ล้วงลึกแผนโจมตีสุดแยบยล! 🚨 เมื่อแฮกเกอร์ใช้ “เครื่องมือสายสืบ” พลิกเกมเป็น “อาวุธเรียกค่าไถ่”
จากโพสต์ที่แล้วที่เราเตือนภัยเรื่องแฮกเกอร์ใช้เครื่องมือ DFIR อย่าง Velociraptor 🦖 ในการโจมตี วันนี้ FiXITDD จะพาเจาะลึกลงไปอีกขั้น ถึงกลยุทธ์ที่แฮกเกอร์ระดับโลกอย่างกลุ่ม “Storm-2603” (ผู้เกี่ยวข้องกับ LockBit Ransomware) ใช้ในการปฏิบัติการจริง!
แผนการโจมตี 4 ขั้นตอน (ฉบับเจาะลึก)
🗺️ Phase 1: Infiltration (เจาะประตูหน้า)
แฮกเกอร์ไม่ได้สุ่มเจาะ แต่มีเป้าหมายชัดเจน! พวกมันใช้ช่องโหว่ความปลอดภัยที่รู้จักกันดีของ Microsoft SharePoint Server 🏢 เพื่อเป็นประตูแรกในการบุกรุกเข้ามาในเครือข่ายขององค์กร
🕰️ Phase 2: Weaponization (วางอาวุธร้ายในร่างนักสืบ)
นี่คือจุดที่แยบยลที่สุด! แทนที่จะใช้มัลแวร์แปลกปลอม แฮกเกอร์กลับติดตั้ง Velociraptor “เวอร์ชันเก่า” ที่มีช่องโหว่ร้ายแรง (รู้จักกันในรหัส CVE) ซึ่งเปรียบเสมือนการวาง “ระเบิดเวลา” ที่รอการจุดชนวน
ทำไมต้องเวอร์ชันเก่า? เพราะเวอร์ชันใหม่ๆ ปิดช่องโหว่นี้ไปแล้ว แฮกเกอร์จงใจใช้เวอร์ชันที่มี “จุดอ่อน” เพื่อใช้ประโยชน์ในขั้นต่อไป
👑 Phase 3: Control & Command (ยึดครองจากภายใน)
เมื่อติดตั้งเครื่องมือสำเร็จ แฮกเกอร์จะใช้ช่องโหว่ใน Velociraptor เพื่อ “ยกระดับสิทธิ์” (Privilege Escalation) ตัวเองจาก “ผู้ใช้ธรรมดา” กลายเป็น “ผู้ดูแลระบบสูงสุด” (Administrator) จากนั้นก็เริ่มปฏิบัติการ:
🚫 ปิดเกราะป้องกัน: สั่งปิดการทำงานของโปรแกรม Antivirus และระบบตรวจจับภัยคุกคาม (EDR)
🔑 ขโมยกุญแจ: ดึงข้อมูลรหัสผ่านที่ถูกเก็บไว้ในเครื่อง เพื่อใช้เปิดประตูไปยังเครื่องอื่นๆ
➡️💻 เคลื่อนทัพเงียบ: แอบเคลื่อนย้ายตัวเองไปยังคอมพิวเตอร์และเซิร์ฟเวอร์เครื่องสำคัญในเครือข่าย (Lateral Movement)
💥 Phase 4: Final Blow (ปล่อยหมัดน็อค)
เมื่อควบคุมระบบทั้งหมดและปลดอาวุธการป้องกันได้เบ็ดเสร็จแล้ว ก็ถึงเวลาปิดเกม! แฮกเกอร์จะสั่งการจากศูนย์บัญชาการเพื่อปล่อย LockBit Ransomware 🔒💰 เข้าสู่ทุกเครื่องในเครือข่ายพร้อมๆ กัน ทำให้ไฟล์ทั้งหมดถูกเข้ารหัสในพริบตา
เทคนิคนี้เรียกว่า “Living off the Land”
การใช้เครื่องมือที่ถูกกฎหมายและมีอยู่แล้วในระบบเพื่อโจมตี เรียกว่าเทคนิค “Living off the Land” (LOLBIN) เปรียบเหมือน “โจรที่ไม่ได้พกอาวุธมาเอง แต่ใช้มีดในครัวของบ้านเรามาปล้นเรา” ทำให้การตรวจจับทำได้ยากมาก เพราะระบบป้องกันจะเห็นว่าเป็นการใช้งานโปรแกรมปกติ
👨💻 FiXITDD’s Pro-Tips:
อัปเดตแพตช์เร่งด่วน: อย่ามองข้ามการอัปเดต โดยเฉพาะระบบสำคัญอย่าง SharePoint, Exchange Server ที่มักเป็นเป้าหมายแรกๆ
ตรวจจับพฤติกรรม ไม่ใช่แค่ไฟล์: ระบบความปลอดภัยสมัยใหม่ต้องสามารถตรวจจับ “พฤติกรรมผิดปกติ” ได้ เช่น โปรแกรม A กำลังสั่งปิดโปรแกรม B หรือมีการเข้าถึงไฟล์แปลกๆ
จำกัดสิทธิ์การเข้าถึง (Least Privilege): ให้สิทธิ์ผู้ใช้งานและโปรแกรมต่างๆ เท่าที่จำเป็นต้องใช้จริงๆ หากถูกเจาะ ความเสียหายจะถูกจำกัดในวงแคบ
About the Author
