IT & gadget

RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (1)

By นักรบ เนียมนามธรรม26 มิ.ย. 2023 เวลา 16:55 น.
RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (1)

หากทุกท่านสังเกตดีๆ จะพบว่า การโจรกรรมและการบุกโจมตีระบบเครือข่ายมีข่าวให้เห็นได้เกือบทุกวันจากทั่วทุกมุมโลก แ

แน่นอนว่าแฮกเกอร์ได้มีการพัฒนาและสร้างเครือข่ายขยายเป็นวงกว้างออกไปมากยิ่งขึ้นซึ่งสิ่งที่ตามมาคือ ความเสียหายที่เกิดขึ้นจะมีมูลค่ามากมายมหาศาลด้วยเช่นกัน 

ไม่ว่าบุคคลหรือแม้กระทั้งองค์กรทั้งเล็กหรือใหญ่ก็ตกเป็นเหยื่อของการโจมตีได้ด้วยกันทั้งสิ้น โดยวันนี้ผมขอหยิบยกเอากรณี Honeypot ที่กำลังตกเป็นข่าวอยู่ในช่วงนี้ซึ่งถือได้ว่ามีความน่าสนใจมากครับ

โปรแกรมการควบคุมเครื่องคอมพิวเตอร์ระยะไกล (Remote Desktop Connection หรือ RDP) ถือได้ว่าเป็นแม่เหล็กและอาวุธอันทรงพลังของเหล่าบรรดาแฮกเกอร์เลยก็ว่าได้ 

เนื่องจากมีการเชื่อมต่อจาก IP address ต่างๆ ของแฮกเกอร์โดยเฉลี่ยมากกว่า 37,000 ครั้งในแต่ละวันและเป็นการโจมตีอย่างอัตโนมัติ ในทันทีที่แฮกเกอร์ได้รับสิทธ์ให้เข้าถึงข้อมูลในระบบได้แล้ว กระบวนการค้นหาไฟล์ต่างๆ ที่สำคัญและมีความละเอียดอ่อนก็จะเริ่มต้นตามซึ่งหมายความว่าแฮกเกอร์จะสามารถเปิดเกมส์โดยบุกโจมตี RDP ได้ทันที

มีการทดลองใช้ Honeypot แบบ high-interaction กับ RDP ที่เชื่อมต่อการเข้าถึงจากเว็บสาธารณะได้โชว์ว่า แฮกเกอร์ไม่หยุดโจมตีระบบและมีการเปิดการโจมตีในช่วงเวลาทำงานของทุกๆ วัน 

โดยมากกว่า 3 เดือนที่นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ของบริษัทจัดการกับภัยคุกคามซึ่งมีสำนักงานใหญ่ตั้งอยู่ที่สหรัฐและแคนนาดาได้พบว่า มีความพยายามในการเจาะระบบ RDP Honeypot เกือบ 3.5 ล้านครั้ง โดย Honeypot นั้นถูกเลือกเพื่อใช้กับโครงการวิจัยซึ่งมีเป้าหมายคือการทำความเข้าใจกลยุทธ์ของแฮกเกอร์เพื่อนำไปสู่คำแนะนำในการป้องกันที่มีประสิทธิภาพ

Honeypot มีการเปิดและปิดระบบการทำงานมามากกว่า 3 ปี และมีการทำงานอย่างต่อเนื่องมาเป็นเวลากว่า 1 ปีแล้ว แต่ข้อมูลที่รวบรวมสำหรับการนำเสนอแสดงแค่เพียง 3 เดือนเท่านั้น คือระหว่างวันที่ 1 กรกฎาคมถึง 30 กันยายน 2022 เท่านั้น ซึ่งในช่วงเวลานี้ Honeypot ถูกโจมตีไปแล้วกว่า 3,427,611 ครั้งจาก IP address มากกว่า 1,500 รายการ 

อย่างไรก็ตาม จำนวนความพยายามในการเข้าสู่ระบบเพื่อโจมตีตลอดทั้งปีมีจำนวนถึง 13 ล้านครั้งซึ่งถือได้ว่าเป็นตัวเลขที่สูงมากเลยทีเดียว และเพื่อกระตุ้นความต้องการในการโจมตีระบบของแฮกเกอร์ นักวิจัยจึงเลือกที่จะตั้งชื่อระบบให้ดูเป็นส่วนหนึ่งของระบบเครือข่ายของธนาคารซึ่งก็เป็นไปตามคาดเพราะมีความพยายามในการโจมตีระบบอย่างดุดันและต่อเนื่อง

เนื้อหาที่เกี่ยวข้อง

โดยแฮกเกอร์เริ่มจากการเลือกใช้คำที่หลากหลายและชื่อผู้ใช้งาน (username) ที่พบบ่อยที่สุดคือ “ผู้ดูแลระบบ Administrator” ในรูปแบบต่างๆ เช่น เวอร์ชันสั้น ใช้ภาษาต่างๆ หรือตัวพิมพ์เล็ก โดยจากการตรวจสอบพบว่า มีถึง 60,000 เคส ที่ผู้โจมตีได้เริ่มทำการสำรวจเพื่อเก็บข้อมูลก่อนที่จะพยายามเข้าสู่ระบบอย่างถูกต้องและรัน username จากชุดคำที่มีความหมายคล้ายคลึงกัน 

ทั้งนี้ยังมี username แปลกๆ อีก 3 ชื่อ ได้แก่ ชื่อ RDP Certificate – Host และชื่อผู้ให้บริการ Hosting ที่พบว่ามีความเกี่ยวข้องกับระบบ Honeypot โดยตรง และจากข้อมูลทำให้เราเห็นได้อย่างชัดเจนว่า แฮกเกอร์ไม่ได้ใช้วิธีการสุ่มเพื่อเข้าใช้ระบบ แต่เลือกใช้วิธีการรวบรวมข้อมูลเกี่ยวกับเหยื่อก่อน 

โดยระบบจะรวบรวม hash (แฮช)ของรหัสผ่านและจากผลการวิจัยพบว่ากลยุทธ์ที่พบบ่อยที่สุดคือ การใช้รูปแบบ RDP certificate ที่หลากหลายตามด้วยรูปแบบต่างๆ ของคำว่า ‘รหัสผ่าน’ และมีความยาวไม่เกิน 10 หลัก

ในสัปดาห์หน้าเราจะมาตามกันต่อว่าแฮกเกอร์จะใช้วิธีการในการเข้าโจมตีระบบ RDP Honeypot ได้อย่างไรในตอนที่ 2 กันนะครับ