5 แนวทางรับมือมัลแวร์เรียกค่าไถ่แฝงใน “มาโคร”

25 ธันวาคม 2016

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ทุกวันนี้คงต้องบอกว่าอาชญากรอินเทอร์เน็ตต่างพยายามหาวิธีการใหม่ๆ ในการเล่นงานภาคธุรกิจ ซึ่งการใช้ชุดคำสั่งมาโคร (Macro) แฝงมัลแวร์ก็เป็นอีกวิธีหนึ่งที่แฮกเกอร์เหล่านี้เลือกใช้

โปรแกรมอีเมลและเว็บเบราว์เซอร์เป็นแอปพลิเคชันเบอร์ต้นๆ ที่มักตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่เหล่านี้ หากมองในแง่ขององค์กร บริษัทที่ต้องการป้องกันการถูกฟิชชิ่ง และ Spear Phishing นั้นมักจะควบคุมการไหลเข้าออกของอีเมลด้วยตัวเอง แต่ปัญหาที่ใหญ่กว่านั้นก็คือมัลแวร์เรียกค่าไถ่หรือ Ransomware สามารถก้าวข้ามการตรวจตรานั้นด้วยการแฝงตัวไปกับชุดคำสั่งมาโครของ Microsoft Office

การสำรวจล่าสุดของบริษัทผู้พัฒนาโซลูชันระบบรักษาความปลอดภัยอย่าง Mimecast พบว่า มีการโจมตีโดยใช้เทคนิคดังกล่าวเพิ่มขึ้นอย่างมาก โดยมีองค์กรมากถึง 50% พบการโจมตีโดยการแนบมาโครมาใน Attachment ของอีเมล และพบการโจมตีโดยใช้เทคนิคทางจิตวิทยาหลอกล่อให้ผู้ใช้งานรันมาโครสูงถึง 44%

“แฮกเกอร์ในปัจจุบันมองว่าการใช้ชุดคำสั่งมาโครสามารถเลี่ยงการตรวจสอบของระบบรักษาความปลอดภัยบนโปรแกรมจัดการอีเมลทั่วไปได้ โดยเฉพาะเมื่อใช้ร่วมกับเทคนิคทางจิตวิทยาในการหลอกให้ผู้ใช้งานรันมาโครนั้นๆ เอง” ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้จาก Mimecast กล่าว

Cerber เป็น Ransomware ที่แฝงตัวอยู่ในมโครที่คลาสสิกมากตัวอย่างหนึ่ง โดยแฮกเกอร์สามารถหาเครื่องมือในการสร้างได้จากเว็บมืดทั้งหลาย ซึ่งโดยทั่วไปแล้วเมื่อมีการกระจายตัวเข้าสู่ระบบเครือข่าย มันจะเข้าไปล็อกไฟล์ข้อมูลอย่างรวดเร็ว ชนิดที่ผู้เชี่ยวชาญด้านซีเคียวริตี้ไม่มีโอกาสจะหยุดยั้งได้เลย

การโจมตีโดย Ransomware ในช่วงไม่นานมานี้เป็นสิ่งที่องค์กรต่างๆ ควรให้ความสำคัญ วิธีการป้องกันการโจมตีของมัลแวร์แบบฝังมากับมาโครอย่างมีประสิทธิภาพอาจต้องใช้เทคโนโลยีด้าน e-Mail Security ในการวิเคราะห์ลิงก์ และไฟล์แนบของอีเมลแบบเรียลไทม์

สำหรับผู้ที่กังวลกับภัยคุกคามดังกล่าว เรามีคำแนะนำ 5 ข้อเกี่ยวกับการสกัดการแพร่กระจายของมัลแวร์ที่ฝังมาในชุดคำสั่งมาโคร ดังนี้

1. ยกเลิกการทำงานของ Macro

องค์กรต้องกำหนดนโยบายให้ชัดเจนว่า ไม่อนุญาตให้มีการรันมาโครได้โดยอัตโนมัติ เนื่องจากโปรแกรม Microsoft Office เวอร์ชันเก่าๆ จะรันมาโครที่ฝังอยู่ในเอกสารโดยไม่ขออนุญาต หรือแจ้งให้ผู้ใช้งานทราบ ส่วนการอัปเกรดมาใช้ Office 2013 หรือ Office 2016 ก็สามารถลดปัญหาลงได้เช่นกัน อย่างไรก็ดี ใช่ว่าจะป้องกันได้ 100% เพราะอาชญากรอินเทอร์เน็ตเองก็เตรียมหาทางออกอื่นไว้แล้ว โดยอาจเปลี่ยนไปใช้เทคนิคทางจิตวิทยาแทน เพื่อกระตุ้นให้ผู้ใช้งานทำการรันมาโครให้แทน

นอกจากนั้นก็มีคุณสมบัติ Protected  View ที่ไมโครซอฟท์พัฒนาขึ้นเพื่อป้องกันผู้ใช้งานจากการรันโค้ดโดยอัตโนมัติ อย่างไรก็ดี อาชญากรอินเทอร์เน็ตก็สามารถใช้เทคนิคหลอกล่อให้ผู้ใช้งานทำการปิดคุณสมบัตินี้ได้เช่นกัน จากนั้นจึงค่อยหลอกให้รันมาโครในภายหลัง

การกำหนดนโยบายสั่งห้ามรันมาโครของผู้บริหารองค์กรจึงถือเป็นแนวทางป้องกันการโจมตีที่เป็นรูปธรรมที่สุด เว้นเสียแต่ว่า องค์กรจะระบุตัวพนักงานได้เลยว่า ใครจำเป็นต้องใช้งานมาโครบ้าง แต่โดยทั่วไปแล้ว ก็เป็นเรื่องที่สมเหตุสมผลที่จะสั่งปิดฟังก์ชันการรันมาโครโดยอัตโนมัติ เพราะเท่ากับช่วยลดความเสี่ยง และโอกาสที่จะถูก Ransomware โจมตีได้นั่นเอง

2. ใช้งานเฉพาะแอปพลิเคชันที่จำเป็น

อาชญากรอินเทอร์เน็ตทราบดีว่า องค์กรส่วนใหญ่มีการใช้งานโปรแกรม Microsoft  Word และ Microsoft Excel เป็นหลัก จึงทำให้ไฟล์ Word ที่มีนามสกุล .doc และ .docx หรือไฟล์ Excel ที่มีนามสกุล .xls และ .xlsx เป็นไฟล์ที่อาชญากรอินเทอร์เน็ตมักใช้ในการลักลอบเผยแพร่มัลแวร์ นี่จึงเป็นอีกเหตุผลหนึ่งที่ว่าทำไมจึงควรยกเลิกการใช้มาโคร หากเป็นไปได้

3. เปิดใช้งาน e-Mail Attachment Sandboxing

องค์กรจำนวนมากยังคงเน้นการรักษาความปลอดภัยของอีเมลที่เกตเวย์ ซึ่งไม่มีผลต่อมาโครที่แฝงไวรัสร้ายมาด้วย เนื่องจากไม่มีจุดสังเกตใดๆ ที่แสดงให้เห็นว่ามีโค้ดร้ายซ่อนอยู่ในมาโครขณะมีการส่งไฟล์นั้นผ่านเข้ามาทางเกตเวย์เลย ดังนั้น โปรแกรมแอนติไวรัสที่คอยทำการสแกน ณ บริเวณเกตเวย์ก็จะไม่สามารถตรวจพบภัยร้ายเหล่านี้ได้นั่นเอง

วิธีลดความเสี่ยงจากภัยดังกล่าวได้ผลอย่างมากที่สุดก็คือการรันผ่าน Sandbox ซึ่งเป็นพื้นที่ปลอดภัยสำหรับช่วยรันไฟล์แนบที่มากับอีเมล การใช้ Sandbox นั้นจะทำให้เห็นตัวตนของไฟล์ที่แนบมาว่ามันพยายามจะดาวน์โหลดไฟล์ .exe หรือ .msi หรือไม่ และหากพบพฤติกรรมดังกล่าว เราก็จะบล็อกไฟล์เหล่านั้นได้ทัน

4. ปลด Active Code ที่อีเมลเกตเวย์

หากองค์กรรู้สึกว่า การใช้ Sandbox จะสิ้นเปลืองทรัพยากรระบบมากเกินไป ทางเลือกอีกทางหนึ่งก็คือดึงมาโครหรือ  Active Code ดังกล่าวออกจากไฟล์เอกสารที่แนบมากับอีเมล ตั้งแต่ที่อีเมลเกตเวย์เสียเลย

“โค้ดมาโครในไฟล์เอกสารสามารถแยกการทำงาน และเริ่มต้นโปรเซสใหม่ได้ที่เครื่องของผู้ใช้ ซึ่งหากเขียนโค้ดมาโครมาอย่างดี ผู้เขียนก็สามารถซ่อนลิงก์สำหรับการดาวน์โหลดไว้ได้อย่างแนบเนียน” ผู้เชี่ยวชาญจาก Mimecast ชี้แนะ

การแปลงไฟล์ให้อยู่ในรูปแบบไฟล์ที่ปลอดภัยเป็นวิธีที่จะมั่นใจได้มากที่สุดว่าโค้ดร้ายต่างๆ ถูกลบออกไปแล้ว และไม่ได้ใช้เวลามากมาย เพียงแต่ไฟล์ที่พนักงานได้รับจะเป็นไฟล์ที่ไม่มี Active Code แล้วเท่านั้นเอง หรือในกรณีที่พนักงานต้องการไฟล์ต้นฉบับ ก็สามารถนำไฟล์ต้นฉบับไปเปิดใน Sandbox ก่อน เพื่อตรวจสอบว่ามีโค้ดร้ายมาด้วยหรือไม่ กระบวนการนี้สามารถปลดโค้ดร้ายที่อาจมากับไฟล์แนบ แถมยังไม่กระทบกับประสิทธิภาพโดยรวมของเซิร์ฟเวอร์ด้วย

5. อบรมให้ความรู้

การอบรมให้ความรู้ด้านซีเคียวริตี้เป็นหน้าที่ขององค์กร แต่บางครั้ง ตัวพนักงานเองแม้จะได้รับการอบรมแล้ว เมื่อเจอสถานการณ์จริงก็อาจอะลุ่มอล่วยจนเกิดปัญหาตามมาได้มากมาย การศึกษาของ Mimecast สนับสนุนความจริงข้อนี้ โดยมีผู้ตอบแบบสอบถามถึง 67% ยอมรับว่าไม่มั่นใจว่าพนักงานของตนเองจะสามารถสังเกตถึงการโจมตีโดยใช้มาโครได้หรือไม่

คำตอบนี้เป็นผลมาจากระดับของการอบรมให้ความรู้ที่ไม่เพียงพอ และขาดความถี่ที่เหมาะสม การอบรมจึงเป็นสิ่งที่ควรทำด้วยความสนใจ เอาใจใส่ เพื่อให้พนักงานเกิดความตระหนักในภัยด้านระบบรักษาความปลอดภัย

บทความจาก CAT Magzine No. 46

ที่มา http://www.darkreading.com/vulnerabilities—threats/5-email-security-tips-to-combat-macro-enabled-ransomware/d/d-id/1326473

 

 

บทความที่เกี่ยวข้อง