Posted inNote

เมื่อผู้ไม่หวังดีกลายเป็นผู้ใช้ระบบ: เจาะลึกการโจมตีแบบ Living Off The Land

Posted inNote

เมื่อผู้ไม่หวังดีกลายเป็นผู้ใช้ระบบ: เจาะลึกการโจมตีแบบ Living Off The Land

การโจมตีแบบ “Living Off The Land” คืออะไร?

ลองจินตนาการผู้บุกรุกใช้เครื่องมือในบ้านคุณเอง เพื่อเข้าถึงส่วนต่างๆ อย่างแนบเนียน

นี่คือแนวคิดของ Living Off The Land (LotL) ผู้โจมตีใช้เครื่องมือ “ถูกกฎหมาย” ที่มีอยู่แล้วในระบบของเหยื่อ

เป้าหมายคือการซ่อนตัว ไม่ให้ถูกตรวจจับ

เพราะกิจกรรมเหล่านั้นดูเหมือนการทำงานปกติ ทำให้การแยกแยะระหว่างการทำงานที่ถูกต้องกับการโจมตีเป็นเรื่องท้าทาย

ทำไมการโจมตี LotL ถึงอันตรายและจับยาก?

ความอันตราย LotL คือการกลมกลืน ผู้บุกรุกไม่ดาวน์โหลดมัลแวร์แปลกปลอม

แต่ใช้เครื่องมือมาตรฐานใน Windows เช่น PowerShell, WMIC, BITSAdmin เป็นอาวุธ

การกระทำเหล่านี้จึงเล็ดลอดผ่านมาตรการความปลอดภัยแบบดั้งเดิมที่เน้นตรวจจับไฟล์อันตราย

LotL ทำให้ผู้บุกรุกเคลื่อนที่ภายใน แย่งชิงสิทธิ์ เก็บข้อมูล สร้างประตูหลัง โดยไม่ทิ้งร่องรอยชัดเจน

เครื่องมือ “ถูกกฎหมาย” ที่ผู้ไม่หวังดีใช้

ผู้โจมตีมักพลิกแพลงเครื่องมือบริหารจัดการระบบเพื่อวัตถุประสงค์ร้าย นี่คือตัวอย่างที่พบบ่อย

PowerShell

เครื่องมือทรงพลังสำหรับจัดการ Windows ผู้โจมตีใช้ PowerShell ดาวน์โหลด รันสคริปต์อันตราย เรียกใช้คำสั่ง หรือสร้างการเชื่อมต่อกลับ

กิจกรรมที่ดูเหมือนงานดูแลระบบ แต่ซ่อนเจตนาร้ายไว้

WMIC (Windows Management Instrumentation Command-line)

WMIC คือยูทิลิตีบรรทัดคำสั่งสำหรับจัดการ Windows ผู้โจมตีใช้รวบรวมข้อมูลระบบ ค้นหาช่องโหว่ หรือเรียกใช้โปรเซสจากระยะไกล

BITSAdmin

BITSAdmin ใช้ดาวน์โหลด/อัปโหลดไฟล์ในพื้นหลัง ผู้โจมตีใช้ BITSAdmin ดาวน์โหลดมัลแวร์หรือไฟล์อันตรายสู่ระบบ โดยไม่ถูกตรวจจับ

MSHTA

MSHTA ใช้เรียกไฟล์ HTML Application (HTA) ที่มีโค้ดสคริปต์ ผู้โจมตีใช้ MSHTA รันโค้ดอันตรายผ่านไฟล์ HTA โดยตรง

RunDLL32

RunDLL32 ใช้เรียกฟังก์ชันจากไฟล์ DLL ผู้โจมตีใช้ RunDLL32 รันโค้ดอันตรายที่ซ่อนใน DLL ทำให้การโจมตีดูเหมือนกิจกรรมปกติ

ป้องกันตัวเองจากการโจมตี LotL ได้อย่างไร?

การป้องกัน LotL ต้องเน้นการตรวจจับพฤติกรรมที่ผิดปกติภายในระบบ มากกว่าวิธีแบบเก่า

วิเคราะห์พฤติกรรมที่ผิดปกติ

แทนที่จะมองหาเพียง มัลแวร์ ให้มุ่งเน้นการตรวจจับพฤติกรรม “ไม่ปกติ” หาก PowerShell ดาวน์โหลดไฟล์ผิดเวลา หรือ WMIC ถูกใช้คำสั่งแปลกๆ นี่คือสัญญาณเตือน

ใช้เครื่องมือ EDR และการบันทึกข้อมูล

Endpoint Detection and Response (EDR) สำคัญในการเฝ้าระวังกิจกรรมบน Endpoints

รวมถึงการเก็บ Log การทำงานของระบบ โดยเฉพาะ Log ของ PowerShell และคำสั่ง จะช่วยตรวจพบความผิดปกติ

จำกัดสิทธิ์การเข้าถึง

ใช้หลักการ Principle of Least Privilege (PoLP) คือให้สิทธิ์เท่าที่จำเป็น เพื่อลดความเสียหายหากถูกโจมตี

รวมถึงแนวคิด Zero Trust ที่ไม่ไว้ใจกิจกรรมใดๆ จนกว่าจะได้รับการยืนยัน

อัปเดตระบบและให้ความรู้ผู้ใช้

หมั่น อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ให้เป็นปัจจุบันเสมอ เพื่ออุดช่องโหว่

นอกจากนี้ การ ให้ความรู้แก่ผู้ใช้งาน ให้เข้าใจภัยคุกคามและการปฏิบัติตัวอย่างปลอดภัย ก็เป็นสิ่งสำคัญ

การทำความเข้าใจและเตรียมรับมือกับการโจมตีแบบ Living Off The Land คือก้าวสำคัญในการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ยุคใหม่ เพราะศัตรูที่เก่งกาจที่สุด มักคือศัตรูที่คุณมองไม่เห็น

Tags: