การใช้ประโยชน์จากช่องโหว่ ไม่ใช่ฟิชชิ่ง ถือเป็นเวกเตอร์การโจมตีทางไซเบอร์อันดับต้นๆ สำหรับการประนีประนอมเบื้องต้น PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

การใช้ประโยชน์จากช่องโหว่ ไม่ใช่ฟิชชิง คือเวกเตอร์การโจมตีทางไซเบอร์อันดับต้น ๆ สำหรับการประนีประนอมเบื้องต้น

ประทับเวลา: 8 กันยายน 2022 11:20 น.

การละเมิดที่เกี่ยวข้องกับฟิชชิ่งและการประนีประนอมข้อมูลประจำตัวได้รับความสนใจอย่างมากในช่วงไม่กี่ปีที่ผ่านมา เนื่องจากผู้คุกคามใช้กลยุทธ์ในการโจมตีทั้งแบบกำหนดเป้าหมายและแบบฉวยโอกาสบ่อยเพียงใด แต่นั่นไม่ได้หมายความว่าองค์กรธุรกิจจะสามารถลดการมุ่งเน้นไปที่การแก้ไขช่องโหว่ได้เพียงเล็กน้อย

รายงานจากแคสเปอร์สกี้ในสัปดาห์นี้ระบุว่ามีการบุกรุกครั้งแรกในปีที่แล้วซึ่งเป็นผลมาจากการใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตมากกว่าการละเมิดที่เกี่ยวข้องกับอีเมลที่เป็นอันตรายและบัญชีที่ถูกบุกรุก รวม. และข้อมูลที่บริษัทรวบรวมจนถึงไตรมาสที่สองของปี 2022 บ่งชี้ว่าแนวโน้มเดียวกันนี้อาจเกิดขึ้นในปีนี้เช่นกัน

การวิเคราะห์ของ Kaspersky ในปี 2021 ข้อมูลการตอบสนองต่อเหตุการณ์แสดงให้เห็นว่าการละเมิดที่เกี่ยวข้องกับการหาประโยชน์จากช่องโหว่เพิ่มขึ้นจาก 31.5% ของเหตุการณ์ทั้งหมดในปี 2020 เป็น 53.6% ในปี 2021 ในช่วงเวลาเดียวกัน การโจมตีที่เกี่ยวข้องกับการใช้บัญชีที่ถูกบุกรุกเพื่อเข้าถึงครั้งแรกลดลงจาก 31.6% ในปี 2020 เป็น 17.9 % ปีที่แล้ว. การบุกรุกครั้งแรกที่เกิดจากอีเมลฟิชชิ่งลดลงจาก 23.7% เป็น 14.3% ในช่วงเวลาเดียวกัน

ข้อบกพร่องของเซิร์ฟเวอร์ Exchange กระตุ้นให้เกิดความบ้าคลั่งในการใช้ประโยชน์

Kaspersky ระบุว่ากิจกรรมการหาประโยชน์ที่เพิ่มขึ้นอย่างรวดเร็วในปีที่แล้วน่าจะเชื่อมโยงกับช่องโหว่ Exchange Server ที่สำคัญหลายรายการที่ Microsoft เปิดเผย รวมถึงชุดของศูนย์วันสี่ชุดในเดือนมีนาคม 2021 ที่รู้จักกันในชื่อ ProxyLogon ข้อบกพร่อง (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) เมื่อเชื่อมต่อเข้าด้วยกันจะอนุญาตให้ผู้โจมตีได้รับการควบคุมระยะไกลอย่างสมบูรณ์ผ่านเซิร์ฟเวอร์ Exchange ภายในองค์กร 

ผู้โจมตีซึ่งรวมถึงกลุ่มอาชญากรและกลุ่มที่ได้รับการสนับสนุนจากรัฐจากประเทศจีน ใช้ประโยชน์จากระบบ Exchange Server ที่มีช่องโหว่นับหมื่นอย่างรวดเร็ว และทิ้ง Web Shell ก่อนที่ Microsoft จะออกแพตช์สำหรับข้อบกพร่องดังกล่าว ช่องโหว่ดังกล่าวทำให้เกิดความกังวลอย่างมากเนื่องจากการแพร่หลายและความรุนแรง พวกเขายังแจ้งให้กระทรวงยุติธรรมของสหรัฐอเมริกาอนุญาตให้ FBI ดำเนินการตามขั้นตอนที่ไม่เคยมีมาก่อน การลบ ProxyLogon Web เชลล์ในเชิงรุก จากเซิร์ฟเวอร์ที่เป็นขององค์กรหลายร้อยแห่ง — ในกรณีส่วนใหญ่ โดยไม่มีการแจ้งเตือนใดๆ

นอกจากนี้ การขับเคลื่อนกิจกรรมการหาประโยชน์ในปี 2021 ยังเป็นช่องโหว่อีกสามรายการของ Exchange Server เรียกรวมกันว่า ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) ที่ผู้โจมตีใช้อย่างกว้างขวางเพื่อทิ้งแรนซัมแวร์และในการโจมตีทางอีเมลธุรกิจ (BEC)

มากกว่าหนึ่งปีต่อมา ช่องโหว่ ProxyLogon และ ProxyShell ยังคงเป็นเป้าหมายของกิจกรรมการหาประโยชน์จำนวนมาก Konstantin Sapronov หัวหน้าทีมรับมือเหตุฉุกเฉินทั่วโลกของ Kaspersky กล่าว หนึ่งในข้อบกพร่องที่ร้ายแรงที่สุดเหล่านี้ (CVE-2021-26855) ก็ตกเป็นเป้าหมายมากที่สุดเช่นกัน Kaspersky สังเกตเห็นช่องโหว่ซึ่งเป็นส่วนหนึ่งของชุด ProxyLogon ซึ่งถูกนำไปใช้ประโยชน์ใน 22.7% ของเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการหาประโยชน์จากช่องโหว่ที่ได้รับการตอบสนองในปี 2021 และข้อบกพร่องดังกล่าวยังคงเป็นที่ชื่นชอบในหมู่ผู้โจมตีในปีนี้เช่นกัน ตามข้อมูลของ Sapronov

แนวโน้มการแสวงหาผลประโยชน์แบบเดียวกันมีแนวโน้มที่จะเกิดขึ้นในปี 2022

แม้ว่าจะมีช่องโหว่ร้ายแรงหลายประการเกิดขึ้นในปีนี้ — รวมถึง ช่องโหว่ Apache Log4j ที่แพร่หลาย (CVE-2021-44228) — ช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2021 ยังคงแพร่หลายอย่างมากในปี 2022 เช่นกัน Sapronov กล่าว แม้จะนอกเหนือไปจากจุดบกพร่องของเซิร์ฟเวอร์ Exchange ก็ตาม ตัวอย่างเช่น Kaspersky ระบุข้อบกพร่องในโปรแกรมเบราว์เซอร์ MSHTML ของ Microsoft (CVE-2021-40444, แพตช์เมื่อเดือนกันยายนปีที่แล้ว) มากที่สุด ช่องโหว่ที่ถูกโจมตีอย่างหนัก ในไตรมาสที่สองของปี 2022

“ช่องโหว่ในซอฟต์แวร์ยอดนิยม เช่น MS Exchange Server และไลบรารี Log4j ส่งผลให้เกิดการโจมตีจำนวนมาก” Sapronov กล่าว “คำแนะนำของเราสำหรับลูกค้าองค์กรคือการใส่ใจกับปัญหาการจัดการแพตช์อย่างใกล้ชิด”

ถึงเวลาจัดลำดับความสำคัญการแพตช์

คนอื่นๆ ตั้งข้อสังเกตว่ากิจกรรมการหาประโยชน์จากช่องโหว่มีเพิ่มขึ้นเช่นเดียวกัน ในเดือนเมษายน นักวิจัยจากทีมวิจัยภัยคุกคามยูนิต 42 ของพาโล อัลโต เน็ตเวิร์กส์ ตั้งข้อสังเกตว่า 31% หรือ เกือบหนึ่งในสามเหตุการณ์พวกเขาได้วิเคราะห์จนถึงจุดนั้นในปี 2022 ที่เกี่ยวข้องกับการหาประโยชน์จากช่องโหว่ ผู้ก่อภัยคุกคามมากกว่าครึ่ง (55%) กำหนดเป้าหมายไปที่ ProxyShell 

นักวิจัยของพาโลอัลโตยังพบว่าผู้แสดงภัยคุกคามมักจะสแกนหาระบบที่มีข้อบกพร่องที่เพิ่งเปิดเผยเพียงไม่กี่นาทีหลังจากประกาศ CVE ในกรณีหนึ่ง พวกเขาสังเกตเห็นข้อบกพร่องในการบายพาสการรับรองความถูกต้องในอุปกรณ์เครือข่าย F5 (CVE-2022-1388) ที่ถูกกำหนดเป้าหมาย 2,552 ครั้งใน 10 ชั่วโมงแรกหลังจากการเปิดเผยช่องโหว่

กิจกรรมหลังการแสวงหาผลประโยชน์นั้นยากต่อการสังเกต

การวิเคราะห์ข้อมูลการตอบสนองต่อเหตุการณ์ของแคสเปอร์สกี้ แสดงให้เห็นว่าในกรณีเกือบ 63% ผู้โจมตีพยายามจะไม่มีใครสังเกตเห็นในเครือข่ายเป็นเวลานานกว่าหนึ่งเดือนหลังจากเข้ามาครั้งแรก ในหลายกรณี นี่เป็นเพราะผู้โจมตีใช้เครื่องมือและเฟรมเวิร์กที่ถูกต้อง เช่น PowerShell, Mimikatz และ PsExec เพื่อรวบรวมข้อมูล เพิ่มระดับสิทธิ์ และดำเนินการคำสั่ง 

เมื่อมีคนสังเกตเห็นการละเมิดอย่างรวดเร็ว โดยทั่วไปแล้วเป็นเพราะผู้โจมตีได้สร้างความเสียหายที่ชัดเจน เช่น ในระหว่างการโจมตีด้วยแรนซัมแวร์ “การตรวจจับการโจมตีของแรนซัมแวร์นั้นเป็นเรื่องง่ายเมื่อข้อมูลของคุณถูกเข้ารหัส เนื่องจากบริการไม่พร้อมใช้งาน และคุณมีข้อความเรียกค่าไถ่บนหน้าจอของคุณ” Sapronov กล่าว

แต่เมื่อเป้าหมายคือข้อมูลของบริษัท ผู้โจมตีต้องใช้เวลามากขึ้นในการท่องไปรอบๆ เครือข่ายของเหยื่อเพื่อรวบรวมข้อมูลที่จำเป็น ในกรณีเช่นนี้ ผู้โจมตีจะกระทำการอย่างลับๆ และระมัดระวังมากขึ้น ซึ่งทำให้การตรวจจับการโจมตีประเภทนี้ทำได้ยากขึ้น “ในการตรวจจับกรณีดังกล่าว เราขอแนะนำให้ใช้เครื่องมือรักษาความปลอดภัยที่มีการตรวจวัดระยะไกลแบบการตรวจจับและการตอบสนอง (EDR) แบบขยาย และใช้กฎสำหรับการตรวจจับเครื่องมือที่แพร่หลายซึ่งใช้โดยฝ่ายตรงข้าม” เขากล่าว

Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber ​​กล่าวว่าประโยชน์ที่แท้จริงสำหรับองค์กรระดับองค์กรคือการที่ผู้โจมตีจะใช้โอกาสใดก็ตามที่ทำได้เพื่อเจาะเครือข่าย 

“ด้วยช่องโหว่ที่สามารถใช้ประโยชน์ได้หลากหลาย จึงไม่น่าแปลกใจที่จะเห็นการเพิ่มขึ้น” เขากล่าว เขาตั้งข้อสังเกตว่าตัวเลขจะสูงกว่าสำหรับช่องโหว่จากการโจมตีข้อมูลรับรองที่ออกแบบโดยสังคมหรือไม่ 

“แต่สิ่งสำคัญที่สุดคือผู้คุกคามจะใช้ช่องโหว่ที่ได้ผล หากมีการใช้ประโยชน์จากโค้ดระยะไกลใหม่ในบริการ Windows บางอย่าง พวกเขาจะแห่กันไปที่มันและเจาะระบบให้ได้มากที่สุดก่อนที่แพตช์จะออกมาหรือกฎไฟร์วอลล์จะถูกปรับใช้” เขากล่าว

ความท้าทายที่แท้จริงคือช่องโหว่ระยะยาว: ช่องโหว่ที่เก่ากว่า เช่น ProxyLogon ซึ่งมีระบบที่มีช่องโหว่ที่พลาดหรือถูกละเลย Parkin กล่าว พร้อมเสริมว่าการแพตช์ต้องมีความสำคัญเป็นอันดับแรก

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด