สัปดาห์ที่แล้วผมได้เล่าถึงระบบโดยรวมของ Honeypot และวิธีการในการโจมตีรวมถึงการที่แฮ็กเกอร์ใช้ username และ รหัสผ่านในหลากหลายรูปแบบเพื่อเข้าสู่ระบบ วันนี้เราจะมาตามกันต่อในส่วนอื่น ๆ ที่เกี่ยวข้องกับการแฮ็กระบบนะครับ
จากความพยายามของแฮ็กเกอร์ที่รวบรวมข้อมูลของเหยื่อเพื่อเข้าสู่ระบบนั้น จึงมีข้อสังเกตที่น่าสนใจคือ เมื่อมีการเชื่อมโยงสถิติเหล่านี้กับการโจมตี IP address แล้วพบว่าชื่อ RDP certificate ถูกใช้เฉพาะในการพยายามเข้าสู่ระบบจาก IP address ในประเทศจีนถึง 98% และรัสเซีย 2%
ซึ่งนี่ไม่ได้หมายความว่าแฮ็กเกอร์จะมาจากทั้ง 2 ประเทศ แต่สามารถสื่อได้ว่าพวกเขาใช้โครงสร้างพื้นฐานจากทั้ง 2 ประเทศ และอีกหนึ่งข้อสังเกตคือมีแฮ็กเกอร์จำนวนประมาณ 15% ที่ได้ใช้รหัสผ่านหลายพันอันกับ username เพียง 5 ชื่อเท่านั้น
แฮ็กเกอร์จะปฏิบัติการโดยเริ่มจากการสอดแนมภายในระบบอย่างต่อเนื่องเพื่อหาข้อมูลที่สำคัญและที่มีมูลค่าอีกทั้งปริมาณการแฮ็กมีอัตราที่เพิ่มสูงขึ้นเรื่อย ๆ อย่างเห็นได้ชัด
จุดนี้เองทำให้นักวิจัยจึงตัดสินใจจัดทำแผนผัง (heat map) เพื่อแสดง IP address ที่กำหนดให้ Honeypot เป็นเป้าหมายในการโจมตีและแสดงให้เห็นว่ามีลักษณะการบุกโจมตีเป็นแบบรายวันโดยมีช่วงหยุดชั่วคราวซึ่งหมายความว่าแฮ็กเกอร์จะหยุดพักการโจมตี
นอกจากนี้ heat map ยังแสดงให้เห็นอีกว่า ระยะเวลาการโจมตีในแต่ละครั้งไม่เท่ากัน บางครั้งใช้เวลามากกว่า 4 ชั่วโมง หรืออาจนานถึง 8-13 ชั่วโมงก็เป็นได้ ซึ่งทำให้เชื่อได้ว่า การโจมตีมีการวางแผนเตรียมการบางอย่างไว้เรียบร้อยแล้ว
การเพิ่มน้ำหนักความน่าเชื่อถือให้กับข้อสังเกตนี้คือ ข้อเท็จจริงที่ว่าการโจมตีอย่างดุดันนี้ได้หยุดลงในช่วงวันหยุดสุดสัปดาห์ซึ่งอาจบ่งชี้ได้ว่าแฮ็กเกอร์ออกปฏิบัติการแฮ็กเหมือนกับการทำงานทั่ว ๆ ไปของเรานั้นเอง อีกทั้งนักวิจัยยังตรวจพบช่องว่างประมาณ 8 ชั่วโมงระหว่างการโจมตีจึงมีการคาดการว่าผู้โจมตีทำงานเป็นกะ
นอกจากนี้ ยังมีการตรวจพบความเกี่ยวข้องระหว่างมนุษย์กับระดับความซับซ้อนในการโจมตีที่กำหนดเป้าหมายอยู่ที่ประมาณ 14% ที่ส่งผลทำให้เพิ่มความล่าช้าระหว่างการพยายามเข้าสู่ระบบในแต่ละครั้ง เพื่อลอกเลียนแบบกิจกรรมของมนุษย์ แม้ว่านักวิจัยจะลดความยากในการเข้าสู่ระบบบน Honeypot ด้วยระบบ credential pair คือ ‘admin/admin’ แต่มีเพียง 25% ของแฮ็กเกอร์ที่เริ่มการสำรวจเครื่องเพื่อหาไฟล์สำคัญ ๆ
โดย Honeypot ที่ว่างเปล่าอาจเป็นสาเหตุว่าทำไมแฮ็กเกอร์เพียง 1 ใน 4 จึงใช้เวลาค้นหาข้อมูลอย่างไม่รีบร้อน อย่างไรก็ตาม ขั้นตอนต่อไปของการวิจัยคือ การใส่ไฟล์ปลอมเข้าไปในเซิร์ฟเวอร์และคอยติดตามความเคลื่อนไหวและการออกปฏบัติการของแฮ็กเกอร์ต่อไป
จากทั้ง 2 ตอนที่ผมได้กล่าวมานั้น การโจมตีในปัจจุบันมีความซับซ้อนและแยบยลมากยิ่งขึ้นและยากต่อการตรวจจับเป็นอย่างมาก
เพราะฉะนั้นจึงมีความจำเป็นอย่างมากที่จะต้องอาศัยทักษะและอุปกรณ์ที่มีความแม่นยำในการตรวจจับและหาภัยคุกคามในระบบเครือข่ายอย่าง Network Detection and response (NDR) ที่มีเอไอ
ตลอดจนแมชีนเลิร์นนิง เข้ามาช่วยรับมือกับการโจมตีทางไซเบอร์ แต่ต้องยอมรับว่าเครื่องมือเหล่านี้มีราคาค่อนข้างสูงแต่เพื่อแลกกับความปลอดภัยของระบบเครือข่ายในองค์กร ผู้บริหารจำเป็นต้องศึกษารายละเอียดของเครื่องมือเหล่านี้เพื่อนำมาประยุกต์ใช้ให้เข้ากับองค์กรของท่านในอนาคตครับ
บทความโดย โต๊ะข่าวไอที ดิจิทัล
————————————————————————————————————————-
ที่มา : bangkokbiznews / วันที่เผยแพร่ 3 ก.ค. 2566
Link : https://www.bangkokbiznews.com/tech/gadget/1076520
