‘วอนนาคราย’ เป็นแค่ภาพลวงตา
ความรู้สึกของผมเหมือนตอนนี้เราได้เห็นแผ่นดินไหวมาแล้ว หลังจากแผ่นดินไหวอาจมีอาฟเตอร์ช็อค และสึนามิตามมา
เมื่อสัปดาห์ก่อนได้พูดถึง Eternal Blue เครื่องมือต้นกำเนิดของวอนนคราย (WannaCry) ที่หลุดจากเอ็นเอสเอ (National Security Agency) หน่วยงานความมั่นคงของอเมริกา ซึ่งยังเหลืออีกหลายตัว ความรู้สึกของผมเหมือนตอนนี้เราได้เห็นแผ่นดินไหวมาแล้ว หลังจากแผ่นดินไหวอาจมีอาฟเตอร์ช็อค และสึนามิตามมา
โดยมีการเปิดเผยข้อมูลมากขึ้นเรื่อยๆ และเมื่อสัปดาห์ก่อนมีนักวิจัยด้านระบบรักษาความปลอดภัยข้อมูลชาวโครเอเซียชื่อ Miroslav Stampar นักวิจัยของ Croatian Government CERT ซึ่งหน่วยงานด้าน CERT เป็นหน่วยงานที่มีอยู่ในทุกประเทศ โดย Stampar ได้ค้นพบ Network Worm เป็นไวรัสที่แพร่กระจายเข้าเครือข่ายอย่างรวดเร็ว อันตรายกว่าวอนนาคราย และไม่มี Kill Switch หรือระบบสั่งปิดหรือหยุดการทำงาน โดย Network Worm ตัวนี้เรียกกว่า EternalRocks ซึ่งมีความโหดร้ายกว่าวอนนาครายที่ผ่านมากเนื่องจากฉลาดขึ้น ไม่สามารถตรวจจับได้ง่ายเมื่อโดนเล่นงาน
จากที่ทราบเครื่องมือของเอ็นเอสเอ หรือตัวเจาะระบบมีทั้งหมด 7 ตัว ได้แก่ 1.EternalBlue 2.EternalRomance สองตัวนี้อาศัยช่องโหว่ SMB Version 1 ในการเจาะระบบ 3.EternalChampion ใช้ SMB Version2 ในการเจาะระบบ 4.EternalSynergy เจาะระบบผ่าน SMB Version3 5.SMBTouch 6.ArchTouch เครื่องมือตัวที่ 5 และ 6 นี้เป็น SMB Reconnaissance คืออาศัยการหาช่องโหว่ก่อนเจาะเข้าระบบ โดยการ Scan หา Open Port บน Public Internet และสุดท้ายเครื่องมือที่ 7.DoublePulsa เป็นการสร้าง Backdoor Trojan ส่งซอฟต์แวร์ มาฝังแล้วเชื่อมต่อไประบบข้างนอกโดยที่เราไม่รู้ตัว
สำหรับ EternalRocks ซึ่งพัฒนามาจากเครื่องมือทั้ง 7 ของเอ็นเอสเอ จึงถือได้ว่ามีความน่ากลัวกว่าวอนนาครายเป็นอย่างมาก โดย EternalRocks เป็นมัลแวร์ที่หาช่องโหว่และควบคุมการทำงานของเครื่อง แบ่งการทำงานเป็นสองส่วน เริ่มแรกจะใช้เครื่องเหยื่อที่ติดมัลแวร์แล้วดาวน์โหลด Tor Web Browser ซึ่งยากต่อการตรวจจับ เพราะจะสร้างช่องทางที่เข้ารหัสที่เรียกว่า Tor ไปเชื่อมกับ C&C (Command and Control Center) ซึ่งเป็นเซิร์ฟเวอร์ ที่อยู่ใน Dark Web ทำให้ไม่ทราบที่อยู่ และส่งซอฟต์แวร์เข้ามาติดตั้งที่สามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสต่างๆ เพราะจะค่อยๆ ส่งชิ้นส่วนตัวติดตั้งเป็นชิ้นๆ คล้ายหุ่นรถยนต์ในหนังทรานส์ฟอร์เมอร์เข้ามาที่ละนิดแล้วมาประกอบร่างในเครื่องของเรา ไม่มีเครื่องมือใดที่สามารถตรวจจับได้เลย
หลังจากเข้ามาจะใช้เวลาฝังตัวอยู่นิ่งเป็นเวลา 24 ชั่วโมงก่อนจะเริ่มโจมตีในขั้นตอนที่สอง เพราะทางแฮกเกอร์ต้องการหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ เพราะแซนด์บ็อกซ์จะสามารถตรวจสอบได้ว่าไฟล์ที่แปลกปลอมเข้ามาเชื่อมต่ออะไรไปบ้าง แต่หากไฟล์นั้นไม่แสดงตัว แซนด์บ็อกซ์ จะตรวจจับไม่เจอ และหากถูกจับได้แซนด์บ็อกซ์ จะกระจายข่าวแจ้งเตือนไปทั่วโลก ดังนั้นหลังจาก 24 ชั่วโมง EternalRocks จึงจะเริ่มเชื่อมต่อไปยัง C&C Server เพื่อที่จะนำเครื่องมือของเอ็นเอสเอเข้ามาทำงานในเครื่องเรา
ดังนั้นหากโดนมัลแวร์ EternalRocks ลำบากในการแก้ไขเพราะตรวจจับไม่ได้ นอกจากจะอัพเดทแพตช์แล้ว ยังจำเป็นต้องอาศัยระบบรักษาความปลอดภัยแบบบูรณาการที่เรียกว่า Parameter Security คือเริ่มตั้งแต่ไฟร์วอลล์ ,ดาต้า เซ็นเตอร์ ,เซิร์ฟเวอร์ และเอ็นด์พ้อยต์ ทั้งหมดต้องทำงานประสานกันอย่างมีประสิทธิภาพและรวดเร็ว เนื่องจากการโจมตีไม่ได้พุ่งเป้าโจมตีเน็ตเวิร์คอย่างเดียวเหมือนสมัยก่อน และ Security Event Management ไม่สามารถแจ้งเตือนได้
จะเห็นได้ว่ายาพิษทั้ง 7 นี้หรือเครื่องมือของเอ็นเอสเอ ที่หลุดออกมานี้จะสามารถสร้างความปั่นป่วนในโลกไซเบอร์ได้เพิ่มขึ้นอีกมากมาย ดังนั้นทุกองค์กรและทุกท่านต้องระมัดระวังและใส่ใจหรือให้ความสำคัญในการดูแลระบบมากขึ้น เพราะอาฟเตอร์ช็อคที่กำลังจะตามมาอาจจะทำให้ท่านต้องกับเผชิญกับความเสียหายที่คาดไม่ถึงก็เป็นได้
