Lesson Learned From Australian National University (ANU) Data Breach Incident Report
ในช่วงสัปดาห์ที่ผ่านมา Australian National University (ANU) ได้มีการเปิดเผยถึงรายละเอียดการโจมตีทางไซเบอร์ผ่านทาง Incident report ซึ่งรายงานถึงกรณีของการละเมิดข้อมูล (Data breach) และการเข้าถึงระบบซึ่งมีความสำคัญสูงตั้งแต่ช่วงปลายปีที่ผ่านมา รายงานฉบับนี้มีการเผยให้เห็นพฤติกรรมและเทคนิคของผู้โจมตี (Tradecraft) รวมไปถึงประเด็นในการตรวจพบการเกิดขึ้นของเหตุการณ์ด้านความปลอดภัยหลายประการ
ดังนั้นในโพสต์นี้เราจะมาพูดถึงประเด็นที่น่าสนใจจากรายงานฉบับนี้กันครับ
- Dwell time หรือช่วงเวลาที่ผู้โจมตีอยู่ใน ANU Network ก่อนจะถูกตรวจจับได้นั้นกินเวลาประมาณ 6 สัปดาห์ โดยผู้โจมตีถูกตรวจพบผ่าน Threat hunting exercise ที่ทำให้ทีมของผู้ดูแลระบบตรวจพบพฤติกรรมทางเครือข่ายที่ผิดปกติ
- เทคนิคในขั้นตอน Initial access ในหลายครั้งมีการอ้างถึง Interaction-less spearphishing ซึ่งหมายถึงลักษณะของอีเมลหลอกลวงที่เป้าหมายไม่จำเป็นต้องมีปฏิสัมพันธ์ด้วยแต่ก็ยังสามารถทำให้ผู้โจมตีบรรลุจุดประสงค์ในการเข้าถึงระบบเป้าหมายได้ อ้างอิงจากรายงานนั้น คาดว่ารูปแบบของ Interaction-less spearphishing มีการฝังสคริปต์ ซึ่งจากคาดเดาของผม อาจมีความเป็นไปได้ที่ผู้โจมตีจะใช้เทคนิคในการบังคับให้มีการเชื่อมต่อไปยัง SMB server ภายนอกเพื่อดักเอาค่าแฮช NTLM
- ผู้โจมตีถูกระบุว่ามีการใช้เทคนิคในกลุ่ม Operation security (OPSEC) หลายประการ หนึ่งในนั้นคือการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมภายเครือข่าย TOR ทั้งนี้ในความคิดเห็นของผม เนื่องจากเราสามารถระบุตำแหน่งของ TOR exit node ได้อย่างแน่ชัดในช่วงเวลาที่กำหนด ดังนั้นจึงมีความเป็นไปได้สูงที่เราอาจสามารถตรวจจับการโจมตีได้ก่อนหากมีการเฝ้าระวังการติดต่อในลักษณะที่มีปลายทางอยู่ในรายการของ TOR exit node
- กระบวนการ Lateral movement โดยส่วนใหญ่ถูกระบุว่าทำสำเร็จได้โดยการใช้ข้อมูลสำหรับยืนยันตัวตนที่ขโมยมา ทั้งนี้ยังมีความเป็นไปได้อยู่อีกหนึ่งกรณีซึ่งยากต่อการยืนยันและพิสูจน์คือการโจมตีช่องโหว่บางอย่างซึ่งทำให้เกิดผลลัพธ์ในรูปแบบของการยกระดับสิทธิ์และการเข้าถึงระบบ ซึ่งรายงานได้มีการระบุถึงความเป็นไปได้ในขั้นตอนนี้เอาไว้ด้วย
- เพื่อหลบหลีกการตรวจจับ เครื่องมือโดยส่วนใหญ่ซึ่งผู้โจมตีจะมีการใช้งานได้ถูกดาวโหลดเข้ามายัง ANU network ก่อนจะนำมาคอมไพล์และใช้งานในระบบภายหลังเพื่อหลีกเลี่ยงการตรวจจับ
- ผู้โจมตีมีการดาวโหลดไฟล์สำหรับติดตั้ง Windows XP และ Kali Linux ผ่าน BitTorrent จากนั้นจึงใช้ความสามารถของระบบในการดักจับข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตน และเช่นเดียวกัน มีความเป็นไปได้สูงที่เราจะสามารถตรวจจับการกระทำในลักษณะนี้ผ่านทางการระบุพฤติกรรมการใช้งานเครือข่ายที่ผิดปกติ
- ผู้โจมตีมีการใช้เครื่องมือในรูปแบบของภาษาสคริปต์หลายอย่างเพื่อสร้าง Tunnel สำหรับการโอนถ่ายข้อมูลออกและติดต่อกับเซิร์ฟเวอร์ออกคำสั่งและควบคุม
- ผู้โจมตีมีการตั้งค่าให้ระบบทำการลบหลักฐานและบันทึกการใช้งานออกไปในช่วงเวลาที่กำหนดเพื่อหลีกเลี่ยงการตรวจจับ ดังนั้นในกรณีเพื่อที่จะรักษาบันทึกการใช้งานเอาไว้ การส่งบันทึกการทำงานของระบบไปจัดเก็บไว้ในระบบอื่นแม้จะไม่มีการนำมาวิเคราะห์หรือตรวจหาการโจมตีก็ยังคงเป็นข้อปฏิบัติที่ควรดำเนินการ
Read other posts