จำลอง Workflow เมื่อเครื่องติด Malware ในวง Network เดียวกับ NAS, Server และเครื่อง Office พร้อมอธิบายความเสี่ยงจาก...
- ไม่มีสินค้าในตะกร้าของคุณแล้ว
- จัดส่ง
- รวมทั้งสิ้น ฿0.00
เครื่องติด Malware แล้วเกิดอะไรขึ้นในระบบ Network? จำลอง Workflow การโจมตี NAS/Server และแนวทางป้องกันด้วย Cybrey Firewall
เครื่องติด Malware แล้วเกิดอะไรขึ้นในระบบ Network? จำลอง Workflow การโจมตี NAS และแนวทางป้องกันด้วย Cybrey Firewall

เวลาใครพูดถึงติด Malware เรามักจะนึกถึงจังหวะแรกที่เครื่องติด Virus เช่น เปิด Attachmentใน Email, กด Link ปลอม, ติดตั้งโปรแกรมเถื่อน, ใช้ Keygen หรือ Crack หรือเผลอรันโปรแกรมที่ไม่น่าไว้ใจด้วยสิทธิ์ Admin
แต่สิ่งที่น่าห่วงคือหลังจากติด Malware ไปแล้ว มันจะทำอะไรต่อจากนั้น?
Lab จำลอง Malware Workflow แบบ Safe Simulation
บทความนี้ผมจำลอง Workflow การทำงานของ Malware ในมุม Network Security โดยเขียน App เล็ก ๆ ขึ้นมาเพื่อแสดง Log ทีละขั้นตอน แยกเป็น Module เพื่อให้เห็นภาพง่ายๆ Malware มันจะเริ่มจากการดูข้อมูลเครื่องตัวเองก่อน สำรวจวง Network ค้นหา NAS, File Server ตรวจสอบ Share-Folder ที่เข้าถึงได้ แล้วพยายามติดต่อ Server ภายนอกเพื่อรอรับคำสั่ง
** App ตัวนี้เป็น Safe Simulation สำหรับอธิบาย Process เท่านั้นนะครับ ไม่มีการโจมตีจริง ไม่มีการเข้ารหัสไฟล์จริง และไม่มีการเชื่อมต่อ C2 Server จริง (นอกนั้นจริงหมด 555) จุดประสงค์คือให้เห็นภาพว่า ถ้าเครื่องหนึ่งในระบบติด Malware แล้ว Network ถูกออกแบบแบบทุกอย่างอยู่รวมกันหมด Malware จะมองเห็นเครื่องสำคัญ เช่น NAS, File Server หรือ Server ภายใน ได้ง่ายแค่ไหน **
** Video App Malware Workflow อยู่ใน Link นี้นะครับ --> Video.Malware.WorkFlow
ผมเคยเป็น Programmer มาก่อน ใช้ตั้งแต่ Delphi 5 พอมาลองเขียน App จำลองพฤติกรรม Malware หลักการหลายๆอย่างไม่ได้ซับซ้อนมาก เพราะ Windows มี Function คำสั่ง และ Tool ต่างๆให้เรียกใช้อยู่แล้ว เช่นการดู Local IP, ดู Mapped-Drive, Share-Folder ที่เชื่อมต่ออยู่ เรียก Command Line เช่น ARP-Discovery, nbtstat, test-netconnection ผ่าน PowerShell เป็น Child Process แล้ว Return ค่ากลับมาแสดงในโปรแกรม
Malware เลยไม่จำเป็นต้องมี File ขนาดใหญ่ ไม่ต้องใส่ความสามารถทุกอย่างลงไป บาง Process แค่อาศัย Tools ที่มีอยู่ใน Windows ก็สำรวจระบบ Network ภายในได้
ในบทความนี้ จะเป็น Lab และบทความแรกก่อนนะครับ โดยให้ทุกเครื่องอยู่ใน Network เดียวกัน รวมถึงเครื่องที่ติด Malware, เครื่อง User ทั่วไป, NAS และอุปกรณ์อื่น ๆ ในสำนักงาน เพื่อเข้าใจลักษณะการทำงานเบื้องต้น หลังจากนั้นใน LAB และบทความถัดไป จะเป็นการป้องกันในแต่ละ Process ของ Malware ว่าเราสามารถป้องกันอะไรได้บ้าง Cybrey Firewall จะช่วยเหลือเราได้ยังไง
เมื่อเครื่องติด Malware อยู่ในวง Network เดียวกับ NAS และเครื่อง Office
สมมุติว่าเครื่องที่ติด Malware อยู่ใน Network เดียวกับเครื่องอื่น ๆ เช่น PC, NAS, NVR และอุปกรณ์สำนักงาน โดยไม่มีการแยก VLAN ระหว่าง Guest, User และ Server
ลักษณะแบบนี้พบได้บ่อยในสำนักงาน เป็นระบบที่เริ่มต้นจาก Router กับ Network Switch ธรรมดา ทุกเครื่องอยู่ในวงเดียวกัน ใช้ IP ชุดเดียวกัน และมองเห็นกันได้ภายใน LAN
ขั้นตอนที่ 1 Malware สำรวจข้อมูลเครื่องตัวเอง
เมื่อเครื่องติด Malware ขั้นตอนแรก มันจะทำการสำรวจข้อมูลในเครื่องตัวเองก่อน เช่น IP Address, Subnet Mask, Default Gateway, DNS Server, Drive และ MAP-Drive ต่าง ๆ ที่เครื่องเชื่อมต่ออยู่ในขณะนั้น รวมถึง File ที่อยู่ในเครื่อง

Tool ใน Windows ก็แค่ IPConfig ครับ Return ค่ากลับมาก็ Parser เลือก NIC
ขั้นตอนที่ 2 ตรวจสอบ Mapped Drive, Shortcut และ Recent File
สิ่งที่ Malware สนใจ ก็จะเป็นพวก Mapped-Drive หรือ Network-Drive เช่น Drive ที่เชื่อมไปยัง NAS หรือ File Server ถ้าเครื่อง User มี Permission Read/Write แล้ว Malware ที่รันอยู่ในสิทธของ User คนนั้น ก็อาจเข้าถึง FIle ในสิทธิเดียวกันได้

ตัวอย่าง เครื่องมีการ Map Drive ไปที่ NAS และผู้ใช้งานมี Permission Write File ได้ ความเสี่ยงจะพุ่งขึ้นทันที เพราะ Malware จะมองเห็น File ใน Share-Folder นั้น และอาจทำตัวเป็น Ransomware สร้างความเสียหายกับไฟล์ตามสิทธิ์ที่ผู้ใช้งานมีอยู
และการไม่ Map Drive ก็ไม่ได้แปลว่าจะปลอดภัยเสมอไป ถ้า User สร้าง Shortcut ไว้บน Desktop หรือเคยเปิดไฟล์จาก NAS มาก่อน เครื่องอาจมีร่องรอยเป็น .lnk หรือ Recent File ที่ชี้ไปยัง Share Folder อยู่ Malware ก็อาจใช้ข้อมูลตรงนี้เป็นแผนที่นำทางไปหา NAS หรือ File Server ได้เหมือนกัน

ขั้นตอนที่ 3 สำรวจ IP ในเครือข่ายด้วย ARP Discovery
Malware มันรู้ IP Address และ Subnet Mask ของเครื่องตัวเองแล้ว มันก็รู้ล่ะว่าเครื่องนี้อยู่ในวง Network อะไร เช่น 192.168.1.0/24 จากนั้นก็เริ่มสำรวจในวงมีเครื่องไหน Online อยู่บ้าง
การสำรวจเบื้องต้นก็เริ่มจาก Ping ไปยัง IP ต่าง ๆ ในวง Network แต่..บางเครื่องอาจปิดการตอบ Ping ไว้ ทำให้ไม่เห็นค่า TTL กลับมา
แต่...ต่อให้ปิด ไม่ตอบก็ไม่ใช่ปัญหา...ถ้าเครื่องต้นทางและปลายทางอยู่ใน VLAN เดียวกัน ก่อนจะส่ง Ping เครื่อง Source มันต้องใช้ ARP ก่อนเพื่อถาม IP Dest มี MAC Address อะไร แม้ Ping จะถูก Block แต่เครื่องเปิดอยู่ใน VLAN เดียวกันก็จะโผล่ใน ARP Table อยู่ดี


จุดนี้แหละครับที่อธิบายได้ว่าเครื่องที่อยู่ VLAN เดียวกันถึงมองเห็นกันง่าย เพราะ ARP ทำงานอยู่ใน Layer 2 ภายในวงเดียวกัน Traffic วิ่งผ่าน Switch เป็นหลัก ไม่ได้ผ่าน Gateway หรือ Firewall ดังนั้น Firewall ที่วางเป็น Gateway จะยังไม่เห็น Traffic ประเภทนี้ และควบคุมไม่ได้โดยตรง
ทำไม VLAN เดียวกันถึงอันตราย
ลองนึกภาพครับ... มีห้องประชุมห้องเดียว ทุกคนอยู่รวมๆกันหมด ทั้งพนักงาน แขก, NAS และ Server ถ้ามี Attacker หรือเครื่องที่ติด Malware เข้ามาอยู่ในห้องนี้ด้วย มันแค่หันชะโงกมองไปรอบ ๆ ก็เริ่มเห็นแล้วว่าใครอยู่ตรงไหน ใครน่าจะเป็นเป้าหมายสำคัญ
แต่ถ้าเราแยกห้อง เอาคนสำคัญๆ NAS และ Server ไปไว้อีกห้อง Attacker จะมองไม่เห็นโดยตรง ถ้าจะเข้าไปห้องนั้นก็ต้องเดินผ่านประตู และที่ประตูมี รปภ. คอยตรวจว่าใครมีสิทธิ์เข้าออกได้บ้าง
ในระบบ Network ห้องก็คือ VLAN หรือ Zone ส่วนประตูและ รปภ. ก็คือ Gateway/Firewall ที่คอยควบคุม Traffic ระหว่าง VLAN, หน้าที่ของ รปภ. ก็ตามที่เรากำหนดใครที่จะเข้าออกได้ ก็คือ Firewall Policy
ขั้นตอนที่ 4 หา Hostname เพื่อระบุเป้าหมายสำคัญ
!!เครื่องที่ตั้งชื่อสื่อความหมายชัดเจน มักถูกเล่นก่อน
เมื่อ Malware มันเห็น IP เครื่องที่เปิดอยู่ มันก็อยากได้ข้อมูลรู้ว่าเครื่องนั้นชื่ออะไร โดยใช้วิธีหาชื่อ Host-Name อาจใช้ NetBIOS, SMB, DNS หรือระบบค้นหาชื่อภายใน Windows
เครื่องที่มีชื่อบอกหน้าที่ชัดเจน เช่น NAS-SYSNET-LAB, FILE-SERVER เป็นเป้าหมายได้ง่ายกว่าเครื่องที่ตั้งชื่อมั่วๆทั่วไป เพราะชื่อเครื่องช่วยบอกบทบาทของอุปกรณ์ในระบบ
พอ Malware มันเห็นชื่อที่สื่อถึง NAS, File Server หรือ Backup ก็มีโอกาสสูงที่จะจัดการกับเครื่องกลุ่มนี้ก่อน เพราะมีโอกาสเก็บข้อมูลสำคัญขององค์กรไว้มากกว่าเครื่องอื่นๆทั่วไป


ขั้นตอนที่ 5 ตรวจสอบ Service เช่น SMB, RDP และ Web Management
ตอนนี้ Malware มันมีเครื่องเป้าหมายแล้ว รู้ IP, เห็นชื่อเครื่องแล้วน่าจะเป็นเครื่องอะไร ขั้นตอนต่อไปคือการตรวจสอบ Service สำคัญที่เปิดอยู่
ฝั่ง Attacker รู้ดีว่าอุปกรณ์แต่ละประเภทมักใช้ Protocol อะไรเป็นหลัก เช่น NAS หรือ File Server ก็มักจะเป็น SMB ผ่าน TCP Port 445 พวกเครื่อง Windows Server หรือเครื่องที่เปิด Remote Desktop ก็จะมี RDP ผ่าน TCP Port 3389
Malware มันเลยไม่จำเป็นต้อง Scan ทุก Port ตั้งแต่ 1-65535 ให้เสียเวลาและสร้าง Traffic ผิดปกติ แค่ตรวจเฉพาะ Port ที่สำคัญๆ เช่น SMB, RDP, Web Management หรือ Port ที่เกี่ยวข้องกับ NAS
ถ้าเครื่องปลายทาง ตอบกลับว่า Port เปิดอยู่ จะเป็นข้อมูลที่บอกว่าเครื่องๆนั้นเป็นเป้าหมายที่มีมูลค่าพอให้โจมตี


ขั้นตอนที่ 6 ติดต่อ C2 Server เพื่อรอรับคำสั่ง
C2 ย่อมาจาก Command and Control หมายถึง Server ภายนอกที่เป็นตัวควบคุม ส่งคำสั่งให้ Malware
เครื่องที่ติด Malware จะเป็นฝ่ายเชื่อมต่อออกไปหา C2-Server เอง เพราะเครื่องส่วนใหญ่อยู่หลัง NAT หรือ Firewall ทำให้ Attacker จากภายนอกเชื่อมต่อเข้ามาตรงๆ ยาก
Malware มักจะติดต่อ C2-Server ผ่าน Domain Name แทนการ Fix IPไว้ในโปรแกรม เพราะถ้าใช้ IP ตรง ๆ ถูก Block ได้ง่าย และเปลี่ยนปลายทางได้ยาก การใช้ Domain ทำให้ Malware สามารถ Resolve DNS เพื่อหา IP ปัจจุบันของ C2 Server

Malware ส่ง Packet ออกไปเป็นระยะๆ เพื่อรอรับคำสั่งใหม่ การทำงานแบบนี้เรียกว่า Polling หรือ Beaconing ครับ เครื่องที่ติด Malware จะคอยติดต่อกลับไปยัง C2-Server เป็นระยะๆ ไม่สร้าง Connection ตลอดเวลาให้โดนจับได้ และรอรับคำสั่ง หรือส่งข้อมูลสำคัญกลับออกไป หรือให้ C2-Server ส่ง Payload Module เพิ่มเติมสำหรับหาช่องโหว่ต่างๆ
Malware อาจจะส่งข้อมูล Host:Port ไปยัง C2-Server เพื่อให้ Attacker เลือกจะเล่นเครื่องไหน
ขั้นตอนที่ 7 ตรวจสอบ Share Folder บน NAS หรือ File Server
OK เห็นแล้วว่าเครื่องปลายทางเปิด SMB ขั้นตอนต่อไปคือตรวจสอบว่าเครื่องนั้นมี Share-Folder อะไรอยู่บ้าง
ถ้าไม่มี Credential หรือ Permission ระบบอาจตอบกลับเป็น Access Denied ซึ่งแปลว่าเครื่องต้นทางยังไม่มีสิทธิ์ดูข้อมูลภายใน Share-Folder

แต่ก็ยังเสี่ยงมาก เพราะ Attacker รู้แล้วว่าเครื่องปลายทางเปิด SMB อยู่ อาจเป็น NAS หรือ File Server ถ้าเครื่องที่ติด Malware มี Credential ที่ Windows จดจำไว้ (User Click จำ Password ตอนเข้า Share-Folder) หรือ User เคย Map Drive ไปยัง Share-Folder นั้นอยู่แล้ว Malware จะสามารถเข้าถึง FIle ได้ตาม Permission ของ User คนนั้น
ขั้นตอนที่ 8 เริ่มโจมตีหรือเข้ารหัสไฟล์
** ขั้นตอนนี้เป็นการ Simulated นะครับ ไม่ได้ติดต่อ C2-Server ไม่ได้ใช้ Brute-Force และไม่ได้ Encrypt File แค่ Create File พร้อม Content ลงใน NAS**
การโจมตีอาจเริ่มขึ้นตั้งแต่ Malware มันเห็นว่าเครื่องมีการ Map Drive ไปที่ NAS หรือ File Server เพราะ Drive พวกนี้มักจะเป็น Folder กลางที่ User เก็บ FIle งานร่วมกัน เช่นเอกสารบัญชี, ใบเสนอราคา, File ข้อมูลลูกค้า, งาน Project หรือข้อมูลสำคัญของบริษัท
บางทีมันไม่หยุดแค่นั้น มันอาจพยายามสำรวจข้อมูลเพิ่มเติมในเครื่อง เช่น Credential ที่ Windows จำไว้ ประวัติการเข้าใช้งาน Network Share File ที่เปิดล่าสุด หรือ Path ของเอกสารที่เคยเชื่อมต่อไปยัง NAS และ Server, Cookie หรืออะไรก็แล้วแต่ที่มันอยากรู้
และมันก็จะสำรวจในวง Network ต่อ มีเครื่องอะไรที่น่าสนใจอีก เช่น NAS, File Server, Backup Server, NVR หรืออุปกรณ์ Network ต่างๆ เช่น Router ถ้าพบเครื่องเหล่านี้ มันอาจพยายามเข้าถึง Service ที่เปิดอยู่ เช่น SMB, RDP หรือ Web Management
วิธีที่ Attacker ทำต่อมีหลายแบบ เช่นใช้ Credential ที่ขโมยมา ใช้รหัสผ่านที่กำหนดง่าย ใช้การ Brute-Force หรืออาศัยช่องโหว่ของระบบที่ยังไม่ได้ Update ที่มักจะเห็นในข่าวอยู่บ่อยๆ องค์กรถูกโจมตีจากช่องโหว่ของอุปกรณ์หรือ Software ที่ยังไม่ได้ Patch

เมื่อ Malware เข้าถึง NAS หรือ Server ได้แล้ว ความเสียหายเกิดขึ้นได้หลายรูปแบบ เช่น Read, Copy, Delete, Modify หรือ Encrypt File เพื่อเรียกค่าไถ่ในรูปแบบ Ransomware

หรือ Malware อาจค่อย ๆ ส่ง File สำคัญออกไปยัง C2-Server ภายนอกตามคำสั่งจาก C2 Server สั่งสำรวจข้อมูลเพิ่ม สั่งดึงไฟล์บางประเภท สั่งโหลด Module เพิ่ม หรือสั่ง Encrypt File เมื่อได้ข้อมูลครบแล้ว

ที่สำคัญ เครื่องที่ติด Malware เพียงเครื่องเดียวอาจสร้างความเสียหายต่อ NAS หรือ Server ได้ หากเครื่องนั้นมีสิทธิ์เข้าถึงไฟล์ส่วนกลางอยู่แล้ว ดังนั้นการป้องกันจึงต้องควบคุมทั้งสิทธิ์ของผู้ใช้งาน การแยก VLAN การจำกัดการเข้าถึง SMB/RDP และการบังคับให้ Traffic ระหว่าง User, NAS และ Server ผ่าน Firewall เพื่อให้ตรวจสอบและควบคุมได้มากขึ้น.
สรุป Malware Workflow และแนวทางป้องกันเบื้องต้น
Workflow ที่อธิบายในบทความนี้เป็นเพียงพื้นฐานพฤติกรรม Malware เช่นตรวจสอบ IP Address, Subnet Mask, Gateway, Mapped Drive, สำรวจเครื่องในวง Network, ดูชื่อเครื่อง, ตรวจสอบ Service สำคัญอย่าง SMB/RDP และรอรับคำสั่งจาก C2-Server
การทำงานของ Malware จริงๆมีรายละเอียดมากกว่านี้เยอะครับ ขึ้นอยู่กับชนิด Malware, เป้าหมายของ Attacker, สิทธิ์ที่ได้จากเครื่องเหยื่อ และ เจาะช่องโหว่ของระบบะ
Attacker แต่ละกลุ่มก็มีจุดประสงค์แตกต่างกัน บางกลุ่มต้องการขโมยข้อมูล บางกลุ่มอยากได้เงินต้องการ Encrypt FIle เรียกค่าไถ่ บางกลุ่มต้องการฝังตัวในระบบเพื่อรอโจมตีหน่วยงานต่างๆ หรือใช้เป็นทางผ่านไปยังระบบอื่น ความสามารถและเทคนิคของ Attacker ลึกเกินกว่าสิ่งที่ผมจำลองใน Lab นี้มาก
บทความนี้มีเป้าหมายเพื่อให้เห็นภาพพื้นฐานว่า เมื่อเครื่องหนึ่งติด Malware มันมองเห็นอะไรในระบบ Network และทำไมการปล่อยให้ Guest, User, NAS และ Server อยู่ในวงเดียวกันจึงมีความเสี่ยงสูง
ถ้าเครื่องที่ติด Malware มีการ Map Drive ไปยัง NAS หรือ File Server อยู่แล้ว Malware อาจเข้าถึงไฟล์เหล่านั้นได้ตาม Permission ของผู้ใช้งานทันที โดยที่ NAS หรือ Server ไม่จำเป็นต้องติด Malware เอง
หลังจากนั้น Malware อาจสำรวจต่อในวง Network มีเครื่องอะไรอยู่บ้าง ใช้ ARP Discovery เพื่อหา IP ตรวจสอบชื่อเครื่องผ่าน NetBIOS, SMB หรือใน Windows แล้วเลือกระบุเป้าหมายที่น่าสนใจ เช่น NAS, File Server, Backup Server หรือเครื่อง Server ที่เปิด Service สำคัญไว้
ถ้าเครื่องทั้งหมดอยู่ใน VLAN เดียวกัน Traffic วิ่งผ่าน Network Switch กันภายในวง Network โดยตรง ไม่ได้ผ่าน Firewall ทำให้ Firewall มองไม่เห็น Traffic ก็จัดการอะไรไม่ได้ครับ
และฝั่ง Attacker เป็นฝ่ายพยายามหาช่องทางโจมตีใหม่ ๆ อยู่ตลอดเวลา ส่วน Firewall และระบบป้องกันเป็นฝ่ายตั้งรับ ดังนั้นการออกแบบระบบป้องกันจำเป็นต้องรู้พื้นฐานก่อนว่ามันจะทำอะไรได้บ้าง และต้องคิดให้ครอบคลุมป้องกันหลายชั้น ตั้งแต่การแยก VLAN, การแบ่ง Zone, การกำหนด Policy จำกัด Permission, การเข้าถึง NAS/Server, การควบคุม SMB/RDP, การตรวจสอบ DNS, การควบคุม Traffic ออก Internet และการดู Log เพื่อหาสิ่งผิดปกติ
Cybrey Firewall ช่วยลดความเสี่ยงได้อย่างไร
ในบทความถัดไป ผมจะอธิบายต่อ Cybrey Firewall สามารถช่วยลดความเสี่ยงของระบบเราในแต่ละขั้นตอนการทำงานของ Malware ได้ยังไง เช่นการแยก Zone, การกำหนด Security Policy, การควบคุมการเข้าถึง NAS และ Server, การตรวจจับ Port Scan, การลดโอกาสเชื่อมต่อ C2 Server, DNS Protection, Threat Intelligence และการใช้ Log Monitoring เพื่อช่วยให้ผู้ดูแลระบบเห็นความผิดปกติได้เร็วขึ้น
*** เป้าหมายของการป้องกันคือ ต้องทำให้ Malware มองเห็นระบบสำคัญได้น้อยที่สุด เข้าถึง File ส่วนกลางได้ยากที่สุด และทำให้ Traffic ที่มีความเสี่ยงต้องผ่าน Firewall เท่านั้น ***
