Targeted Attack และ Advanced Persistent Threat ภัยคุกคามปัญหาใหญ่ในปัจจุบัน

trend_micro_logo

ในช่วงปีที่ผ่านมา หลายคนคงเริ่มคุ้นชื่อกับคำว่าภัยคุกคามขั้นสูง (Advanced Threat) ซึ่งเป็นภัยคุกคามที่ตรวจจับด้วยวิธีปกติ เช่น Signature-based ไม่ได้ผล เนื่องจากอาจเป็นภัยคุกคามที่ไม่เคยพบเห็นมาก่อน (Unknown Threat หรือ Zero-day Attack) หรือมีเทคนิคในการหลบหลีกการตรวจจับ (Evasion Technique) ต้องใช้วิธีการอื่นๆเข้ามาช่วยวิเคราะห์ ไม่ว่าจะเป็นการทำ Sandboxing, การตรวจสอบแบบ Behavior-based หรือการทำ Big Data Analysis

สมัยก่อน การโจมตีของแฮ็คเกอร์จะเป็นการโจมตีแบบหว่านไปทั่ว คือ โจมตีหลายๆบริษัท หรือหลายๆเป้าหมายพร้อมๆกัน เพื่อดูว่าเป้าหมายใดมีช่องโหว่ในการที่จะเจาะระบบเข้าไปได้ แต่ตอนนี้ที่มีการนำเทคโนโลยีหลายอย่างเข้ามาใช้ภายในบริษัท ไม่ว่าจะเป็นระบบคลาวด์ หรือ BYOD ทำให้พนักงานสามารถเข้าถึงระบบเครือข่ายจากที่ใดก็ได้ ส่งผลให้แฮ็คเกอร์มีช่องทางที่สามารถเก็บรวบรวมข้อมูลและเจาะระบบเป้าหมายได้มากกว่าสมัยก่อน การเลือกโจมตีเฉพาะเป้าหมายที่ต้องการ เรียกว่า Targeted Attack และการค่อยๆเจาะระบบเป้าหมายไปเรื่อยๆโดยอาศัยวิธีการต่างๆ เช่น Advanced Threat หรือ Advanced Malware ที่มีความสลับซับซ้อน ยากต่อการวิเคราะห์และตรวจจับ จนกว่าจะเจาะผ่านเข้าไปได้ เรียกว่าการโจมตีแบบ Advanced Persistent Threat (APT)

ขั้นตอนการโจมตีแบบ Targeted Attack / APT

trend_micro_apt_steps

1. Intelligence Gathering
เปรียบเสมือนภารกิจลาดตระเวนของหน่วยทหาร เป็นเฟสเริ่มต้นเพื่อเก็บรวบรวมข้อมูลของเป้าหมาย ไม่เพียงแค่ข้อมูลเกี่ยวกับระบบ IT เท่านั้น ยังรวมถึงข้อมูลเกี่ยวกับโครงสร้างขององค์กร, ลักษณะการทำงาน และความเชื่อมโยงระหว่าง Business Application ที่ใช้กับหน้าที่ความรับผิดของพนักงานแต่ละคน เพื่อนำมาวิเคราะห์กลยุทธ์ในการเจาะระบบเป้าหมายต่อไป

2. Point of Entry and Compromise
ปกติแล้ว แฮ็คเกอร์จะใช้ประโยชน์จากการติดต่อสื่อสารพื้นฐานขององค์กร เช่น อีเมลล์, โปรแกรมแชท หรือโซเชียลเน็ตเวิร์ค ในการส่งกลไกบางอย่างเข้ามาเพื่อเป็นช่องทางเริ่มต้นในการเจาะระบบ ซึ่งแฮ็คเกอร์จะใช้วิธี Social Engineering เช่น ส่งลิงค์หลอกให้เหยื่อมากด หรือดาวน์โหลดมัลแวร์เข้าไปในองค์กร เป็นต้น เมื่อรวมกับข้อมูลที่รวบรวมมาได้ในขั้นตอนที่ 1 แฮ็คเกอร์ก็สามารถเลือกและระบุจุดที่เป็นช่องโหว่ที่เปราะบางที่สุดขององค์กรนั้นๆได้ การแทรกซึมระบบได้เริ่มขึ้นแล้ว

3. Command-and-Control (C&C) Communication
หลังจากระบบของเหยื่อเริ่มถูกเจาะ การติดต่อสื่อสารระหว่างเครื่องที่ติดมัลแวร์หรือเครื่องที่มีกลไกของแฮ็คเกอร์ซ่อนอยู่ กับ C&C Server จะเริ่มต้นขึ้นเพื่อรับส่งข้อมูลและรับคำสั่งจากแฮ็คเกอร์ในการดำเนินการขั้นต่อไป ซึ่งแฮ็คเกอร์จะใช้เทคนิคต่างๆนานาเพื่อหลบซ่อนไม่ให้เหยื่อรู้ตัวว่ามีการรับส่งข้อมูลนี้อยู่ โดยอาจใช้วิธีส่งข้อมูลผสมมากับทราฟฟิคปกติ หรือเข้ารหัสข้อมูลเพื่อไม่ให้เหยื่อตรวจจับได้

4. Lateral Movement
เมื่อแฮ็คเกอร์มั่นใจแล้วว่าสามารถสร้างช่องโหว่เข้ามาในระบบโดยที่ไม่มีใครตรวจจับได้แล้ว เครื่องที่ติดมัลแวร์หรือมีกลไกลของแฮ็คเกอร์ซ่อนอยู่จะถูกรับคำสั่งให้สแกนรอบๆระบบเครือข่ายเพื่อค้นหาข้อมูลสำคัญ หรือหาช่องทางที่สามารถเข้าถึงข้อมูลสำคัญของเหยื่อได้

5. Asset/Data Discovery
ข้อมูลสำคัญ เช่น บัตรเครดิต, ข้อมูลลูกค้า, ข้อมูลการเงิน หรือข้อมูลที่เป็นเป้าหมายของแฮ็คเกอร์ถูกค้นพบ แฮ็คเกอร์เตรียมขโมยข้อมูลออกมา

6. Data Exfiltration
เป้าหมายสูงสุดของแฮ็คเกอร์ คือ ขโมยข้อมูลที่ต้องการออกจากระบบเครือข่ายมายังภายนอก ซึ่งการส่งถ่ายข้อมูลอ่านทำอย่างรวดเร็ว หรือค่อยๆทำก็ได้ แต่มักจะปลอมปนมากับทราฟฟิคปกติ หรือเข้ารหัสข้อมูลเพื่อหลีกเลี่ยงการถูกตรวจจับ

สถิติของ Targeted Attack / APT ในปี 2013 ที่น่าสนใจ

1. ไต้หวัน และญี่ปุ่น เป็นประเทศที่ถูกโจมตีมากที่สุดในปี 2013

trend_micro_apt_stat_1

2. หน่วยงานราชการตกเป็นเป้าหมายอันดับ 1 และที่น่าแปลกใจ คือ หน่วยงานทางด้านอวกาศและการบินก็ตกเป็นเป้าหมายด้วยเช่นกัน

trend_micro_apt_stat_2

3. Spear-Phishing Email เป็นช่องทางเริ่มต้นสำหรับเจาะระบบเป้าหมาย ซึ่งไฟล์ประเภท ZIP และ RTF ถูกใช้เพื่อแฝงมัลแวร์หรือกลไกลของแฮ็คเกอร์เข้ามาในระบบเครือข่ายมากที่สุด

trend_micro_apt_stat_3

4. Trojan / Trojan Spyware, Backdoors และ Hacktool เป็นมัลแวร์ที่ถูกใช้ในการทำ Targeted Attack มากที่สุด และเกือบ 10% ของมัลแวร์สามารถทำงานบนแพลทฟอร์ม 64 bits ได้

trend_micro_apt_stat_4

5. C&C Server ที่เกี่ยวข้องกับ Targeted Attack ตั้งอยู่ที่ประเทศไต้หวัน, ญี่ปุ่น และอเมริกามากที่สุด

trend_micro_apt_stat_5

ขอขอบคุณบริษัท Trend Micro ประเทศไทย สำหรับข้อมูลและสถิติที่อนุญาตให้แชร์กันครับ

อ้างอิง: The 10-step Action plan.pdf และ Report: Targeted Attack Trends 2H 2013.pdf

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cloudflare โต้กลับจนอันธพาลสิทธิบัตรพ่ายราบคาบ

เมื่อวันพฤหัสที่ผ่านมา Cloudflare ได้เฉลิมฉลองชัยชนะเหนือ Sable Networks ด้วยค่าชดเชย 225,000 ดอลลาร์ รวมถึงสิทธิ์ในการใช้สิทธิบัตรทั้งหมดของ Sable โดยไม่เสียค่าใช้จ่าย

Microsoft เตรียมขึ้นราคา System Center 10%

Microsoft เผยว่า System Center เวอร์ชัน 2025 จะเปิดตัวในวันที่ 1 พฤศจิกายน ด้วยราคาที่สูงขึ้นกว่าปัจจุบัน 10%