วิธีลดการโจมตี Ransomware ที่ดำเนินการโดยมนุษย์: Infographic

ในสมัยก่อน ถ้ามีคนจี้คอมพิวเตอร์ของคุณ มักจะเป็นไปได้โดยการจับคอมพิวเตอร์ของคุณไม่ว่าจะอยู่ตรงนั้นหรือใช้การเข้าถึงจากระยะไกล ในขณะที่โลกก้าวไปข้างหน้าด้วยระบบอัตโนมัติ ความปลอดภัยของคอมพิวเตอร์ก็รัดกุมขึ้น สิ่งหนึ่งที่ไม่เปลี่ยนแปลงคือความผิดพลาดของมนุษย์ นั่นคือที่มาของการโจมตี Ransomware ที่ดำเนินการโดยมนุษย์ (Human-operated Ransomware Attacks)สิ่งเหล่านี้เป็นการโจมตีที่ประดิษฐ์ขึ้นเองซึ่งพบช่องโหว่หรือการรักษาความปลอดภัยที่กำหนดค่าไม่ถูกต้องบนคอมพิวเตอร์และเข้าถึงได้ Microsoftได้จัดทำกรณีศึกษาที่ละเอียดถี่ถ้วนซึ่งสรุปว่าผู้ดูแลระบบไอทีสามารถบรรเทาการโจมตี Ransomware(Ransomware attacks) ที่ดำเนินการ โดยมนุษย์เหล่านี้ได้อย่างมีนัยสำคัญ

ลดการโจมตี Ransomware ที่ดำเนินการโดยมนุษย์

บรรเทาการโจมตี Ransomware ที่ดำเนินการโดยมนุษย์(Human-operated Ransomware Attacks)

ตามที่Microsoftกล่าว วิธีที่ดีที่สุดในการบรรเทา ransomware ประเภทนี้และแคมเปญที่ทำด้วยมือคือการบล็อกการสื่อสารที่ไม่จำเป็นทั้งหมดระหว่างปลายทาง การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับสุขอนามัยของข้อมูลรับรอง เช่นการตรวจสอบสิทธิ์แบบหลายปัจจัย(Multi-Factor Authentication)การตรวจสอบความพยายามที่ใช้กำลังเดรัจฉาน การติดตั้งการอัปเดตความปลอดภัยล่าสุด และอีกมากมาย ก็มีความสำคัญไม่แพ้กัน นี่คือรายการทั้งหมดของมาตรการป้องกันที่จะดำเนินการ:

  • ตรวจสอบให้แน่ใจว่าได้ใช้ การตั้งค่าคอนฟิกที่แนะนำ(recommended configuration settings)ของ Microsoft เพื่อป้องกันคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต
  • Defender ATPเสนอ การจัดการ ภัยคุกคามและช่องโหว่ (threat and vulnerability management)คุณสามารถใช้เพื่อตรวจสอบเครื่องเป็นประจำเพื่อหาช่องโหว่ การกำหนดค่าผิดพลาด และกิจกรรมที่น่าสงสัย
  • ใช้เกตเวย์ MFA(MFA gateway)เช่นAzure Multi-Factor Authentication ( MFA ) หรือเปิดใช้งานการพิสูจน์ตัวตนระดับเครือข่าย ( NLA )
  • เสนอสิทธิ์ขั้นต่ำให้กับบัญชี(least-privilege to accounts)และเปิดใช้งานการเข้าถึงเมื่อจำเป็นเท่านั้น บัญชีใดๆ ที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบทั่วทั้งโดเมนควรมีอย่างน้อยหรือศูนย์
  • เครื่องมือเช่นเครื่องมือLocal Administrator Password Solution ( LAPS ) สามารถกำหนดค่ารหัสผ่านแบบสุ่มที่ไม่ซ้ำกันสำหรับบัญชีผู้ดูแลระบบ คุณสามารถเก็บไว้ในActive Directory (AD) และป้องกันโดยใช้ACL
  • ติดตามความพยายามเดรัจฉาน คุณควรตื่นตระหนก โดยเฉพาะอย่างยิ่งหากมีการพยายามตรวจสอบสิทธิ์ที่ล้มเหลวหลายครั้ง (failed authentication attempts. )กรอง(Filter)โดยใช้รหัสเหตุการณ์4625(ID 4625)เพื่อค้นหารายการดังกล่าว
  • ผู้โจมตีมักจะล้างบันทึกเหตุการณ์ความปลอดภัยและบันทึกการปฏิบัติงานของ PowerShell(Security Event logs and PowerShell Operational log)เพื่อลบรอยเท้าทั้งหมด Microsoft Defender ATPสร้างEvent ID 1102เมื่อสิ่งนี้เกิดขึ้น
  • เปิด คุณสมบัติ การป้องกันการงัดแงะ(Tamper protection)(Tamper protection)เพื่อป้องกันไม่ให้ผู้โจมตีปิดคุณสมบัติความปลอดภัย
  • ตรวจสอบ(Investigate) ID เหตุการณ์4624(ID 4624)เพื่อค้นหาว่าบัญชีที่มีสิทธิ์สูงเข้าสู่ระบบอยู่ที่ใด หากพวกเขาเข้าไปในเครือข่ายหรือคอมพิวเตอร์ที่ถูกบุกรุก อาจเป็นภัยคุกคามที่สำคัญยิ่งกว่า
  • เปิดการป้องกันที่ส่งผ่านระบบคลาวด์(Turn on cloud-delivered protection)และการส่งตัวอย่างอัตโนมัติในWindows Defender Antivirus (Windows Defender Antivirus)มันปกป้องคุณจากภัยคุกคามที่ไม่รู้จัก
  • เปิดกฎการลดพื้นผิวการโจมตี นอกจากนี้ ยังเปิดใช้กฎที่บล็อกการโจรกรรมข้อมูลรับรอง กิจกรรมแรนซัมแวร์ และการใช้PsExecและWMI ที่ น่า สงสัย
  • เปิด  AMSIสำหรับOffice VBA  ถ้าคุณมี Office 365
  • ป้องกันการสื่อสาร RPC(Prevent RPC)และSMBระหว่างอุปกรณ์ปลายทางทุกเมื่อที่ทำได้

อ่าน(Read) : การป้องกันแร(Ransomware protection in Windows 10) นซัมแว ร์ ใน Windows 10

Microsoftได้จัดทำกรณีศึกษาของWadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhramaถูกส่งโดยใช้กำลังดุร้ายในเซิร์ฟเวอร์ที่มีRemote Desktop (Remote Desktop)พวกเขามักจะค้นพบระบบที่ไม่ได้รับการแก้ไขและใช้ช่องโหว่ที่เปิดเผยเพื่อเข้าถึงเบื้องต้นหรือยกระดับสิทธิ์
  • Doppelpaymerแพร่กระจายด้วยตนเองผ่านเครือข่ายที่ถูกบุกรุกโดยใช้ข้อมูลประจำตัวที่ถูกขโมยสำหรับบัญชีที่มีสิทธิพิเศษ ด้วยเหตุนี้จึงจำเป็นต้องปฏิบัติตามการตั้งค่าการกำหนดค่าที่แนะนำสำหรับคอมพิวเตอร์ทุกเครื่อง
  • Ryukแจกจ่าย payload ผ่านอีเมล ( Trickboat ) โดยหลอกลวงผู้ใช้ปลายทางเกี่ยวกับอย่างอื่น เมื่อเร็ว ๆ นี้แฮกเกอร์ใช้ความหวาดกลัวของ Coronavirusเพื่อหลอกลวงผู้ใช้ปลายทาง หนึ่งในนั้นยังสามารถส่งมอบเพย์โหลดของEmotetได้

สิ่งทั่วไปเกี่ยวกับแต่ละรายการ(common thing about each of them)คือสร้างขึ้นตามสถานการณ์ ดูเหมือนว่าพวกเขากำลังใช้กลอุบายแบบกอริลลาโดยที่พวกเขาย้ายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งเพื่อส่งมอบน้ำหนักบรรทุก จำเป็นอย่างยิ่งที่ผู้ดูแลระบบไอทีไม่เพียงแต่คอยดูการโจมตีอย่างต่อเนื่อง แม้ว่าจะเป็นเพียงระดับเล็กๆ และให้ความรู้แก่พนักงานเกี่ยวกับวิธีที่พวกเขาสามารถช่วยปกป้องเครือข่ายได้

ฉันหวังว่าผู้ดูแลระบบไอทีทุกคนสามารถทำตามคำแนะนำและให้แน่ใจว่าได้ลดการโจมตีRansomware ที่ดำเนินการโดยมนุษย์(Ransomware)

การอ่านที่เกี่ยวข้อง(Related read) : จะทำอย่างไรหลังจากการโจมตี Ransomware บนคอมพิวเตอร์ Windows ของคุณ(What to do after a Ransomware attack on your Windows computer?)



ณิชารีย์ พิทักษ์ไทย

About the author

ฉันเป็นนักพัฒนาซอฟต์แวร์ฟรีแวร์และเป็นผู้ให้การสนับสนุน Windows Vista/7 ฉันได้เขียนบทความหลายร้อยบทความเกี่ยวกับหัวข้อต่างๆ ที่เกี่ยวข้องกับระบบปฏิบัติการ รวมถึงคำแนะนำและเคล็ดลับ คู่มือการซ่อม และแนวทางปฏิบัติที่ดีที่สุด ฉันยังเสนอบริการให้คำปรึกษาเกี่ยวกับสำนักงานผ่านทางบริษัท Help Desk Services ของฉัน ฉันมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับวิธีการทำงานของ Office 365 ฟีเจอร์ และวิธีใช้งานอย่างมีประสิทธิภาพสูงสุด


Related posts