เจาะลึก 7 ขั้นตอนการโจมตีของภัยคุกคามแบบ APTs

ATP

มารู้จัก APT

APT (Advance Persistent Threat) นั้นเริ่มถูกกล่าวถึงในปี 2006 โดยกองทัพอเมริกา โดยการนิยามแบบง่ายๆ ว่าเป็นภัยคุกคามที่เกิดจากการโจมตีแบบมีการกำหนดเป้าหมายที่ชัดเจน ซึ่งถึงแม้ว่าเทคนิคในการโจมตีของ APT นั้นจะคล้าย ๆ กับภัยคุกคามอื่น ๆ ในอดีตที่ใช้ช่องโหว่ของซอฟต์แวร์หรือเทคนิค social engineer ในการหลอกลวงเหยื่อที่อยู่ในองค์กรหรือมีสิทธิ์เข้าถึงข้อมูลขององค์กรเป้าหมาย

แต่ APT อาศัยการแฝงตัวไม่ให้เหยื่อรู้ตัวว่าโดนโจมตีหรือโดนยึดครองระบบ โดยผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล ซึ่ง APT นั้นอาจจะใช้เวลาในการแทรกซึมเป็นแรมเดือนแรมปีหรือหลาย ๆ ปีก็ตามที เปรียบไปก็เหมือนกับการที่หลาย ๆ ประเทศมีการส่งสายลับเข้าไปแทรกซึมอยู่ในประเทศฝ่ายตรงข้ามเพื่อคอยส่งข่าวคราวความเคลื่อนไหวของฝ่ายศัตรูกลับมานั่นเอง โดยเมื่อทางกองทัพอเมริกาทำการสังเกตุพฤติกรรมการโจมตีที่เกิดขึ้นนั้นก็พบว่ามีการเชื่อมโยงไปยังต้นทางในประเทศจีนนั่นเอง

ในปัจจุบัน APT นั้นไม่ได้ตั้งเป้าโจมตีเพียงแค่หน่วยงานทางทหารหรือหน่วยงานความมั่นคงปลอดภัยของประเทศอีกต่อไป แต่องค์กรธุรกิจขนาดใหญ่หลาย ๆ องค์กรก็เป็นเป้าหมายของกลุ่มผู้บุกรุกดังที่เป็นข่าวอยู่บ่อย ๆ

เมื่อเปรียบเทียบการโจมตีแบบดั้งเดิมและการโจมตีแบบ APTตามตารางที่ 1 จะเห็นได้ว่าวิธีการโจมตีของ APT นั้นไม่ได้แตกต่างจากเทคนิคเดิม ๆ ที่ผู้โจมตีเคยใช้อยู่ในปัจจุบัน แต่เป้าหมายของ APT นั้นเจาะจงชัดเจนและไม่สนใจว่าจะต้องใช้เวลามากน้อยแค่ไหนถึงจะโจมดีสำเร็จนั่นเอง ดังนั้นหากถามว่า APT มีอะไรใหม่นั้นก็คงเป็นเรื่องของเจตนานั่นเอง

ทำไมจึงต้องสนใจ APT?

จากแนวโน้มของ APT จะเห็นได้ว่าในปัจจุบันมีการเติบโตแบบก้าวกระโดด ทำให้เชื่อได้ว่าจริง ๆ แล้ว APT อาจจะเกิดขึ้นกับทุกองค์กรในโลก เพียงแต่ผู้ที่เป็นเป้าหมายนั้นอาจจะไม่เคยรับรู้มาก่อนว่าองค์กรของตัวเองเป็นเป้าหมายของผู้โจมตี ทำให้เชื่อได้ว่าตัวเลขที่เห็นจากผลการสำรวจนั้นเป็นเพียงส่วนน้อยเท่านั้นเองที่สามารถรับรู้ถึงภัยของ APT ที่เกิดขึ้นกับตัวเอง

วิธีการโจมตีของ APT?

การทราบวิธีการโจมดีจะทำให้เราสามารถที่จะเข้าใจว่าจะสามารถป้องกันตัวเองได้อย่างไร ดังนั้นขอแบ่งขั้นตอนในการโจมตีของ APT เป็น 7 ขั้นตอนดังนี้
ขั้นที่ 1: การลาดตระเวน จะเป็นการหาช่องทางที่จะโจมตีเป้าหมายโดยการลาดตระเวณดูรอบ ๆ เป้าหมายว่ามีช่องโหว่ตรงใด หรือบางครั้งก็อาจจะเป็นช่องโหว่ขององค์กรอื่นที่มีช่องทางเชื่อมต่อกับระบบเป้าหมายก็ได้ ซึ่งบ่อยครั้งที่พบว่าคนเป็นช่องโหว่ที่ถูก social engineer ได้ง่ายที่สุด

ขั้นที่ 2: เริ่มต้นโจมตีระบบเครือข่าย หลังจากค้นพบว่ามีช่องโหว่ก็จะเริ่มต้นโจมตีด้วยเทคนิคต่าง ๆ เพื่อบุกรุกไปยังเป้าหมายต่อไป

ขั้นที่ 3: สร้างประตูหลังบนระบบเครือข่าย เมื่อโจมตีสำเร็จก็จะทำการสร้างประตูหลังขึ้นเพื่อใช้ในการเชื่อมต่อในภายหลัง

ขั้นที่ 4: ขโมยบัญชีผู้ใช้ เมื่อบุกรุกได้สำเร็จแล้วก็จะหาทางขโมยบัญชีของผู้ใช้ในองค์กร

ขั้นที่ 5: ติดตั้งโปรแกรมเข้าไปในระบบ เมื่อได้สิทธิ์บนระบบแล้วก็จะพยายามติดตั้งโปรแกรมเพื่อให้การโจมตีง่ายมากขึ้น

ขั้นที่ 6: เพิ่มสิทธิ์ในระบบ เมื่อบุกรุกได้สำเร็จแล้วก็พยายามเพิ่มสิทธิ์จนได้สิทธิ์สูงสุดหรือแอดมินของระบบนั่นเอง

ขั้นที่ 7: ดำรงอยู่ในระบบโดยไม่ให้ถูกจับได้ สุดท้ายคือการฝังตัวอยู่โดยไม่ให้เหยื่อรู้ตัวว่าโดนโจมตีสำเร็จแล้ว

การจัดการกับ APT

ในการจัดการกับ APT นั้นก็ไม่ได้มีวิธีการแตกต่างจากเทคนิคที่เราใช้ในการจัดการกับการโจมตีที่ใช้อยู่ในปัจจุบันนั่นคือ
1. สร้างวัฒนธรรมในการตระหนักเรื่องความเสี่ยงขององค์กรเพื่อจะได้สามารถเลือกวิธีการป้องกันที่เหมาะสม
2. สร้างความปลอดภัยโดยอัตโนมัติ และสร้างการจัดการกับ incident อย่างชาญฉลาด ทำให้องค์กรสามารถจัดการกับภัยคุกคามอย่างรวดเร็ว
3. ปกป้องเน็ตเวิร์กและจุดที่เป็นเป้าหมายในการโจมตี โดยเฉพาะคนที่เป็นจุดอ่อนที่มักจะโดน social engineer อยู่บ่อย ๆ นั่นเอง

บทสรุป

ในมุมมองของผู้เขียนนั้น เห็นว่าการนิยามให้ APT เป็นภัยคุกคามประเภทใหม่นั้นพื่อหวังผลทางการตลาดของผู้ผลิตผลิตภัณฑ์ระบบความมั่นคงปลอดภัยที่ต้องการขายสินค้าตัวใหม่ที่ผลิตภัณฑ์เดิม ๆ อย่าง Anti-Virus หรือ IPS/IDS หรือ SIEM ในปัจจุบันไม่สามารถตอบโจทย์ของ APT ได้อีกต่อไปนั่นเอง ทั้ง ๆ ที่การโจมตีแบบ APT นั้นไม่ใช่การโจมตีรูปแบบใหม่แต่อย่างใด เป็นแค่การอาศัยช่องโหว่ของระบบที่ไม่ได้รับการปรับปรุงเรื่องความมั่นคงปลอดภัย และใช้ความสะเพร่าของผู้ดูแลระบบที่ไม่ตรวจสอบว่ามีเหตุการณ์ผิดปกติเกิดขึ้นนั่นเอง ดังนั้นการสร้างความตระหนักรู้ให้กับพนักงานและปิดช่องโหว่เป็นประจำนั้น

ที่มา : นิตยสาร  windowsITPro – สุรชาติ พงศ์สุธนะ

Share and Enjoy !

0Shares
0 0 0