล้ว

3. Command-and-Control (C&C) Communication
หลังจากระบบของเหยื่อเริ่มถูกเจาะ การติดต่อสื่อสารระหว่างเครื่องที่ติดมัลแวร์หรือเครื่องที่มีกลไกของแฮ็คเกอร์ซ่อนอยู่ กับ C&C Server จะเริ่มต้นขึ้นเพื่อรับส่งข้อมูลและรับคำสั่งจากแฮ็คเกอร์ในการดำเนินการขั้นต่อไป ซึ่งแฮ็คเกอร์จะใช้เทคนิคต่างๆนานาเพื่อหลบซ่อนไม่ให้เหยื่อรู้ตัวว่ามีการรับส่งข้อมูลนี้อยู่ โดยอาจใช้วิธีส่งข้อมูลผสมมากับทราฟฟิคปกติ หรือเข้ารหัสข้อมูลเพื่อไม่ให้เหยื่อตรวจจับได้

4. Lateral Movement
เมื่อแฮ็คเกอร์มั่นใจแล้วว่าสามารถสร้างช่องโหว่เข้ามาในระบบโดยที่ไม่มีใครตรวจจับได้แล้ว เครื่องที่ติดมัลแวร์หรือมีกลไกลของแฮ็คเกอร์ซ่อนอยู่จะถูกรับคำสั่งให้สแกนรอบๆระบบเครือข่ายเพื่อค้นหาข้อมูลสำคัญ หรือหาช่องทางที่สามารถเข้าถึงข้อมูลสำคัญของเหยื่อได้

5. Asset/Data Discovery
ข้อมูลสำคัญ เช่น บัตรเครดิต, ข้อมูลลูกค้า, ข้อมูลการเงิน หรือข้อมูลที่เป็นเป้าหมายของแฮ็คเกอร์ถูกค้นพบ แฮ็คเกอร์เตรียมขโมยข้อมูลออกมา

6. Data Exfiltration
เป้าหมายสูงสุดของแฮ็คเกอร์ คือ ขโมยข้อมูลที่ต้องการออกจากระบบเครือข่ายมายังภายนอก ซึ่งการส่งถ่ายข้อมูลอ่านทำอย่างรวดเร็ว หรือค่อยๆทำก็ได้ แต่มักจะปลอมปนมากับทราฟฟิคปกติ หรือเข้ารหัสข้อมูลเพื่อหลีกเลี่ยงการถูกตรวจจับ

สถิติของ Targeted Attack / APT ในปี 2013 ที่น่าสนใจ

1. ไต้หวัน และญี่ปุ่น เป็นประเทศที่ถูกโจมตีมากที่สุดในปี 2013

trend_micro_apt_stat_1

2. หน่วยงานราชการตกเป็นเป้าหมายอันดับ 1 และที่น่าแปลกใจ คือ หน่วยงานทางด้านอวกาศและการบินก็ตกเป็นเป้าหมายด้วยเช่นกัน

trend_micro_apt_stat_2

3. Spear-Phishing Email เป็นช่องทางเริ่มต้นสำหรับเจาะระบบเป้าหมาย ซึ่งไฟล์ประเภท ZIP และ RTF ถูกใช้เพื่อแฝงมัลแวร์หรือกลไกลของแฮ็คเกอร์เข้ามาในระบบเครือข่ายมากที่สุด

trend_micro_apt_stat_3

4. Trojan / Trojan Spyware, Backdoors และ Hacktool เป็นมัลแวร์ที่ถูกใช้ในการทำ Targeted Attack มากที่สุด และเกือบ 10% ของมัลแวร์สามารถทำงานบนแพลทฟอร์ม 64 bits ได้

trend_micro_apt_stat_4

5. C&C Server ที่เกี่ยวข้องกับ Targeted Attack ตั้งอยู่ที่ประเทศไต้หวัน, ญี่ปุ่น และอเมริกามากที่สุด

trend_micro_apt_stat_5

ขอขอบคุณบริษัท Trend Micro ประเทศไทย สำหรับข้อมูลและสถิติที่อนุญาตให้แชร์กันครับ

อ้างอิง: The 10-step Action plan.pdf และ Report: Targeted Attack Trends 2H 2013.pdf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Cyber Threat Alliance – Making the Impossible Possible and WAN Edge Transformation

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Webinar เรื่อง “Cyber Threat Alliance – Making the Impossible Possible and WAN Edge Transformation” …

[Video Webinar] Detecting Ransomware with Veeam by CSL

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย CSL Webinar เรื่อง “Detecting Ransomware with Veeam” เพื่อเรียนรู้การปกป้องข้อมูลจาก Ransomware และการปรับปรุงแผน Business Continuity ให้รองรับกับปริมาณข้อมูลที่เพิ่มมากขึ้น และสอดคล้องกับ …