5 แนวทางรับมือมัลแวร์เรียกค่าไถ่แฝงใน “มาโคร”

ทุกวันนี้คงต้องบอกว่าอาชญากรอินเทอร์เน็ตต่างพยายามหาวิธีการใหม่ๆ ในการเล่นงานภาคธุรกิจ ซึ่งการใช้ชุดคำสั่งมาโคร (Macro) แฝงมัลแวร์ก็เป็นอีกวิธีหนึ่งที่แฮกเกอร์เหล่านี้เลือกใช้

โปรแกรมอีเมลและเว็บเบราว์เซอร์เป็นแอปพลิเคชันเบอร์ต้นๆ ที่มักตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่เหล่านี้ หากมองในแง่ขององค์กร บริษัทที่ต้องการป้องกันการถูกฟิชชิ่ง และ Spear Phishing นั้นมักจะควบคุมการไหลเข้าออกของอีเมลด้วยตัวเอง แต่ปัญหาที่ใหญ่กว่านั้นก็คือมัลแวร์เรียกค่าไถ่หรือ Ransomware สามารถก้าวข้ามการตรวจตรานั้นด้วยการแฝงตัวไปกับชุดคำสั่งมาโครของ Microsoft Office

001

การสำรวจล่าสุดของบริษัทผู้พัฒนาโซลูชันระบบรักษาความปลอดภัยอย่าง Mimecast พบว่า มีการโจมตีโดยใช้เทคนิคดังกล่าวเพิ่มขึ้นอย่างมาก โดยมีองค์กรมากถึง 50% พบการโจมตีโดยการแนบมาโครมาใน Attachment ของอีเมล และพบการโจมตีโดยใช้เทคนิคทางจิตวิทยาหลอกล่อให้ผู้ใช้งานรันมาโครสูงถึง 44%

“แฮกเกอร์ในปัจจุบันมองว่าการใช้ชุดคำสั่งมาโครสามารถเลี่ยงการตรวจสอบของระบบรักษาความปลอดภัยบนโปรแกรมจัดการอีเมลทั่วไปได้ โดยเฉพาะเมื่อใช้ร่วมกับเทคนิคทางจิตวิทยาในการหลอกให้ผู้ใช้งานรันมาโครนั้นๆ เอง” ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้จาก Mimecast กล่าว

Cerber เป็น Ransomware ที่แฝงตัวอยู่ในมาโครที่คลาสสิกมากตัวอย่างหนึ่งโดยแฮกเกอร์สามารถหาเครื่องมือในการสร้างได้จากเว็บผิดกฎหมายทั้งหลาย ซึ่งโดยทั่วไปแล้วเมื่อมีการกระจายตัวเข้าสู่ระบบเครือข่าย มันจะเข้าไปล็อกไฟล์ข้อมูลอย่างรวดเร็ว ชนิดที่ผู้เชี่ยวชาญด้านซีเคียวริตี้ไม่มีโอกาสจะหยุดยั้งได้เลย

การโจมตีโดย Ransomware ในช่วงไม่นานมานี้เป็นสิ่งที่องค์กรต่างๆ ควรให้ความสำคัญ วิธีการป้องกันการโจมตีของมัลแวร์แบบฝังมากับมาโครอย่างมีประสิทธิภาพอาจต้องใช้เทคโนโลยีด้าน e-Mail Security ในการวิเคราะห์ลิงก์ และไฟล์แนบของอีเมลแบบเรียลไทม์

สำหรับผู้ที่กังวลกับภัยคุกคามดังกล่าว มีคำแนะนำ 5 ข้อเกี่ยวกับการสกัดการแพร่กระจายของมัลแวร์ที่ฝังมาในชุดคำสั่งมาโคร ดังนี้

1. ยกเลิกการทำงานของ Macro
องค์กรต้องกำหนดนโยบายให้ชัดเจนว่า ไม่อนุญาตให้มีการรันมาโครได้โดยอัตโนมัติ เนื่องจากโปรแกรม Microsoft Office เวอร์ชันเก่าๆ จะรันมาโครที่ฝังอยู่ในเอกสารโดยไม่ขออนุญาต หรือแจ้งให้ผู้ใช้งานทราบ ส่วนการอัปเกรดมาใช้ Office 2013 หรือ Office 2016 ก็สามารถลดปัญหาลงได้เช่นกัน อย่างไรก็ดี ใช่ว่าจะป้องกันได้ 100% เพราะอาชญากรอินเทอร์เน็ตเองก็เตรียมหาทางออกอื่นไว้แล้ว โดยอาจเปลี่ยนไปใช้เทคนิคทางจิตวิทยาแทน เพื่อกระตุ้นให้ผู้ใช้งานทำการรันมาโครให้แทน

นอกจากนั้นก็มีคุณสมบัติ Protected  View ที่ไมโครซอฟท์พัฒนาขึ้นเพื่อป้องกันผู้ใช้งานจากการรันโค้ดโดยอัตโนมัติ อย่างไรก็ดี อาชญากรอินเทอร์เน็ตก็สามารถใช้เทคนิคหลอกล่อให้ผู้ใช้งานทำการปิดคุณสมบัตินี้ได้เช่นกัน จากนั้นจึงค่อยหลอกให้รันมาโครในภายหลัง

การกำหนดนโยบายสั่งห้ามรันมาโครของผู้บริหารองค์กรจึงถือเป็นแนวทางป้องกันการโจมตีที่เป็นรูปธรรมที่สุด เว้นเสียแต่ว่า องค์กรจะระบุตัวพนักงานได้เลยว่า ใครจำเป็นต้องใช้งานมาโครบ้าง แต่โดยทั่วไปแล้ว ก็เป็นเรื่องที่สมเหตุสมผลที่จะสั่งปิดฟังก์ชันการรันมาโครโดยอัตโนมัติ เพราะเท่ากับช่วยลดความเสี่ยง และโอกาสที่จะถูก Ransomware โจมตีได้นั่นเอง

002

2.ใช้งานเฉพาะแอปพลิเคชันที่จำเป็น
อาชญากรอินเทอร์เน็ตทราบดีว่า องค์กรส่วนใหญ่มีการใช้งานโปรแกรม Microsoft  Word และ Microsoft Excel เป็นหลัก จึงทำให้ไฟล์ Word ที่มีนามสกุล .doc และ .docx หรือไฟล์ Excel ที่มีนามสกุล .xls และ .xlsx เป็นไฟล์ที่อาชญากรอินเทอร์เน็ตมักใช้ในการลักลอบเผยแพร่มัลแวร์นี่จึงเป็นอีกเหตุผลหนึ่งที่ว่าทำไมจึงควรยกเลิกการใช้มาโคร หากเป็นไปได้

3.เปิดใช้งาน e-Mail Attachment Sandboxing
องค์กรจำนวนมากยังคงเน้นการรักษาความปลอดภัยของอีเมลที่เกตเวย์ ซึ่งไม่มีผลต่อมาโครที่แฝงไวรัสร้ายมาด้วย เนื่องจากไม่มีจุดสังเกตใดๆ ที่แสดงให้เห็นว่ามีโค้ดร้ายซ่อนอยู่ในมาโครขณะมีการส่งไฟล์นั้นผ่านเข้ามาทางเกตเวย์เลย ดังนั้น โปรแกรมแอนติไวรัสที่คอยทำการสแกน ณ บริเวณเกตเวย์ก็จะไม่สามารถตรวจพบภัยร้ายเหล่านี้ได้นั่นเอง

วิธีลดความเสี่ยงจากภัยดังกล่าวได้ผลอย่างมากที่สุดก็คือการรันผ่าน Sandbox ซึ่งเป็นพื้นที่ปลอดภัยสำหรับช่วยรันไฟล์แนบที่มากับอีเมล การใช้ Sandbox นั้นจะทำให้เห็นตัวตนของไฟล์ที่แนบมาว่ามันพยายามจะดาวน์โหลดไฟล์ .exe หรือ .msi หรือไม่ และหากพบพฤติกรรมดังกล่าว เราก็จะบล็อกไฟล์เหล่านั้นได้ทัน

4. ปลด Active Code ที่อีเมลเกตเวย์
หากองค์กรรู้สึกว่า การใช้ Sandbox จะสิ้นเปลืองทรัพยากรระบบมากเกินไป ทางเลือกอีกทางหนึ่งก็คือดึงมาโครหรือ Active Code ดังกล่าวออกจากไฟล์เอกสารที่แนบมากับอีเมล ตั้งแต่ที่อีเมลเกตเวย์เสียเลย

“โค้ดมาโครในไฟล์เอกสารสามารถแยกการทำงาน และเริ่มต้นโปรเซสใหม่ได้ที่เครื่องของผู้ใช้ ซึ่งหากเขียนโค้ดมาโครมาอย่างดีผู้เขียนก็สามารถซ่อนลิงก์สำหรับการดาวน์โหลดไว้ได้อย่างแนบเนียน” ผู้เชี่ยวชาญจาก Mimecast ชี้แนะ

การแปลงไฟล์ให้อยู่ในรูปแบบไฟล์ที่ปลอดภัยเป็นวิธีที่จะมั่นใจได้มากที่สุดว่าโค้ดร้ายต่างๆ ถูกลบออกไปแล้ว และไม่ได้ใช้เวลามากมาย เพียงแต่ไฟล์ที่พนักงานได้รับจะเป็นไฟล์ที่ไม่มี Active Code แล้วเท่านั้นเอง หรือในกรณีที่พนักงานต้องการไฟล์ต้นฉบับ ก็สามารถนำไฟล์ต้นฉบับไปเปิดใน Sandbox ก่อน เพื่อตรวจสอบว่ามีโค้ดร้ายมาด้วยหรือไม่ กระบวนการนี้สามารถปลดโค้ดร้ายที่อาจมากับไฟล์แนบ แถมยังไม่กระทบกับประสิทธิภาพโดยรวมของเซิร์ฟเวอร์ด้วย

5. อบรมให้ความรู้
การอบรมให้ความรู้ด้านซีเคียวริตี้เป็นหน้าที่ขององค์กร แต่บางครั้ง ตัวพนักงานเองแม้จะได้รับการอบรมแล้ว เมื่อเจอสถานการณ์จริงก็อาจอะลุ่มอล่วยจนเกิดปัญหาตามมาได้มากมาย

การศึกษาของ Mimecast สนับสนุนความจริงข้อนี้ โดยมีผู้ตอบแบบสอบถามถึง 67% ยอมรับว่าไม่มั่นใจว่าพนักงานของตนเองจะสามารถสังเกตถึงการโจมตีโดยใช้มาโครได้หรือไม่

คำตอบนี้เป็นผลมาจากระดับของการอบรมให้ความรู้ที่ไม่เพียงพอและขาดความถี่ที่เหมาะสม การอบรมจึงเป็นสิ่งที่ควรทำด้วยความสนใจ เอาใจใส่ เพื่อให้พนักงานเกิดความตระหนักในภัยด้านระบบรักษาความปลอดภัย

Related posts:

Digital Economy หนุนอุตสาหกรรมไอทีไทยสู่อาเซียน
ผู้เชี่ยวชาญเตือน “ภัยคุกคามการเงิน” บุกเอเชียแปซิฟิก
NIFTYX เปลี่ยนเพาเวอร์แบงค์ให้กลายเป็นสร้อยข้อมือสุดเท่ห์
ด่วน!!! ระบบไอทีของ NHS หน่วยงานดูแลระบบสุขภาพของอังกฤษถูกจู่โจมครั้งประวัติศาสตร์
ประโยชน์ที่ธุรกิจได้รับจากบล็อกเชน
Zyxel ประกาศเปิดตัวผู้จัดการประจำประเทศไทยคนแรก พร้อมยกทัพโซลูชั่นระบบเครือข่ายลุยตลาด SMB และเอ็นเท...

Leave a Reply

Top
ปิดโหมดสีเทา