หากทุกท่านสังเกตดี ๆ จะพบว่า การโจรกรรมและการบุกโจมตีระบบเครือข่ายมีข่าวให้เห็นได้เกือบทุกวันจากทั่วทุกมุมโลก
แน่นอนว่าแฮ็กเกอร์ได้มีการพัฒนาและสร้างเครือข่ายขยายเป็นวงกว้างออกไปมากยิ่งขึ้นซึ่งสิ่งที่ตามมาคือ ความเสียหายที่เกิดขึ้นจะมีมูลค่ามากมายมหาศาลด้วยเช่นกัน
ไม่ว่าบุคคลหรือแม้กระทั้งองค์กรทั้งเล็กหรือใหญ่ก็ตกเป็นเหยื่อของการโจมตีได้ด้วยกันทั้งสิ้น โดยวันนี้ผมขอหยิบยกเอากรณี Honeypot ที่กำลังตกเป็นข่าวอยู่ในช่วงนี้ซึ่งถือได้ว่ามีความน่าสนใจมากครับ
โปรแกรมการควบคุมเครื่องคอมพิวเตอร์ระยะไกล (Remote Desktop Connection หรือ RDP) ถือได้ว่าเป็นแม่เหล็กและอาวุธอันทรงพลังของเหล่าบรรดาแฮ็กเกอร์เลยก็ว่าได้
เนื่องจากมีการเชื่อมต่อจาก IP address ต่าง ๆ ของแฮ็กเกอร์โดยเฉลี่ยมากกว่า 37,000 ครั้งในแต่ละวันและเป็นการโจมตีอย่างอัตโนมัติ ในทันทีที่แฮ็กเกอร์ได้รับสิทธ์ให้เข้าถึงข้อมูลในระบบได้แล้ว กระบวนการค้นหาไฟล์ต่าง ๆ ที่สำคัญและมีความละเอียดอ่อนก็จะเริ่มต้นตามซึ่งหมายความว่าแฮ็กเกอร์จะสามารถเปิดเกมส์โดยบุกโจมตี RDP ได้ทันที
มีการทดลองใช้ Honeypot แบบ high-interaction กับ RDP ที่เชื่อมต่อการเข้าถึงจากเว็บสาธารณะได้โชว์ว่า แฮกเกอร์ไม่หยุดโจมตีระบบและมีการเปิดการโจมตีในช่วงเวลาทำงานของทุก ๆ วัน
โดยมากกว่า 3 เดือนที่นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ของบริษัทจัดการกับภัยคุกคามซึ่งมีสำนักงานใหญ่ตั้งอยู่ที่สหรัฐและแคนนาดาได้พบว่า มีความพยายามในการเจาะระบบ RDP Honeypot เกือบ 3.5 ล้านครั้ง โดย Honeypot นั้นถูกเลือกเพื่อใช้กับโครงการวิจัยซึ่งมีเป้าหมายคือการทำความเข้าใจกลยุทธ์ของแฮกเกอร์เพื่อนำไปสู่คำแนะนำในการป้องกันที่มีประสิทธิภาพ
Honeypot มีการเปิดและปิดระบบการทำงานมามากกว่า 3 ปี และมีการทำงานอย่างต่อเนื่องมาเป็นเวลากว่า 1 ปีแล้ว แต่ข้อมูลที่รวบรวมสำหรับการนำเสนอแสดงแค่เพียง 3 เดือนเท่านั้น คือระหว่างวันที่ 1 กรกฎาคมถึง 30 กันยายน 2022 เท่านั้น ซึ่งในช่วงเวลานี้ Honeypot ถูกโจมตีไปแล้วกว่า 3,427,611 ครั้งจาก IP address มากกว่า 1,500 รายการ
อย่างไรก็ตาม จำนวนความพยายามในการเข้าสู่ระบบเพื่อโจมตีตลอดทั้งปีมีจำนวนถึง 13 ล้านครั้งซึ่งถือได้ว่าเป็นตัวเลขที่สูงมากเลยทีเดียว และเพื่อกระตุ้นความต้องการในการโจมตีระบบของแฮกเกอร์ นักวิจัยจึงเลือกที่จะตั้งชื่อระบบให้ดูเป็นส่วนหนึ่งของระบบเครือข่ายของธนาคารซึ่งก็เป็นไปตามคาดเพราะมีความพยายามในการโจมตีระบบอย่างดุดันและต่อเนื่อง
โดยแฮ็กเกอร์เริ่มจากการเลือกใช้คำที่หลากหลายและชื่อผู้ใช้งาน (username) ที่พบบ่อยที่สุดคือ “ผู้ดูแลระบบ Administrator” ในรูปแบบต่างๆ เช่น เวอร์ชันสั้น ใช้ภาษาต่าง ๆ หรือตัวพิมพ์เล็ก โดยจากการตรวจสอบพบว่า มีถึง 60,000 เคส ที่ผู้โจมตีได้เริ่มทำการสำรวจเพื่อเก็บข้อมูลก่อนที่จะพยายามเข้าสู่ระบบอย่างถูกต้องและรัน username จากชุดคำที่มีความหมายคล้ายคลึงกัน
ทั้งนี้ยังมี username แปลก ๆ อีก 3 ชื่อ ได้แก่ ชื่อ RDP Certificate – Host และชื่อผู้ให้บริการ Hosting ที่พบว่ามีความเกี่ยวข้องกับระบบ Honeypot โดยตรง และจากข้อมูลทำให้เราเห็นได้อย่างชัดเจนว่า แฮกเกอร์ไม่ได้ใช้วิธีการสุ่มเพื่อเข้าใช้ระบบ แต่เลือกใช้วิธีการรวบรวมข้อมูลเกี่ยวกับเหยื่อก่อน
โดยระบบจะรวบรวม hash (แฮช) ของรหัสผ่านและจากผลการวิจัยพบว่ากลยุทธ์ที่พบบ่อยที่สุดคือ การใช้รูปแบบ RDP certificate ที่หลากหลายตามด้วยรูปแบบต่าง ๆ ของคำว่า ‘รหัสผ่าน’ และมีความยาวไม่เกิน 10 หลัก
ในสัปดาห์หน้าเราจะมาตามกันต่อว่าแฮกเกอร์จะใช้วิธีการในการเข้าโจมตีระบบ RDP Honeypot ได้อย่างไรในตอนที่ 2 กันนะครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————-
ที่มา : bangkokbiz / วันที่เผยแพร่ 26 มิ.ย.2566
Link : https://www.bangkokbiznews.com/tech/gadget/1075413
