Skip to content

ถ้าไม่มี APT ป่านนี้คงเละไปแล้ว

เรื่องของเรื่องก็คือ ที่ออพติมุสเราใช้ Kerio Connect เป็น Mail server และ e-mail ที่ผ่านเข้าออกเซิร์ฟเวอร์นี้ก็จะถูกสแกนทั้ง Spam และ Attachment ด้วย Security feature ของ XTM โดยทั้ง Spam engine และ Antivirus เป็น Cloud engine กล่าวคือ มีการทำงานร่วมกับฐานข้อมูลขนาดใหญ่บน Cloud database

แต่ ณ เวลานั้น…XTM ตัวนี้ไม่มี APT Blocker ทำงานอยู่

และเมื่อไม่นานมานี้ พนักงานได้รับ e-mail ที่ (ดูเหมือนว่า) ส่งมาจากธนาคารกรุงเทพ ข้อความดังนี้

ถ้าเป็นซักปีที่แล้ว ไฟล์ที่แนบมากับ mail ก็จะเป็นไฟล์ virus ที่ถูก zip และส่งมา ซึ่ง XTM สามารถจะ unzip, scan และ Delete attachment ก่อนที่ e-mail จะเข้าถึง mailbox ของผู้ใช้ ซึ่ง XTM สามารถจะ unzip ลึกลงไปได้ถึง 5 ชั้น และ XTM ยังสามารถสแกนไฟล์ที่มีขนาดใหญ่ถึงระดับเมกะไบต์ได้

ไฟล์นี้ไม่ใช่ไวรัส

ไวรัสส่วนใหญ่มักมีขนาดเล็ก เพียงแต่ไม่กี่สิบกิโลไบต์ ความแปลกของไฟล์แนบนี้คือ มีขนาดใหญ่ถึง 250KByte นั่นก็เพราะมันไม่ใช่ไวรัส แต่เป็นโปรแกรมที่ออกแบบมาเพื่อการแทรกซึมเข้าไปในเครื่องของผู้ใช้ เซิร์ฟเวอร์ หรือเครือข่าย เพื่อหาข้อมูล และขโมยข้อมูลส่งออกไปให้กับผู้โจรกรรมข้อมูลภายนอก สิ่งที่น่าสนใจคือ ไฟล์แนบนี้ได้วิ่งทะลุผ่าน Antivirus บน XTM มาได้ ผ่านเข้ามาจนถึง Mailbox ของผู้ใช้ได้ในที่สุด

APT น่ากลัวกว่าไวรัส ร้ายแรงกว่า เสียหายหนักกว่า

ไวรัสมุ่งการทำลายข้อมูล ทำลายระบบ โจมตีเซิร์ฟเวอร์? หรือเปิดเผยช่องโหว่ของ OS อย่างมากก็ทำให้ระบบเสียหาย ข้อมูลเสียหาย หรืออาจจะแค่เสียเวลา เครื่องช้าก็แค่น่ารำคาญ

แต่ APT ซึ่งเป็นภัยคุกคามรูปแบบใหม่นี้ เน้นการขโมยข้อมูล การล้วงความลับ การฝังตัวอย่างเงียบ ๆ ในระบบ เพื่อเก็บข้อมูลต่าง ๆ ส่งออกไปเรื่อย ๆ โดยเฉพาะ Password สำหรับทำธุรกรรมทางธุรกิจ APT มีชื่อเรียกเต็ม ๆ ว่า Advanced Persistent Thread

APT เคยเป็นปฏิบัติการลับของรัฐบาลชาติหนึ่ง (การพัฒนาหนุนหลังโดยรัฐบาล) เพื่อโจมตีในทางลับกับระบบคอมพิวเตอร์ของอีกชาติหนึ่ง เป็นส่วนหนึ่งของปฏิบัติการตามยุทธการทางทหารหรือทางการเมือง เราคงเคยได้ยินเรื่องแบบนี้ไม่มากก็น้อยจากข่าวทั่ว ๆ ไปรวมถึงจาก WikiLeaks

เวลาผ่านไป เทคนิควิธีการแบบ APT กลายเป็นเครื่องมือให้กับผู้ร้ายนำมาใช้โจรกรรมข้อมูลจากภาคธุรกิจหรือจากองค์กรของรัฐบาลก็ตาม และนำข้อมูลนั้นไปประกอบอาชญากรรมอื่น ๆ

APT เลือกและเจาะจงเป้าหมาย มีปฏิบัติการที่ชัดเจน และมีคนคอย Operate อยู่เบื้องหลัง ดังนั้น APT มีความฉลาด มีทีมอาชญากรคอยเป็นผู้วิเคราะห์ข้อมูลที่ขโมยออกมา APT สร้างความเสียหายทางตรงกับธุรกิจ เสียหายทางการเงิน เสียชื่อเสียง สูญเสียความน่าเชื่อถือ และในทางกลับกัน สร้างผลกำไรมหาศาลให้กับคนร้ายอย่างตรงไปตรงมา หรือบางครั้งอาจเป็นปฏิบัติการล้างแค้น โจมตีตอบโต้ ก็เป็นได้ อย่างไรก็ดี เป็นการโจมตีที่มีการเลือกเป้าหมาย

ยกตัวอย่างเช่น การขโมย Password ของ hotmail เพื่อล้วงเข้าไปใน Mailbox ฉก Invoice ตัวจริง แล้วนำ Invoice นั้นมาปลอมแปลง เปลี่ยนแค่เลขที่บัญชีโอนเงิน และส่ง Invoice นั้นไปให้กับคู่ค้า เพื่อหลอกให้คู่ค้าโอนเงินไปเข้าอีกบัญชีหนึ่งของผู้ร้าย

คู่ค้าในอีกประเทศหนึ่ง ไม่มีโอกาสรู้ได้เลยว่า e-mail หรือ Invoice นั้นของปลอม เพราะ e-mail ถูกส่งออกจาก Account ตัวจริง (ที่ถูกขโมย password) ส่ง Invoice จริง (ที่แก้ไขเลขบัญชี) และ e-mail ก็ถูกส่งมาตามเวลาที่เกิด Transaction ของ shipment ที่เกิดขึ้นจริง ๆ ทั้งหมดนี้ คนร้ายอาจจะใช้เวลา Logon เข้า mailbox เพื่อเรียนรู้จังหวะเวลาของการส่งเอกสารไปมาระหว่างคู่ค้า และลงมือปฏิบัติการในช่วงเวลาที่เหมาะสม

มาดูว่า attach file ใน e-mail นี้ ทำงานอย่างไร

เมื่อแตกไฟล์ zip ออกมาก็จะได้ไฟล์ EXE อยู่ข้างใน สแกนด้วย Microsoft Security Essential ก็ไม่พบสิ่งผิดปกติ (signature ล่าสุด ณ วันที่ได้รับ e-mail นี้) ซึ่งเป็นเรื่องปกติของ APT ที่จะสามารถหลุดรอดจากการสแกนของ Virus scanner ทั่ว ๆ ไป แต่เมื่อส่งไฟล์นี้ไปสแกนด้วย APT scanner online ซึ่งมีอยู่หลายแห่ง

http://www.malware-analyzer.com/malware-auto-analysis

โดยสรุปคือ ไฟล์นี้มีการแทรกซึม Process ภายในของ Windows เช่น Explorer, cmd.exe เพื่อสร้างไฟล์ EXE (tetyin….exe) และมีการติดต่อกับ host ภายนอก (พบ DNS query ชื่อ globsocial.org) ยังไม่ทราบจุดประสงค์ว่า ติดต่อเพื่อนำข้อมูลเข้ามาเพิ่ม ครอบครองสิทธิ์ admin หรือส่งข้อมูลออก

เมื่อทราบเช่นนี้แล้วว่า APT มีความร้ายแรงอย่างไร จึงไม่มีการรอช้า ในวันรุ่งขึ้น ออพติมุสจึงได้อัพเกรด XTM ที่ใช้อยู่กับ Mail server ให้มีออพชั่น APT Blocker ในทันที

APT Blocker บน XTM เป็น Security feature ที่ต้องสั่งซื้อเพิ่ม คุ้มหรือไม่ ต้องนึกถึงความน่ากลัวของ APT และ APT Blocker สามารถตรวจจับได้มากแค่ไหน ดูได้จาก Firebox System Manager ในหัวข้อ Subscription services ตามรูปด้านล่าง

APT Blocker ที่ติดตั้งบน XTM ที่ออพติมุส ได้เริ่มทำงานเมื่อวันที่ 26 พฤศจิกายน 2014 และวันที่เก็บภาพนี้คือ 8 ธันวาคม 2014 หมายความว่า ภายในเวลาเพียง 13 วันเท่านี้ มี e-mail ที่แนบ APT ส่งเข้ามาที่ Mail server ของออพติมุสถึง 610 e-mail

ลองดูข้อมูลจาก Dimension ว่า 610 e-mail นี้ มี APT ตัวไหน แต่ละตัวมีฤทธิ์เดชอย่างไร ความเลวร้ายแบบเต็ม ๆ ดูได้จากไฟล์แนบ ด้านล่างนี้เป็นตัวอย่างฉบับย่อ

– Command & Control traffic observed
– Modifying System dlls in memory
– Disabling firewall or Windows Security Center or Windows Update or Antivirus
– Disabling User Account Control notification
– Creating executables masquerading system files (fake cmd.exe, for example)
– Reading system license info
– Read FTP client or Mail client credential
– Read browser stored credential
– Keystroke logging
– Attempting to download remote executable contents

ลองเอากิจกรรมข้างบนมาประกอบกันดูว่า เราอาจจะเร่ิมสงสัยว่า เราถูกขโมยอะไรออกไปบ้างแล้ว APT สามารถเริ่มทำงานได้เพียงแค่ User ลอง Double click ที่ attach file ที่มากับ e-mail เท่านั้น การโจรกรรมข้อมูลก็เริ่มต้นทันทีที่วินาทีนั้น

ข่าวดี ก็คือ ทั้งหมดนี้ APT Blocker สกัดเอาไว้ได้ทั้งหมด “ปลอดภัย หายห่วง”

ตื่นตัว ก่อนจะต้องตื่นตระหนก

ลองถามไปที่ผู้ให้บริการ Mailbox หรือหากคุณเป็น Mail admin เอง ลองตั้งคำถามว่า Antivirus ที่คุณใช้อยู่กับ Mail server มีความสามารถในการสแกนและสกัด APT ได้หรือไม่

APT ไม่ใช่เรื่องไกลตัว ไม่ใช่เรื่องเล่นกันแค่แสบ ๆ คัน ๆ แต่เป็นการขโมยจริง ปล้นจริง เสียหายจริง นับแสน นับล้าน เป็นการปล้นข้ามโลกที่ตามจับได้ยาก เรียกร้องค่าเสียหายจากใครไม่ได้ ทำให้องค์กรขาดความน่าเชื่อถือ เสียลูกค้า เสียคู่ค้า ดังนั้น ดีที่สุดที่เราจะทำได้คือ รู้ตัว ตื่นตัว และเตรียมตัว ซึ่งดีกว่าการ แก้ตัว และ รักษาตัว

เกร็ดเล็กเกร็ดน้อย: การตรวจจับ APT เขาทำกันอย่างไร

เนื่องจาก APT ไม่ได้ทำอันตรายกับระบบ ดังนั้น การพยายามค้นหา Code ที่เป็นภัยจากไฟล์ APT จึงเป็นวิธีที่ใช้ตรวจหาความเป็น APT ไม่ได้ หากจะเทียบกับการจับโจร APT ก็น่าจะเป็นโจรใส่สูทหน้าตาดี เดินเข้าหาเรา พูดคุยกับเราอย่างเป็นกันเอง โดยที่เราไม่รู้เลยว่า ทั้งหมดนั้นคือการล้วงความลับซึ่ง ๆ หน้า

การตรวจหา APT จึงเป็นการสร้างสภาพแวดล้อมของ OS ขึ้นมาปลอม ๆ (Virtual) และนำ APT file ไปทำงานในสภาพแวดล้อมที่ปลอมขึ้นมานั้น และรวบรวมว่า APT file นั้นทำอะไรกับระบบบ้าง เช่น มีการตรวจจับคีย์บอร์ด, มีการอ่านไฟล์ที่ Browser เก็บเอาไว้, มีการสร้าง process ขึ้นมา, มีการติดต่อกับอินเตอร์เน็ต นำข้อมูลเข้าจากที่ไหน หรือส่งข้อมูลออกไปที่ไหน และรวบรวมทั้งหมด มาวิเคราะห์หาพฤติกรรมที่ “ต้องสงสัย” หรือ “เข้าข่าย” ว่าเป็นการโจรกรรม

ในขณะเดียวกัน APT ก็ไม่โง่ แต่กลับฉลาดพอที่จะตรวจจับได้ว่า ขณะนี้มันกำลังทำงานอยู่ในสภาพแวดล้อมจริง หรือกำลังโดนแหกตาภายใต้สภาพแวดล้อมเทียม (Virtual) ให้เปิดเผยตัวเอง ดังนั้น APT detection ของแต่ละค่าย จึงมีความสามารถไม่เท่ากัน APT detection ที่เก่ง จะสามารถต้ม APT จนเปื่อย จนมันยอมเปิดเผยตัวเองออกมาอย่างหมดเปลือก

เมื่อได้ข้อสรุปว่า ไฟล์นั้นคือ APT ระบบตรวจจับก็จะเก็บ Checksum ของ file นั้นเอาไว้ เพื่อนำไปเป็น Signature ให้กับระบบอื่น ๆ นำไปสแกน APT ตัวนี้ได้อย่างรวดเร็ว