Gadget

RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (จบ)

By โต๊ะข่าวไอที ดิจิทัล03 ก.ค. 2023 เวลา 10:42 น.
RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (จบ)

สัปดาห์ที่แล้วผมได้เล่าถึงระบบโดยรวมของ Honeypot และวิธีการในการโจมตีรวมถึงการที่แฮกเกอร์ใช้ username และ รหัสผ่านในหลากหลายรูปแบบเพื่อเข้าสู่ระบบ วันนี้เราจะมาตามกันต่อในส่วนอื่นๆ ที่เกี่ยวข้องกับการแฮกระบบนะครับ

จากความพยายามของแฮกเกอร์ที่รวบรวมข้อมูลของเหยื่อเพื่อเข้าสู่ระบบนั้น จึงมีข้อสังเกตที่น่าสนใจคือ เมื่อมีการเชื่อมโยงสถิติเหล่านี้กับการโจมตี IP address แล้วพบว่าชื่อ RDP certificate ถูกใช้เฉพาะในการพยายามเข้าสู่ระบบจาก IP address ในประเทศจีนถึง 98% และรัสเซีย 2%

ซึ่งนี่ไม่ได้หมายความว่าแฮกเกอร์จะมาจากทั้ง 2 ประเทศ แต่สามารถสื่อได้ว่าพวกเขาใช้โครงสร้างพื้นฐานจากทั้ง 2 ประเทศ และอีกหนึ่งข้อสังเกตคือมีแฮกเกอร์จำนวนประมาณ 15% ที่ได้ใช้รหัสผ่านหลายพันอันกับ username เพียง 5 ชื่อเท่านั้น

แฮกเกอร์จะปฏิบัติการโดยเริ่มจากการสอดแนมภายในระบบอย่างต่อเนื่องเพื่อหาข้อมูลที่สำคัญและที่มีมูลค่าอีกทั้งปริมาณการแฮกมีอัตราที่เพิ่มสูงขึ้นเรื่อยๆ อย่างเห็นได้ชัด

จุดนี้เองทำให้นักวิจัยจึงตัดสินใจจัดทำแผนผัง (heat map) เพื่อแสดง IP address ที่กำหนดให้ Honeypot เป็นเป้าหมายในการโจมตีและแสดงให้เห็นว่ามีลักษณะการบุกโจมตีเป็นแบบรายวันโดยมีช่วงหยุดชั่วคราวซึ่งหมายความว่าแฮกเกอร์จะหยุดพักการโจมตี

นอกจากนี้ heat map ยังแสดงให้เห็นอีกว่า ระยะเวลาการโจมตีในแต่ละครั้งไม่เท่ากัน บางครั้งใช้เวลามากกว่า 4 ชั่วโมง หรืออาจนานถึง 8-13 ชั่วโมงก็เป็นได้ ซึ่งทำให้เชื่อได้ว่า การโจมตีมีการวางแผนเตรียมการบางอย่างไว้เรียบร้อยแล้ว

การเพิ่มน้ำหนักความน่าเชื่อถือให้กับข้อสังเกตนี้คือ  ข้อเท็จจริงที่ว่าการโจมตีอย่างดุดันนี้ได้หยุดลงในช่วงวันหยุดสุดสัปดาห์ซึ่งอาจบ่งชี้ได้ว่าแฮกเกอร์ออกปฏิบัติการแฮกเหมือนกับการทำงานทั่วๆ ไปของเรานั้นเอง อีกทั้งนักวิจัยยังตรวจพบช่องว่างประมาณ 8 ชั่วโมงระหว่างการโจมตีจึงมีการคาดการว่าผู้โจมตีทำงานเป็นกะ 

นอกจากนี้ ยังมีการตรวจพบความเกี่ยวข้องระหว่างมนุษย์กับระดับความซับซ้อนในการโจมตีที่กำหนดเป้าหมายอยู่ที่ประมาณ 14% ที่ส่งผลทำให้เพิ่มความล่าช้าระหว่างการพยายามเข้าสู่ระบบในแต่ละครั้ง เพื่อลอกเลียนแบบกิจกรรมของมนุษย์ แม้ว่านักวิจัยจะลดความยากในการเข้าสู่ระบบบน Honeypot ด้วยระบบ credential pair คือ ‘admin/admin’ แต่มีเพียง 25% ของแฮกเกอร์ที่เริ่มการสำรวจเครื่องเพื่อหาไฟล์สำคัญๆ

โดย Honeypot ที่ว่างเปล่าอาจเป็นสาเหตุว่าทำไมแฮกเกอร์เพียง 1 ใน 4 จึงใช้เวลาค้นหาข้อมูลอย่างไม่รีบร้อน อย่างไรก็ตาม ขั้นตอนต่อไปของการวิจัยคือ การใส่ไฟล์ปลอมเข้าไปในเซิร์ฟเวอร์และคอยติดตามความเคลื่อนไหวและการออกปฏบัติการของแฮกเกอร์ต่อไป

เนื้อหาที่เกี่ยวข้อง

จากทั้ง 2 ตอนที่ผมได้กล่าวมานั้น การโจมตีในปัจจุบันมีความซับซ้อนและแยบยลมากยิ่งขึ้นและยากต่อการตรวจจับเป็นอย่างมาก

เพราะฉะนั้นจึงมีจำเป็นอย่างมากที่จะต้องอาศัยทักษะและอุปกรณ์ที่มีความแม่นยำในการตรวจจับและหาภัยคุกคามในระบบเครือข่ายอย่าง Network Detection and response (NDR) ที่มีเอไอ

ตลอดจนแมชีนเลิร์นนิง เข้ามาช่วยรับมือกับการโจมตีทางไซเบอร์ แต่ต้องยอมรับว่าเครื่องมือเหล่านี้มีราคาค่อนข้างสูงแต่เพื่อแลกกับความปลอดภัยของระบบเครือข่ายในองค์กร ผู้บริหารจำเป็นต้องศึกษารายละเอียดของเครื่องมือเหล่านี้เพื่อนำมาประยุกต์ใช้ให้เข้ากับองค์กรของท่านในอนาคตครับ