Skip to content

WatchGuard เผยการจัดการ malware ในรูปแบบเดิมทำให้ระบบมีโอกาสติด malware เพิ่มมากขึ้นถึง 75%

WatchGuard Technologies ผู้นำด้านระบบซิเคียวริตี้อัจฉริยะ, multi-factor authentication (MFA), advanced endpoint protection และ Secure WiFi ออกรายงานฉบับล่าสุดผ่าน Internet Security Report Q1/2021 โดยพบว่า การจัดการ malware ในรูปแบบเดิม (Signature-based) ตรวจไม่พบ malware ที่ออกมาในรุ่นใหม่ๆ สูงถึง 75% อีกทั้งรายงานฉบับนี้ยังพูดถึงภัยคุกคามใหม่ๆ ที่เกิดขึ้นในระบบ อัตราการเข้าจู่โจม วิธีการโจมตี การใช้ช่องโหว่ในในการโจมตี รวมถึงสถานะมัลแวร์ล่าสุดอีกด้วย

“จากข้อมูลพบว่า Zero day Malware มีอัตราการตรวจพบสูงมากในไตรมาสที่ผ่านมา โดยเฉพาะอย่างยิ่งหลุดจากระบบการตรวจสอบไวรัส มัลแวร์ ด้วยวิธีการดั้งเดิม (Signature-based) ซึ่งเป็นสัญญานที่สำคัญที่องค์กรต้องตระหนักถึงภัยในรูปแบบมัลแวร์ที่มีการพัฒนาขึ้น การจัดการที่เคยได้ผล ก็อาจไม่ได้ผลอีกต่อไป” Corey Nachreiner, chief security officer จาก WatchGuard กล่าวย้ำ “องค์กรที่ตระหนักถึงภัยคุกคามในรูปแบบใหม่ๆ ควรคำนึงถึงระบบรักษาความปลอดภัยทางไซเบอร์ที่ประกอบไปด้วย Machine Learning และ behavioral Analysis ต่างๆ ที่จะช่วยให้การตรวจพบและการป้องกันการโจมตีจากมัลแวร์เหล่านั้น เป็นไปได้อย่างมีประสิทธิภาพสูงสุด”

นอกจากนั้น ในรายงานยังพูดถึงประเด็นต่างๆ เพิ่มเติมดังนี้

  • มัลแวร์แบบที่เรียกว่า Fileless ผุดขึ้นเป็นอันมาก โดยเฉพาะไตรมาสที่ผ่านมา โดย JSLoader เป็น malware ที่มีการตรวจพบสูงสุด รวมถึงพบการแพร่กระจายสูงสุด โดยการตรวจ พบกว่า XML external entity (XXE) จะเข้าไปรันคำสั่ง ที่ Local PowerShell execution policy และ non-interactive way ซึ่งผลคือ มัลแวร์ดังกล่าวจะพรางตัวในระบบโดยไม่สามารถตรวจพบได้ ซึ่งลักษณะของ malware ดังกล่าวต้องจัดการด้วยเทคโนโลยีรูปแบบใหม่ขั้นสูงเท่านั้น
  • Ransomware มาในรูปแบบของไฟล์แนบ pdf ปลอม โดย WatchGuard พบว่า Zmuty ซึ่งเป็น ransomware loader ถูกตรวจพบเป็นอันดับต้นๆ ในไตรมาสที่ผ่านมา โดยเหยื่อจะถูกหลอกให้เปิดไฟล์ Zip ที่มาในรูปแบบของไฟล์แนบที่เป็น pdf ซึ่งถูกปลอมผ่านเทคนิคอันแยบยล อาทิ ใช้ comma แทน จุด พร้อมทั้งเปลี่ยนภาพไอคอนให้เป็นรูปแบบไฟล์ pdf และเมื่อเหยื่อพลาด ก็จะทำให้ถูกโจมตีในที่สุด ซึ่งการให้ความรู้ รวมถึงความพร้อมในการ backup ข้อมูลต่างๆ จะช่วยให้รอดหรือแก้ไขจากการโจมตีนี้ได้
  • IoT ถูกโจมตี โดยมัลแวร์ดังกล่าว จะเปลียน IoT เป็น bot เพื่อใช้ในการโจมตีระบบ โดยเฉพาะมัลแวร์ในกลุ่ม Ngioweb.B variant ซึ่งในเวอร์ชั่นแรกที่ออกมาใช้เพื่อโจมตีช่องโหว่ใน WordPress ที่ลงบน Linux
  • การโจมตีเครือข่ายมีเพิ่มขึ้นกว่า 20% เมื่อเทียบกับไตรมาสก่อนหน้า WatchGuard ตรวจพบการโจมตีบนเครือข่ายมากกว่า 4 ล้านครั้ง เพิ่มขึ้น 21% เมื่อเทียบกับไตรมาสก่อนหน้าและเป็นปริมาณสูงสุดนับตั้งแต่ต้นปี 2018 เซิร์ฟเวอร์และเวปไซต์ยังคงเป็นเป้าหมายสูงสุดสำหรับผู้โจมตี
  • เทคนิคการโจมตีผ่านไดเรกทอรีแบบเก่ากลับมาอีกครั้ง WatchGuard ตรวจพบผ่านการโจมตีในฟอร์แมตที่เป็น CAB ไฟล์ โดยการโจมตีมาในรูปแบบที่จะหลอกให้เหยื่อเปิด CAB ไฟล์ที่เป็น malware รวมถึงมาในรูปแบบของเครื่องพิมพ์ที่หลอกให้ลง driver ที่ไว้ใช้งานกับ CAB ไฟล์เป็นต้น (.CAB เป็นไฟล์บีบอัดที่ไว้เก็บข้อมูลการติดตั้ง Windows รวมถึง driver ของอุปกรณ์ต่างๆ – ผู้เรียบเรียง)
  • HAFNIUM zero days (HAFNIUM เป็นกลุ่มแฮกเกอร์จากจีน – ผู้เรียบเรียง) โดยทาง Microsoft มีรายงานแจ้งว่า HAFNIUM ใช้ช่องโหว่ที่อยู่บน Microsoft Exchange เข้ามาเพื่อขโมยข้อมูล ซึ่ง Microsoft ได้ทำการออก patch มาเพื่อจัดการช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว ฉะนั้นจากเหตุการณ์จะพบว่า การ update patch อย่างต่อเนื่อง จะเป็นอีกวิธีการหนึ่งที่จะช่วยทำให้ระบบของเรามีความปลอดภัยมากขึ้น
  • อาชญากรไซเบอร์ใช้มัลแวร์เพื่อการขุคคริปโต ในไตรมาส 1 ที่ผ่านมา DNSWatch ตรวจพบมัลแวร์ที่พยายามเจาะเข้ามาในระบบเพื่อให้ระบบทำการขุดคริปโต ซึ่งทำให้ระบบที่ถูกโจมตี ถูกดึง CPU ไปทำงานในเรื่องดังกล่าว ส่งผลต่อระบบที่ช้าลง และไม่มีประสิทธิภาพ

ทั้งนี้ WatchGuard’s quarterly research อิงข้อมูลต่างๆ มาจาก Firebox Feed ที่ไม่เปิดเผยชื่อจาก WatchGuard Firebox ที่ใช้งานอยู่ทั่วโลก ซึ่งเจ้าของได้ยินยอมที่จะแชร์ข้อมูลเพื่อสนับสนุนความพยายามในการวิจัยของ Threat Lab โดยในไตรมาสที่ 1 WatchGuard บล็อกมัลแวร์ไปแล้วมากกว่า 17.2 ล้านตัว (461 ต่ออุปกรณ์) และภัยคุกคามเครือข่ายอื่นๆ อีกเกือบ 4.2 ล้านตัว (113 ต่ออุปกรณ์) รายงานฉบับเต็มประกอบด้วยรายละเอียดเพิ่มเติมเกี่ยวกับมัลแวร์และแนวโน้มเครือข่ายเพิ่มเติมจากไตรมาสที่ 1 ปี 2564 การวิเคราะห์โดยละเอียดของช่องโหว่ HAFNIUM Microsoft Exchange Server และเคล็ดลับการป้องกันที่สำคัญสำหรับผู้อ่าน

ออพติมุสเราพร้อมให้คำปรึกษาแก่หน่วยงานที่ต้องการคำแนะนำในเรื่องโซลูชั่นด้านความปลอดภัยให้เหมาะสมกับหน่วยงานของท่านติดต่อแผนก Marketing

Tel : 02-2479898 ต่อ 87 

สินค้าที่เกี่ยวข้อง

  • WatchGuard Endpoint Security

    ยกระดับการป้องกันการถูกแฮกระบบ หยุดการคุกคามจากมัลแวร์ทั้งที่รู้จักและไม่รู้จัก

    Endpoint Security, Security, WatchGuard
  • WatchGuard Firewall Appliances

    Next-generation Firewall ที่ถูกออกแบบมาครบถ้วนด้วยฟีเจอร์ด้านความมั่นคงปลอดภัยในอุปกรณ์เดียว

    Firewall Appliances, Security, WatchGuard

เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิชัย ปริญญานุสรณ์

SHARE TO:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email