Exploits คือ ซอฟต์แวร์ที่จ้องหาโอกาสหรือเอาประโยชน์จากบั๊กหรือช่องโหว่ ที่ส่งซอฟต์แวร์อย่าง Microsoft Office ขึ้นแท่นปวดเศียรเวียนเกล้าจากปัญหาไซเบอร์อย่างหนักในไตรมาส 1 ของปี 2018 โดยมียูสเซอร์ที่ถูกคุกคามเพิ่มมากขึ้นจาก Q1 ปี 2017 ถึง 4 เท่า และเพียงช่วงเวลาสามเดือน การใช้ exploits เป็นตัวคุกคามก็เติบโตขึ้นถึงเกือบ 50% สูงกว่าค่าเฉลี่ยการใช้ exploits ต่อ Microsoft Office ตลอดปี 2017 ถึงเท่าตัว และเหล่านี้คือข้อมูลที่ควรให้ความสนใจเกี่ยวกับวิวัฒนาการภัยคุกคามไซเบอร์จากรายงานสำรวจโดยแคสเปอร์สกี้ แลป ในไตรมาสที่ 1
การคุกคามโดยอาศัย exploits นั้นจัดว่าเป็นเรื่องใหญ่มาก เพราะเป็นปฏิบัติการโดยตัวของมันเองโดยไม่ต้องอาศัยการกระตุ้นหรือยูสเซอร์เป็นตัวทำปฏิกิริยา และยังแพร่โค้ดอันตรายออกมาโดยไม่มีใครจับได้อีกด้วย ดังนั้น จึงเป็นที่นิยมแพร่หลายในหมู่อาชญากรไซเบอร์ทีมองหาผลประโยชน์ และการจารกรรมไซเบอร์ที่หนุนหลังโดยรัฐบาลของประเทศที่มีแผนร้ายซ่อนอยู่
ไตรมาสแรกของปี 2018 เต็มไปด้วย exploits มีเป้าหมายที่ Microsoft Office ซอฟต์แวร์ยอดนิยมใช้งานแพร่หลาย โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลปคาดการณ์ว่าจะดำเนินไปในทิศทางนี้อย่างต่อเนื่อง แต่ช่วงนี้น่าจะพีคที่สุดแล้ว เพราะอย่างน้อยในช่วง 2017-2018 ได้ตรวจพบ exploits ไร้สังกัดจำนวนสิบตัวที่เป้าหมายไปยัง Microsoft Office เปรียบเทียบกับ zero-day exploits เป้าหมาย Adobe Flash player ที่พบเพียงสองตัวเท่านั้นในช่วงเวลาเดียวกัน
การที่จำนวนการแพร่กระจาย exploits ที่พบน้อยลงในซอฟต์แวร์อย่างหลังนั้น (ต่ำกว่า 3% เล็กน้อยในไตรมาสที่หนึ่ง) น่าจะมาจากการที่ทั้ง Adobe และ Microsoft ได้มีความพยายามทำให้ยากขึ้นกว่าเดิมในการแอบหาทางเอาประโยชน์จาก Flash Player
การแพร่กระจาย exploits แบ่งตามประเภทของแอพพลิเคชั่น ในไตรมาส 1 ปี 2018
หลังจากอาชญากรไซเบอร์ค้นพบช่องโหว่ พวกมันก็ได้ตระเตรียม ready-to-go exploit จากนั้น ใช้ spear-phishing เป็นตัวนำกระตุ้นให้ติดเชื้อ ผ่านทางอีเมล์ที่แนบไฟล์เชื้อมัลแวร์มาด้วย ทำให้ยูสเซอร์และบริษัทธุรกิจตกอยู่ในภาวะล่อแหลมอ่อนแอ ยิ่งร้ายไปกว่านั้น การโจมตีโดยอาศัย spear-phishing เช่นนี้ มักจะแนบเนียนแยบยล นิยมใช้กันในการโจมตีที่มีความซับซ้อนไปยังเป้าหมายเฉพาะเจาะจง ดังพบตัวอย่างมากมายในช่วงหกเดือนที่ผ่านมา
ตัวอย่างเช่น ปี 2017 ที่ผ่านมา แคสเปอร์สกี้ แลปโดยระบบป้องกัน exploit ขั้นสูงระบุพบ zero-day exploit ใน Adobe Flash ที่ใช้งานทั่วไปทำการโจมตียูสเซอร์ที่เป็นลูกค้าของแคสเปอร์สกี้แ แลป โดยตัว exploit นี้เข้ามาทางไฟล์เอกสาร (document) ของ Microsoft Office และ final payload พบว่าเป็นเวอร์ชั่นล่าสุดของมัลแวร์ที่ชื่อ FinSpy จากการวิเคราะห์ payload นักวิจัยของเราสามารถเชื่อมโยงการโจมตีนี้กลับไปยังแอคเตอร์ที่มีความซับซ้อนตัวหนึ่งที่ชื่อ ‘BlackOasis’ และในเดือนเดียวกัน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตีพิมพ์เผยแพร่ รายการการวิเคราะห์ช่องโหว่ СVE-2017-11826 ซึ่ง zero-day ได้แอบใช้ในการปล่อยกระจายการโจมตีแบบมีเจาะจงเป้ามหาย (targeted attacks) ไปยัง Microsoft Office เวอร์ชั่นต่างๆ การใช้ประโยชน์ (exploit) จากช่องโหว่เช่นนี้ พบในไฟล์ RTF document ที่มี DOCX document ซึ่งใช้ CVE-2017-11826 ใน Office Open XML parser และในที่สุด เมื่อไม่กี่วันที่ผ่านมา ได้มีการเผยแพร่ ข้อมูลเกี่ยวกับช่องโหว่ Internet Explorer zero day CVE-2018-8174 ซึ่งถูกใช้ในการโจมตีแบบมีเป้าหมายเจาะจง
อเล็กซานเดอร์ ลิสคิน ผู้เชี่ยวชาญด้านซีเคียวริตี้ แคสเปอร์สกี้ แลป ตั้งข้อสังเกตว่า “รูปการณ์ของภัยไซเบอร์ในไตรมาสแรกของปีแสดงถึงการละเลย patch management ซึ่งถือเป็นอันตรายอย่างยิ่งของการคกคามทางไซเบอร์ เมื่อเวนเดอร์ออกแพทช์มาอุดช่องโหว่ ยูสเซอร์มักจะอัพเดทโปรดักส์ที่ใช้อยู่ไม่ทัน เป็นช่วงจังหวะเวลาที่จะปล่อยการโจมตีผ่านช่องโหว่ที่ถูกเปิดเผยนั้นได้อย่างแนบเนียน และค่อนข้างที่จะได้ผลทีเดียว”
สถิติที่น่าสนใจของภัยไซเบอร์ภายในไตรมาส 1 ปี 2018 ได้แก่:
- โซลูชั่นของแคสเปอร์สกี้ แลปตรวจจับและกำจัดการโจมตีได้ 796,806,112 ครั้งจากต้นตอออนไลน์ใน 194 ประเทศทั่วโลก
- URLs จำนวน 282,807,433 ที่ถูกเว็บแอนตี้ไวรัสคอมโพเน้นท์ (web antivirus components) ตรวจพบว่าเป็น URLs ที่เป็นภัยทางไซเบอร์
- ตรวจพบและขึ้นทะเบียนรูปแบบการใช้มัลแวร์ในการแพร่กระจายที่ประสงค์ขโมยเงินผ่านบัญชีธนาคารออนไลน์ได้จากยูสเซอร์คอมพิวเตอร์ 204,448 เครื่อง
- ไฟล์แอนตี้ไวรัสของแคสเปอร์สกี้ แลปตรวจพบออปเจ็คท์ไม่พึงประสงค์และน่าจะเป็นภัยได้จำนวน 187,597,494
- โปรดักส์ด้านโมบายล์ซีเคียวริตี้ของแคสเปอร์สกี้ แลปยังตรวจพบ:
- 1,322,578 malicious installation packages
- 18,912 โมบายล์แบ้งกิ้งโทรจัน (installation packages)
ยูสเซอร์ควรจะปฏิบัติตนดังนี้เพื่อลดความเสี่ยง:
- ซอฟต์แวร์ที่ติดตั้งใช้งานบนเครื่องนั้นควรจะเป็นเวอร์ชั่นที่อัพเดท สามารถที่จะทำฟีเจอร์ออโตอัพเดทอัตโนมัติได้
- เลือกใช้โปรดักส์จากซอฟต์แวร์เวนเดอร์ที่มีแนวความคิด การทำงาน การแก้ปัญหาที่แสดงถึงความรับผิดชอบต่อปัญหาที่มีความวิกฤตอ่อนไหวต่างๆ และควรจะมี โปรแกรมไล่ล่าบัก (bug bounty program) เป็นของตนเอง
- ใช้ security solutions ที่มีความแข็งแกร่ง ทนทาน มีฟีเจอร์พิเศษเพื่อป้องกัน exploits เช่น ฟีเจอร์ Automatic Exploit Prevention เป็นต้น
- รันซิสเต็มสแกน เพื่อตรวจสอบเครื่องของคุณอยู่เสมอ คอยมองหาจุดที่น่าสนใจ และควรต้องใช้ซอฟต์แวร์เวอร์ชั่นที่อัพเดท
- องค์กรธุรกิจต่างๆ ควรที่จะใช้โซลูชั่นด้านความปลอดภัยที่มี vulnerability, patch management และ exploit prevention components เช่น Kaspersky Endpoint Security for Business. ฟีเจอร์ patch management จะกำจัดช่องโหว่ที่ตรวจพบให้อัตโนมัติและอุดช่องโหว่นั้นก่อน ส่วนคอมโพเน้นท์ exploit prevention component จะเฝ้าระวังพฤติกรรมต้องสงสัยของแอพพลิเคชั่น และบล็อก files executions ที่ต้องสงสัย
อ่านรายงานวิวัฒนาการภัยไซเบอร์ฉบับเต็มของแคสเปอร์สกี้ แลป ได้ที่ https://securelist.com/it-threat-evolution-q1-2018/85469/
