ເທັກນິກໃໝ່ຂອງ Hacker ໃຊ້ເຄື່ອງມື Digital Forensic ທີ່ເຊື່ອຖືໄດ້ເປັນ Backdoor

ໃນໂລກຂອງຄວາມປອດໄພທາງໄຊເບີ, ແຮກເກີກໍາລັງປັບປ່ຽນກົນລະຍຸດຢ່າງຕໍ່ເນື່ອງ. ແທນທີ່ຈະສ້າງມັລແວ (Malware) ໃໝ່ໆທີ່ສັບສົນ, ພວກເຂົາກໍາລັງຫັນມາໃຊ້ປະໂຫຍດຈາກເຄື່ອງມືທີ່ເປັນທີ່ຮູ້ຈັກກັນດີແລະເຊື່ອຖືໄດ້ ເພື່ອເຈາະເຂົ້າລະບົບ. ເທັກນິກໃໝ່ນີ້ແມ່ນການໃຊ້ ເຄື່ອງມື Digital Forensic ແລະ Incident Response (DFIR) ທີ່ຖືກສ້າງຂຶ້ນມາເພື່ອຊ່ວຍຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພໃນການສືບສວນອາຊະຍາກໍາທາງໄຊເບີ. ແຕ່ແຮກເກີໄດ້ປ່ຽນແປງຈຸດປະສົງຂອງມັນເພື່ອເປັນ backdoor ໃນການໂຈມຕີ.

ເປັນຫຍັງການໂຈມຕີແບບນີ້ຈຶ່ງອັນຕະລາຍ?

ກົນລະຍຸດນີ້ເປັນອັນຕະລາຍຢ່າງຍິ່ງຍ້ອນສອງເຫດຜົນຫຼັກ:

1. ຫຼີກເວັ້ນການກວດຈັບ: ເຄື່ອງມື DFIR ເປັນຊອບແວທີ່ຖືກຕ້ອງຕາມກົດໝາຍແລະຖືກໃຊ້ໂດຍທີມງານຄວາມປອດໄພຂອງອົງກອນ. ດັ່ງນັ້ນ, ລະບົບປ້ອງກັນໄວຣັສ (Antivirus) ແລະຊອບແວ Endpoint Detection and Response (EDR) ຕ່າງໆ ຈຶ່ງມັກຈະໃຫ້ການຍອມຮັບແລະບໍ່ກວດຈັບວ່າມັນເປັນໄພຄຸກຄາມ. ເມື່ອແຮກເກີໃຊ້ເຄື່ອງມືເຫຼົ່ານີ້, ພວກເຂົາຈະສາມາດເຄື່ອນໄຫວໃນເຄືອຂ່າຍໄດ້ໂດຍບໍ່ຖືກກວດພົບ, ຄືກັບການຍ່າງເຂົ້າໄປໃນອາຄານດ້ວຍກະແຈຂອງຕົນເອງ.
2. ເຂົ້າເຖິງລະບົບໄດ້ຢ່າງເລິກເຊິ່ງ: ເຄື່ອງມືເຫຼົ່ານີ້ຖືກອອກແບບມາເພື່ອເຂົ້າເຖິງຂໍ້ມູນລະອຽດອ່ອນຂອງລະບົບຄອມພິວເຕີ, ເຊັ່ນ: ບັນທຶກການໃຊ້ງານ (logs), ຂໍ້ມູນໃນໜ່ວຍຄວາມຈຳ (memory dumps) ແລະໄຟລ໌ຕ່າງໆ. ເມື່ອແຮກເກີໃຊ້ເຄື່ອງມືເຫຼົ່ານີ້, ພວກເຂົາກໍຈະມີສິດເຂົ້າເຖິງຂໍ້ມູນທີ່ສຳຄັນທີ່ພວກເຂົາຕ້ອງການໄດ້ຢ່າງສົມບູນ.

ກໍລະນີສຶກສາ: ກຸ່ມແຮກເກີ Nobelium

ກຸ່ມແຮກເກີທີ່ຮູ້ຈັກກັນໃນຊື່ Nobelium ຫຼື APT29 ເຊິ່ງເປັນກຸ່ມທີ່ສະໜັບສະໜູນໂດຍລັດ, ໄດ້ຖືກກວດພົບວ່າໃຊ້ກົນລະຍຸດນີ້. ພວກເຂົາໄດ້ຫຼອກໃຫ້ເປົ້າໝາຍຕິດຕັ້ງເຄື່ອງມື Digital Forensic ທີ່ຖືກຕ້ອງຕາມກົດໝາຍເຊິ່ງມັກຈະໃຊ້ໃນການທົດສອບຄວາມປອດໄພຂອງລະບົບ ແຕ່ພວກເຂົາກັບນຳໄປໃຊ້ເພື່ອເປັນBackdoor ໃນການລັກລອບຂໍ້ມູນ. ນີ້ສະແດງໃຫ້ເຫັນເຖິງການພັດທະນາຂອງການໂຈມຕີທາງໄຊເບີ ທີ່ປ່ຽນຈາກການໂຈມຕີທີ່ສ້າງສຽງດັງມາເປັນການລັກລອບແບບງຽບໆ.

ວິທີປ້ອງກັນຕົວເອງ

ເພື່ອປ້ອງກັນການໂຈມຕີແບບນີ້, ອົງກອນຕ່າງໆຈໍາເປັນຕ້ອງປ່ຽນແນວຄິດຈາກການປ້ອງກັນໄຟລ໌ທີ່ເປັນອັນຕະລາຍມາເປັນການຕິດຕາມພຶດຕິກຳທີ່ຜິດປົກກະຕິແທນ. ວິທີປ້ອງກັນທີ່ສໍາຄັນປະກອບມີ:

• ການຄວບຄຸມການເຂົ້າເຖິງ: ໃຊ້ການຢືນຢັນຕົວຕົນແບບຫຼາຍປັດໄຈ (MFA) ສຳລັບທຸກບັນຊີ, ໂດຍສະເພາະບັນຊີທີ່ມີສິດທິພິເສດສູງ.
• ຕິດຕາມກວດກາພຶດຕິກຳ: ນອກເໜືອຈາກການກວດຈັບມັລແວ, ລະບົບປ້ອງກັນຄວນຕິດຕາມພຶດຕິກຳທີ່ບໍ່ຄຸ້ນເຄີຍຂອງໂປຣແກຣມ, ຕົວຢ່າງ: ການໃຊ້ເຄື່ອງມື DFIR ເພື່ອເຂົ້າເຖິງຂໍ້ມູນທີ່ບໍ່ຈຳເປັນໃນໄລຍະເວລາທີ່ຜິດປົກກະຕິ.
• ໃຫ້ຄວາມຮູ້ພະນັກງານ: ໃຫ້ຄວາມຮູ້ແກ່ພະນັກງານກ່ຽວກັບການໂຈມຕີແບບຟິຊຊິ້ງ (Phishing) ແລະການຫຼອກລວງອື່ນໆທີ່ອາດຈະເຮັດໃຫ້ພວກເຂົາຕິດຕັ້ງຊອບແວທີ່ແຮກເກີໃຊ້.