วันที่ประกาศ: 13 พฤษภาคม 2560
ปรับปรุงล่าสุด: 14 พฤษภาคม 2560
เรื่อง: ระวังภัย มัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ของวินโดวส์ รีบอัปเดตทันที
ประเภทภัยคุกคาม: Intrusion
สถานการณ์การโจมตี
เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry [1] โดยมัลแวร์ดังกล่าวมีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้
สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้
ช่องโหว่ที่ถูกใช้ในการแพร่กระจายมัลแวร์เป็นช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะตั้งแต่ช่วงเดือนเมษายน 2560 [2] และถึงแม้ทาง Microsoft จะเผยแพร่อัปเดตแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 มีนาคม 2560 แล้ว [3] แต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวและถูกโจมตีจากมัลแวร์นี้มากกว่า 500,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง
จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว อย่างไรก็ตาม เนื่องจากปัจจุบันยังมีเครื่องคอมพิวเตอร์ที่ใช้งานสองระบบปฏิบัติการดังกล่าวและยังเชื่อมต่อกับอินเทอร์เน็ตอยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงออกอัปเดตฉุกเฉินมาเพื่อแก้ไขปัญหานี้ โดยผู้ใช้สามารถดาวน์โหลดอัปเดตดังกล่าวได้จากเว็บไซต์ของ Microsoft [4]
พฤติกรรมของมัลแวร์ WannaCry
ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe [5] โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่แพร่ระบาดอยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ
ไอพีแอดเดรสปลายทาง | พอร์ตปลายทาง | ประเทศ |
213.61.66.116 | 9003/TCP | Germany |
171.25.193.9 | 80/TCP | Sweden |
163.172.35.247 | 443/TCP | United Kingdom |
128.31.0.39 | 9101/TCP | United States |
185.97.32.18 | 9001/TCP | Sweden |
178.62.173.203 | 9001/TCP | European Union |
136.243.176.148 | 443/TCP | Germany |
217.172.190.251 | 443/TCP | Germany |
94.23.173.93 | 443/TCP | France |
50.7.151.47 | 443/TCP | United States |
83.162.202.182 | 9001/TCP | Netherlands |
163.172.185.132 | 443/TCP | United Kingdom |
163.172.153.12 | 9001/TCP | United Kingdom |
62.138.7.231 | 9001/TCP | Germany |
ตารางที่ 1 แสดงการเชื่อมต่อจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ WannaCry
นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป
ข้อแนะนำในการป้องกัน
- ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรือระบบเซิร์ฟเวอร์บางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
- หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา [6]
- ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์
- อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
- ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว
ข้อแนะนำอื่นๆ
- ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ WannaCry ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
- จากที่มีการเผยแพร่ข่าวสารว่าสามารถยับยั้งการทำงานของมัลแวร์ WannaCry ได้นั้น ตรวจสอบแล้วเป็นเพียงการยับยั้งแบบชั่วคราว โดยมีผลเฉพาะกับมัลแวร์บางเวอร์ชันเท่านั้น ไม่สามารถป้องกันปัญหาได้แบบถาวรตราบใดที่ยังไม่มีการอัปเดตแก้ไขช่องโหว่ เนื่องจากผู้พัฒนามัลแวร์สามารถเผยแพร่เวอร์ชันใหม่ที่หลบเลี่ยงการป้องกันได้
- มัลแวร์เรียกค่าไถ่ WannaCry เวอร์ชันที่มีการแพร่ระบาดอยู่ในปัจจุบัน ยังไม่พบว่ามีการแพร่กระจายผ่านอีเมล อย่างไรก็ตาม อาจมีการแพร่กระจายผ่านอีเมลในอนาคต ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบในอีเมลที่น่าสงสัย
- ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
- หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
- หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212
อ้างอิง
- https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today/
- https://www.thaicert.or.th/newsbite/2017-04-24-01.html
- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
- https://en.wikipedia.org/wiki/Server_Message_Block#SMB_.2F_CIFS_.2F_SMB1
ที่มา : ThaiCert ไทยเซิร์ต
ลิงค์ : https://www.thaicert.or.th/alerts/user/2017/al2017us001.html