RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (จบ)

Loading

    สัปดาห์ที่แล้วผมได้เล่าถึงระบบโดยรวมของ Honeypot และวิธีการในการโจมตีรวมถึงการที่แฮ็กเกอร์ใช้ username และ รหัสผ่านในหลากหลายรูปแบบเพื่อเข้าสู่ระบบ วันนี้เราจะมาตามกันต่อในส่วนอื่น ๆ ที่เกี่ยวข้องกับการแฮ็กระบบนะครับ   จากความพยายามของแฮ็กเกอร์ที่รวบรวมข้อมูลของเหยื่อเพื่อเข้าสู่ระบบนั้น จึงมีข้อสังเกตที่น่าสนใจคือ เมื่อมีการเชื่อมโยงสถิติเหล่านี้กับการโจมตี IP address แล้วพบว่าชื่อ RDP certificate ถูกใช้เฉพาะในการพยายามเข้าสู่ระบบจาก IP address ในประเทศจีนถึง 98% และรัสเซีย 2%   ซึ่งนี่ไม่ได้หมายความว่าแฮ็กเกอร์จะมาจากทั้ง 2 ประเทศ แต่สามารถสื่อได้ว่าพวกเขาใช้โครงสร้างพื้นฐานจากทั้ง 2 ประเทศ และอีกหนึ่งข้อสังเกตคือมีแฮ็กเกอร์จำนวนประมาณ 15% ที่ได้ใช้รหัสผ่านหลายพันอันกับ username เพียง 5 ชื่อเท่านั้น   แฮ็กเกอร์จะปฏิบัติการโดยเริ่มจากการสอดแนมภายในระบบอย่างต่อเนื่องเพื่อหาข้อมูลที่สำคัญและที่มีมูลค่าอีกทั้งปริมาณการแฮ็กมีอัตราที่เพิ่มสูงขึ้นเรื่อย ๆ อย่างเห็นได้ชัด   จุดนี้เองทำให้นักวิจัยจึงตัดสินใจจัดทำแผนผัง (heat map) เพื่อแสดง IP address ที่กำหนดให้ Honeypot เป็นเป้าหมายในการโจมตีและแสดงให้เห็นว่ามีลักษณะการบุกโจมตีเป็นแบบรายวันโดยมีช่วงหยุดชั่วคราวซึ่งหมายความว่าแฮ็กเกอร์จะหยุดพักการโจมตี…

RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (1)

Loading

    หากทุกท่านสังเกตดี ๆ จะพบว่า การโจรกรรมและการบุกโจมตีระบบเครือข่ายมีข่าวให้เห็นได้เกือบทุกวันจากทั่วทุกมุมโลก   แน่นอนว่าแฮ็กเกอร์ได้มีการพัฒนาและสร้างเครือข่ายขยายเป็นวงกว้างออกไปมากยิ่งขึ้นซึ่งสิ่งที่ตามมาคือ ความเสียหายที่เกิดขึ้นจะมีมูลค่ามากมายมหาศาลด้วยเช่นกัน   ไม่ว่าบุคคลหรือแม้กระทั้งองค์กรทั้งเล็กหรือใหญ่ก็ตกเป็นเหยื่อของการโจมตีได้ด้วยกันทั้งสิ้น โดยวันนี้ผมขอหยิบยกเอากรณี Honeypot ที่กำลังตกเป็นข่าวอยู่ในช่วงนี้ซึ่งถือได้ว่ามีความน่าสนใจมากครับ   โปรแกรมการควบคุมเครื่องคอมพิวเตอร์ระยะไกล (Remote Desktop Connection หรือ RDP) ถือได้ว่าเป็นแม่เหล็กและอาวุธอันทรงพลังของเหล่าบรรดาแฮ็กเกอร์เลยก็ว่าได้   เนื่องจากมีการเชื่อมต่อจาก IP address ต่าง ๆ ของแฮ็กเกอร์โดยเฉลี่ยมากกว่า 37,000 ครั้งในแต่ละวันและเป็นการโจมตีอย่างอัตโนมัติ ในทันทีที่แฮ็กเกอร์ได้รับสิทธ์ให้เข้าถึงข้อมูลในระบบได้แล้ว กระบวนการค้นหาไฟล์ต่าง ๆ ที่สำคัญและมีความละเอียดอ่อนก็จะเริ่มต้นตามซึ่งหมายความว่าแฮ็กเกอร์จะสามารถเปิดเกมส์โดยบุกโจมตี RDP ได้ทันที   มีการทดลองใช้ Honeypot แบบ high-interaction กับ RDP ที่เชื่อมต่อการเข้าถึงจากเว็บสาธารณะได้โชว์ว่า แฮกเกอร์ไม่หยุดโจมตีระบบและมีการเปิดการโจมตีในช่วงเวลาทำงานของทุก ๆ วัน   โดยมากกว่า 3 เดือนที่นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ของบริษัทจัดการกับภัยคุกคามซึ่งมีสำนักงานใหญ่ตั้งอยู่ที่สหรัฐและแคนนาดาได้พบว่า มีความพยายามในการเจาะระบบ RDP Honeypot…