สรุปสาระสำคัญจากบทความ Human-operated ransomware attacks: A preventable disaster เขียนโดย Microsoft Threat Protection Intelligence Team ใครสนใจสามารถอ่านเพิ่มเติมได้จากบทความฉบับเต็ม (https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/)

พฤติกรรมการโจมตีของมัลแวร์เรียกค่าไถ่แบบใช้คนสั่งการ (human-operated ransomware) นั้นจะต่างจากมัลแวร์เรียกค่าไถ่แบบแพร่กระจายอัตโนมัติ (auto-spreading ransomware) โดยรูปแบบจะใกล้เคียงกับการโจมตีประเภท targeted attack หรือ nation-state actors ซึ่งผู้โจมตีจะเข้ามารวบรวมข้อมูลของระบบก่อน จากนั้นค่อยขยายไปยังเครื่องอื่นๆ ในเครือข่าย สร้างช่องทางเชื่อมต่อทิ้งไว้ แล้วสุดท้ายค่อยสั่งติดตั้งมัลแวร์เรียกค่าไถ่ ทั้งนี้นอกจากผู้โจมตีจะเจาะระบบเข้ามาเพื่อแพร่กระจายมัลแวร์แล้วอาจมีการโจมตีอย่างอื่นเพิ่มเติมด้วย เช่น ขโมย credentials หรือขโมย sensitive data

กรณีศึกษามัลแวร์เรียกค่าไถ่ที่แพร่กระจายโดยใช้คนสั่งการ

ทาง Microsoft ได้ยกตัวอย่างมัลแวร์เรียกค่าไถ่ 3 สายพันธุ์ที่มีรูปแบบการโจมตีที่น่าสนใจ โดยสามารถสรุปประเด็นสำคัญได้ดังนี้

PARINACOTA

  • หาเหยื่อโดยใช้วิธีสแกนหาเครื่องเซิร์ฟเวอร์ที่เปิดให้เชื่อมต่อ remote desktop ได้จากอินเทอร์เน็ต (ใช้เครื่องมือ masscan) จากนั้นจะ brute force รหัสผ่านของชื่อบัญชีที่ที่นิยมใช้กันทั่วไป เช่น admin, administrator, guest, หรือ test (ใช้เครื่องมือ NLbrute หรือ Forcerx)
  • หลังจากที่ล็อกอินได้สำเร็จจะปิด security controls (เช่น แอนติไวรัส) แล้วเจาะไปยังเครื่องอื่นๆ ในเครือข่ายต่อ
  • ถัดมาจะดาวน์โหลดไฟล์ zip ที่ข้างในมีเครื่องมือสำหรับใช้โจมตีในขั้นตอนถัดไป เช่น ขโมย credentials (ใช้เครื่องมือ Mimikatz หรือ ProcDump), backdoor, coin miner, และ spammer โดยในขั้นตอนการรันเครื่องมือเหล่านี้จะมีการเคลียร์ event log ร่วมด้วย (ใช้คำสั่ง wevutil)
  • บางกรณีอาจมีการขโมย credential ของบริการธนาคารออนไลน์โดยใช้วิธีหา cookie ที่มี string ตามที่กำหนด (ใช้เครื่องมือ findstr)
  • ใช้หลายวิธีในการ persistent เช่น เขียนไฟล์มัลแวร์ทับไฟล์ “Sticky Keys” ของ Windows, แก้ไข registry เพื่อเปิดให้เชื่อมต่อได้ผ่าน remote desktop, ติดตั้ง backdoor, รวมถึงสร้างบัญชีใหม่ที่สามารถล็อกอินได้ด้วยสิทธิ์ของผู้ดูแลระบบ
  • ติดตั้ง coin miner (ส่วนใหญ่ขุด Monero) และใช้เครื่องคอมพิวเตอร์ขององค์กรในการส่งอีเมลสแปม (ใช้เครื่องมือ massmail)
  • ผู้โจมตีจะยังอยู่ในระบบเป็นเวลาหลายสัปดาห์จนกว่าจะลงมือสั่งติดตั้งมัลแวร์เรียกค่าไถ่สายพันธุ์ Wadhrama โดยก่อนติดตั้งจะมีการสั่งปิด service ต่างๆ รวมถึงลบข้อมูล backup (เช่น Shadow Copy) ทิ้งด้วย หากมัลแวร์เรียกค่าไถ่ที่ติดตั้งลงไปนั้นถูกแอนติไวรัสจับได้ซะก่อนก็จะมีการแก้ไขแล้วส่งเข้าไปใหม่อีกหลายๆ ครั้งจนกว่าจะสามารถติดตั้งได้สำเร็จ
  • เนื่องจากก่อนหน้าที่จะสั่งติดตั้งมัลแวร์เรียกค่าไถ่นั้นผู้โจมตีได้สร้างช่องทางสำหรับเข้าถึงระบบไว้ด้วย ทำให้ถึงแม้องค์กรจะสามารถกู้คืนระบบกลับมาได้แต่ผู้โจมตีก็ยังสามารถเชื่อมต่อเข้ามาติดตั้งมัลแวร์เรียกค่าไถ่ได้อีกรอบอยู่ดี (จนกว่าจะมีการกำจัดช่องทางเหล่านี้ออกไป)

Doppelpaymer

  • โจมตีโดยการหลอกให้ติดตั้งมัลแวร์ Dridex หรือ Emotet ผ่าน fake update หรือ email attachment จากนั้นจะใช้มัลแวร์เหล่านี้เป็นช่องทางในการควบคุมเครื่อง
  • ในบางกรณีก็แพร่กระจายด้วยการ brute force ผ่าน remote desktop แล้วใช้ PowerShell Empire เพื่อเปิดช่องทางการเชื่อมต่อไปยังเครื่อง C2
  • หลังจากที่สามารถเข้าถึงระบบได้จะพยายามรวบรวม credential ของผู้ดูแลระบบเพื่อให้ได้สิทธิ์ในระดับที่สูงขึ้น (ใช้เครื่องมือเช่น Mimikatz, LaZagne, ProcDump, หรือ LSASecretView)
  • หลังจากได้บัญชีของ AD admin แล้วก็จะสร้างบัญชีใหม่ขึ้นมา ให้สิทธิ์เป็นผู้ดูแลระบบ จากนั้นตั้งค่าให้บัญชีนี้สามารถล็อกอินได้ผ่าน remote desktop
  • รวบรวมข้อมูลของเครื่องอื่นๆ ในเครือข่าย จากนั้นค่อยใช้ PsExec เพื่อสั่งติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่องอื่นๆ
  • ก่อนติดตั้งมัลแวร์เรียกค่าไถ่จะมีการสั่งปิดแอนติไวรัส ปิดระบบ backup และปิดระบบฐานข้อมูลด้วย
  • มีการใช้ Alternate Data Stream เพื่อซ่อนและสั่งรันไฟล์ที่เกี่ยวข้องกับการโจมตี
  • ไฟล์ binary ของมัลแวร์เรียกค่าไถ่ถูก sign ด้วย certificate ที่ถูกขโมยมา ทำให้สามารถรันได้โดยแอนติไวรัสไม่พบความผิดปกติ
  • เครื่องคอมพิวเตอร์ที่ไม่ได้ถูกติดตั้งมัลแวร์เรียกค่าไถ่จะถูกฝัง backdoor ไว้ใช้สำหรับเชื่อมต่อเข้ามาติดตั้งมัลแวร์ใหม่อีกครั้งในภายหลัง ซึ่งหากกระบวนการ incident recovery ไม่ได้ครอบคลุมถึงเครื่องคอมพิวเตอร์ที่ไม่ได้ติดมัลแวร์เรียกค่าไถ่ก็อาจมีความเสี่ยงที่จะถูกโจมตีซ้ำได้อีก

Ryuk

  • ในขั้นแรกจะหลอกให้ติดตั้งมัลแวร์ Trickbot หรือ Emotet ผ่านไฟล์แนบในอีเมล จากนั้นจะใช้ Cobalt Strike หรือ PowerShell Empire เพื่อโจมตีต่อ
  • หลังจากที่เข้ามาในเครือข่ายได้แล้ว จะค้นหาเครื่องอื่นๆ ที่เชื่อมต่ออยู่ (ใช้คำสั่ง net group) จากนั้นใช้ WMI หรือ PowerShell เพื่อติดตั้ง backdoor เปิดช่องทางเชื่อมต่อกับ C2
  • ใช้ remote file copy เพื่อดาวน์โหลดเครื่องมืออื่นๆ ที่จะใช้ในการโจมตีขั้นต่อไป
  • รวบรวมข้อมูล credential โดยใช้เครื่องมือ LaZagne หรือ extract ข้อมูลจาก Registry hive นอกจากนี้อาจใช้วิธีดูข้อมูลจาก scheduled task หรือดูข้อมูลการตั้งค่า service ประเภท system management software ซึ่ง service เหล่านี้มักจะถูกรันด้วยบัญชีที่มีสิทธิ์ระดับสูง
  • หลังจากได้ข้อมูล credential แล้ว จะรวบรวบข้อมูลที่เกี่ยวข้องกับ Active Directory โดยใช้เครื่องมือเช่น BloodHound เพื่อเชื่อมต่อไปยัง domain controller จุดประสงค์ของการทำเช่นนี้เพื่อให้มีข้อมูลสำหรับนำมาใช้โจมตีต่อในภายหลัง เนื่องจากถึงแม้จะมีการแก้ไขปัญหาจากมัลแวร์เรียกค่าไถ่ไปแล้วแต่ส่วนมากรายละเอียดการตั้งค่า AD ก็มักจะไม่เปลี่ยน
  • หลังจากที่ได้ credential ของ AD admin จะเชื่อมต่อไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายผ่านช่องทาง Windows Remote Management เพื่อขโมยข้อมูลสำคัญ จากนั้นค่อยสั่งดำเนินการขั้นตอนสุดท้ายคือการติดตั้งมัลแวร์เรียกค่าไถ่ Ryuk
  • กว่าจะสั่งติดตั้งมัลแวร์เรียกค่าไถ่ ผู้โจมตีจะเข้าไปอยู่ในระบบเป็นเวลาหลายสัปดาห์หรืออาจนานเป็นเดือน จุดประสงค์เพื่อรวบรวมข้อมูลและหาช่องทางที่จะกลับเข้ามาโจมตีซ้ำอีกในโอกาสถัดไป

ข้อสังเกตรูปแบบการโจมตีและข้อแนะนำในการป้องกัน

การโจมตีเพื่อติดตั้งมัลแวร์เรียกค่าไถ่ในกรณีที่ใช้คนเป็นผู้สั่งการมักจะมีลักษณะคล้ายๆ กันคือผู้โจมตีจะเข้ามาอยู่ในระบบเพื่อรวบรวมข้อมูลรวมถึงสร้างช่องทางเพื่อให้สามารถกลับเข้ามาโจมตีซ้ำได้อีก ดังนั้นถึงแม้จะมีการจ่ายเงินค่าไถ่ (ซึ่งก็อาจไม่สามารถรับประกันว่าจะได้ข้อมูลกลับคืนจริงๆ) หรือการกู้คืนระบบจากข้อมูล backup หากไม่มีกระบวนการตรวจสอบ แก้ไขช่องโหว่ และกำจัดช่องทางที่ผู้โจมตีได้สร้างไว้ ก็มีสิทธิ์ที่จะติดมัลแวร์ซ้ำได้อีกเรื่อยๆ (ยังไม่รวมปัญหาข้อมูลหลุดซึ่งอาจส่งผลกระทบได้ไม่น้อยไปกว่าปัญหามัลแวร์เรียกค่าไถ่)

ข้อสังเกตรูปแบบการโจมตี

  • ช่องทางการโจมตีส่วนใหญ่มักอาศัยข้อผิดพลาดของการตั้งค่าระบบ (เช่น เปิดให้เชื่อมต่อ RDP ได้ผ่านอินเทอร์เน็ต หรือตั้งรหัสผ่านผู้ดูแลระบบที่สามารถคาดเดาได้ง่าย) โจมตีช่องโหว่ที่มีแพตช์แล้วแต่ยังไม่ได้ติดตั้ง หรือมีเครื่องมือด้านความมั่นคงปลอดภัยอยู่แล้วแต่ไม่ได้ถูกเปิดใช้งาน
  • ช่องทางแรกสุดของการโจมตีมักมาจากมัลแวร์ที่สามารถรวบรวม credential หรือข้อมูลของระบบเครือข่ายได้ ซึ่งข้อมูลเหล่านี้จะถูกใช้ขยายขอบเขตต่อไปยังเครื่องอื่นในเครือข่ายเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ในภายหลัง
  • หลังจากที่โจมตีสำเร็จแล้ว หากไม่ได้มีกระบวนการแก้ไขปัญหาที่ดีพอก็มีโอกาสที่จะถูกโจมตีซ้ำอีกได้เรื่อยๆ การโฟกัสแค่เรื่องของการกู้คืนระบบจากมัลแวร์เรียกค่าไถ่เพียงอย่างเดียวนั้นไม่เพียงพอ จำเป็นต้องค้นหาสาเหตุและกำจัดช่องทางการเชื่อมต่อที่ถูกสร้างไว้ด้วย

ข้อแนะนำในการป้องกัน

  • ระบบใดๆ ที่เปิดให้สามารถเข้าถึงได้จากอินเทอร์เน็ตจำเป็นต้องได้รับการป้องกันและเฝ้าระวังการโจมตี
  • ควรเปิดใช้ Multi-Factor Authentication หรือ Network-Level Authentication เพื่อลดผลกระทบจากกรณีรหัสผ่านหลุด
  • ใช้หลัก least-privilege เพื่อป้องกันไม่ให้มีบัญชีที่มีสิทธิ์ระดับสูงโดยไม่จำเป็น
  • เฝ้าระวังการโจมตีแบบ brute force (Windows Event ID 4625)
  • เฝ้าระวังการเคลียร์ Windows Event Log (Windows Event ID 1102) หรือการรัน PowerShell
  • เฝ้าระวังการล็อกอินโดยใช้บัญชีของผู้ดูแลระบบ (Window Event ID 4624) โดยเฉพาะอย่างยิ่งบัญชีของ domain admin ซึ่งบัญชีดังกล่าวไม่ควรถูกนำมาล็อกอินบนเครื่อง workstation
  • ใน Windows 10 หรือ Windows Server 2018 เป็นต้นไปสามารถตั้งค่าให้ Windows Defender เปิดใช้ ExploitGuard ได้ โดยจะมีการแจ้งเตือนการรันโปรแกรมหรือคำสั่งที่น่าสงสัย เช่น PsExec, WMI, หรือ Office macro