แกะรอย PsExec: คู่มือ Blue Team ในการล่าภัยคุกคามไซเบอร์

แกะรอย PsExec: คู่มือ Blue Team ในการล่าภัยคุกคามไซเบอร์

ในโลกไซเบอร์ที่ภัยคุกคามมีวิวัฒนาการไม่หยุดยั้ง เครื่องมือบางอย่างที่ดูเหมือนไร้เดียงสา กลับกลายเป็นอาวุธร้ายในมือของผู้ไม่หวังดีได้ PsExec คือหนึ่งในเครื่องมือเหล่านั้น

มันเป็นโปรแกรมที่ถูกออกแบบมาให้ผู้ดูแลระบบใช้จัดการคอมพิวเตอร์ระยะไกลอย่างมีประสิทธิภาพ แต่ในอีกมุมหนึ่ง มันก็เป็นเครื่องมือยอดนิยมที่แฮกเกอร์ใช้เพื่อเคลื่อนที่ภายในเครือข่าย หรือที่เรียกว่า Lateral Movement

สำหรับทีม Blue Team หรือทีมป้องกันภัยไซเบอร์ การทำความเข้าใจและหาวิธีตรวจจับการใช้งาน PsExec จึงเป็นเรื่องสำคัญอย่างยิ่ง

PsExec ทำงานอย่างไร

PsExec เป็นเครื่องมือของ Sysinternals Suite ที่ช่วยให้รันโปรแกรมบนคอมพิวเตอร์เครื่องอื่นในเครือข่ายได้ โดยไม่ต้องเข้าไปล็อกอินที่เครื่องนั้นโดยตรง

หลักการทำงานของมันคือ การคัดลอกไฟล์เซอร์วิสชั่วคราวชื่อ PsExecSvc.exe ไปยังเครื่องเป้าหมาย จากนั้นก็สั่งให้เครื่องเป้าหมายติดตั้งและรันเซอร์วิสนี้

เมื่อเซอร์วิสเริ่มทำงาน มันจะรันคำสั่งหรือโปรแกรมที่เราต้องการให้ทำงาน และเมื่อทำงานเสร็จ PsExecSvc ก็จะถูกลบออกไปอย่างรวดเร็ว ทำให้การติดตามร่องรอยเป็นไปได้ยากหากไม่มีการเก็บล็อกอย่างละเอียด

สัญญาณอันตราย: มองหาอะไรใน Log

การตรวจจับ PsExec ไม่ใช่เรื่องง่าย แต่ก็ไม่ใช่เรื่องที่เป็นไปไม่ได้ หัวใจสำคัญคือการพึ่งพาข้อมูลจาก Event Logs ของระบบปฏิบัติการ โดยเฉพาะ Windows Event Logs

สิ่งที่ต้องจับตาเป็นพิเศษคือ Security Event ID 4688 หรือเหตุการณ์ Process Creation (การสร้างโปรเซส) ซึ่งจะบันทึกว่าโปรแกรมอะไรถูกรันและโดยใคร

มองหาโปรเซสชื่อ PsExec.exe หรือ PsExecSvc.exe ที่กำลังทำงานอยู่ หากเจอ ถือเป็นสัญญาณเตือนภัยที่ชัดเจน

นอกจากนี้ ให้สังเกตโปรเซสลูก (Child Process) ที่ถูกรันโดย PsExecSvc.exe บ่อยครั้งจะเป็น cmd.exe หรือ powershell.exe ซึ่งเป็นคำสั่งมาตรฐานที่แฮกเกอร์ใช้เพื่อควบคุมระบบ

อีกหนึ่งจุดสังเกตคือ การใช้คำสั่ง sc.exe เพื่อจัดการเซอร์วิส ซึ่งอาจถูกใช้ในการสร้างหรือลบเซอร์วิสชั่วคราวที่ PsExec สร้างขึ้นมาก็ได้

เทคนิคการล่าหา PsExec ในระบบ

การล่าหา PsExec อย่างมีประสิทธิภาพต้องอาศัยระบบรวบรวมและวิเคราะห์ล็อกที่ดี เช่น SIEM (Security Information and Event Management) หรือแพลตฟอร์มอย่าง Elastic Stack

ตั้งค่าการแจ้งเตือน (Alert) ทันทีเมื่อมีการตรวจพบโปรเซส PsExec.exe หรือ PsExecSvc.exe โดยเฉพาะอย่างยิ่งหากมันถูกรันจากตำแหน่งที่ไม่ใช่มาตรฐาน หรือโดยผู้ใช้ที่ไม่น่าจะใช้เครื่องมือนี้

ตรวจสอบรูปแบบการรันโปรเซสที่ผิดปกติ เช่น PsExecSvc.exe รัน cmd.exe หรือ powershell.exe ในเวลาเดียวกันหรือต่อเนื่องกัน

การตรวจสอบไฟล์ในระบบเป็นระยะก็ช่วยได้ หากพบไฟล์ PsExecSvc.exe ในโฟลเดอร์ที่ไม่ใช่ C:\Windows\ หรือในตำแหน่งที่คาดไม่ถึง อาจเป็นไปได้ว่ามีการใช้งาน PsExec เกิดขึ้น

การเข้าใจถึงพฤติกรรมการทำงานของ PsExec จะช่วยให้ทีม Blue Team สามารถสร้างกฎการตรวจจับที่แม่นยำ และตอบสนองต่อภัยคุกคามที่อาจมาจากการใช้เครื่องมือนี้ได้ทันท่วงที การป้องกันที่ดีที่สุดคือการรู้เท่าทันและเตรียมพร้อมอยู่เสมอ