รายงานสถานะความปลอดภัยบนอินเทอร์เน็ตประจำไตรมาสที่ 2 ของปี 2017 / รายงานสถานะความปลอดภัยวิเคราะห์การกลับมาของมัลแวร์ PBOT; การสร้างสุ่มชื่อโดเมนด้วยเทคนิค; ความสัมพันธ์ระหว่างคำสั่งและการควบคุม Mirai และเป้าหมายการโจมตี

Cambridge Mass. จากรายงานสถานะความปลอดภัยไตรมาสที่ 2 ในปี 2017 ที่เผยแพร่โดย Akamai Technologies Inc. ข้อมูลใหม่ล่าสุดแสดงให้เห็นว่าการโจมตีแบบ Distributed Denial of Service (DDoS) และการโจมตีบนเว็บไซต์ได้กลับมาอีกครั้ง  และมัลแวร์ Pbot DDoS มีบทบาทสำคัญสำหรับการกลับมาครั้งนี้ ในฐานะรากฐานสำคัญในการโจมตีแบบ DDoS ที่แข็งแกร่งที่สุด

Akamai ได้สำรวจในไตรมาสที่ 2 เกี่ยวกับกรณีของ Pbot ผู้ประสงค์ร้ายเลือกใช้รหัส PHP อายุนานหลายสิบปี เพื่อสร้างการโจมตีแบบ DDoSครั้งรุนแรงที่สุด ผู้โจมตีสามารถสร้าง Botnet DDoS ขนาดเล็ก แต่สามารถปล่อยการโจมตี DDoS ในอัตรา 75 กิกะบิตต่อวินาที (Gbps)  ที่น่าสนใจคือ Botnet Pbot ประกอบไปด้วยโหนดขนาดเล็กจำนวน 400 ตัว แต่ยังสร้างการโจมตีระดับมหึมาได้

อีกประเด็นเกี่ยวกับ “เรื่องเก่าเล่าใหม่” ได้รับการอธิบายโดยการวิเคราะห์การใช้งานของการสร้างสุ่มชื่อโดเมนด้วยเทคนิค (DGA) ในโครงสร้างพื้นฐานการควบคุมและสั่งการมัลแวร์ (C2) ของทีมวิจัยภัยคุกคามของ Akamai แม้จะเปิดตัวพร้อมกับ Conficker Worm ในปี 2008 DGA ยังคงเป็นวิธีการสื่อสารที่ถูกใช้งานบ่อยสำหรับมัลแวร์ในยุคปัจจุบัน ทางทีมได้พบว่าเครือข่ายที่ได้รับความเสียหาย สร้างอัตรา DNS lookup ที่มากกว่าเครือข่ายปลอดมัลแวร์ถึงประมาณ 15 เท่า สิ่งนี้สามารถอธิบายได้ว่าเป็นผลลัพธ์ของการเข้าถึงโดเมนที่สุ่มสร้างขึ้นโดยมัลแวร์บนเครือข่ายที่ติดมัลแวร์ เมื่อโดเมนส่วนใหญ่ที่สร้างขึ้นโดยไม่มีการลงทะเบียน การพยายามเข้าถึงโดเมนเหล่านั้นทั้งหมดอาจก่อให้เกิดสัญญาณรบกวนจำนวนมากได้ การวิเคราะห์ความแตกต่างระหว่างคุณลักษณะเชิงพฤติกรรมของเครือข่ายที่ติดมัลแวร์และเครือข่ายที่ปลอดมัลแวร์คือหนึ่งในวิธีที่สำคัญในการระบุกิจกรรมของมัลแวร์

เมื่อมีการค้นพบ Botnet Mirai เมื่อกันยายนปีที่แล้ว Akamai คือหนึ่งในเป้าหมายแรก แต่แพลตฟอร์มของบริษัทยังมีประสิทธิภาพในการป้องกันการโจมตีของ Botnet Mirai ตั้งแต่นั้นมา นักวิจัยของ Akamai ได้ใช้ข้อมูลของ Mirai จากการค้นพบ เพื่อเรียนรู้หลายๆ แง่มุมที่แตกต่างกันของ Botnet ในไตรมาสที่สองนี้ โดยเฉพาะโครงสร้างพื้นฐาน C2  นักวิจัยของ Akamai มั่นใจในการบ่งชี้ว่า Mirai ซึ่งเหมือนกับ Botnet ชนิดอื่นๆ มีส่วนร่วมในการที่ DDoS กลายเป็นสิ่งที่สามารถผลิตได้ง่าย ในขณะที่ตัวโหนด C2 ของ Botnet ได้รับการสำรวจว่าได้กระทำ “การโจมตีแบบเฉพาะ” ต่อ IP ที่ถูกเลือก จำนวนที่มากไปกว่านั้นถูกบันทึกว่ามีส่วนร่วมในการโจมตีแบบ “จ่ายต่อครั้ง” ในสถานการณ์ลักษณะนี้ ตัวโหนด Mirai C2 ได้รับการสำรวจว่าโจมตี IP ในระยะเวลาสั้นๆ หยุดการทำงาน และกลับมาอีกครั้งเพื่อโจมตีเป้าหมายใหม่

 

“ผู้โจมตีจะสังเกตุจุดอ่อนขององค์กร ยิ่งองค์กรอันเป็นที่รู้จัก และยิ่งมีความเสี่ยงมากเท่าใด เหล่าผู้โจมตีจะยิ่งทุ่มเทพลังและทรัพยากรเพื่อโจมตีมากเท่านั้น” ผู้สนับสนุนด้านความปลอดภัยอาวุโส Martin McKeay กล่าว “เหตุการณ์แบบ Botnet Mirai การแสวงหาผลประโยชน์ที่ใช้งานโดย WannaCry และ Petya การกลับมาอย่างต่อเนื่องของการโจมตีแบบ SQLi และการกลับมาอีกครั้งของ Pbot เหล่านี้แสดงให้เห็นว่าผู้โจมตีจะไม่เพียงเปลี่ยนไปใช้เครื่องมือใหม่ๆ แต่ยังจะกลับมาใช้เครื่องมือเก่าๆ ที่ได้ถูกพิสูจน์แล้วว่าเปี่ยมไปด้วยประสิทธิภาพ”

ตามขั้นตอน:

ประเด็นการค้นพบที่สำคัญต่างๆ จากรายงานได้แก่:

  • จำนวนตัวเลขของการโจมตีแบบ DDoS ในไตรมาสที่ 2 เพิ่มขึ้น 28 เปอร์เซ็นต์อัตราไตรมาสต่อไตรมาส และลดลงในอีกสามไตรมาสต่อมา
  • เหล่าผู้โจมตี DDoS มีความมุ่งมั่นมาก ในการโจมตีเป้าหมายโดยเฉลี่ย 32 ครั้งต่อไตรมาส บริษัทเกมแห่งหนึ่งถูกโจมตีเป็นจำนวน 558 ครั้ง หรือประมาณ 6 ครั้งต่อวันโดยเฉลี่ย
  • อียิปต์คือประเทศต้นกำเนิดที่จำนวน IP แอดเดรสถูกใช้ในการโจมตีรูปแบบ DDoS มากที่สุดในโลกหรือ 32 เปอร์เซ็นต์จากอัตราทั่วโลก เมื่อไตรมาสที่แล้ว สหรัฐอเมริกาถือครองตำแหน่งนั้น และอียิปต์ยังไม่ติดหนึ่งในห้า
  • อุปกรณ์ที่ใช้ในการโจมตี DDoS ลดลงในไตรมาสนี้ จำนวนตัวเลขของ IP แอดเดรสที่มีส่วนร่วมในการโจมตี DDoS จำนวนมากลดลง 98 เปอร์เซ็นต์จาก 595,000 เหลือ 11,000
  • อัตราการเกิดของการโจมตีบนเว็บไซต์เพิ่มขึ้น 5 เปอร์เซ็นต์ในอัตราไตรมาสต่อไตรมาส และ 28 เปอร์เซ็นต์ในอัตราปีต่อปี
  • การโจมตีรูปแบบ SQLi ถูกใช้มากกว่าครึ่ง (51 เปอร์เซ็นต์) บนเว็บไซต์ในไตรมาสนี้ เพิ่มขึ้น 44 เปอร์เซ็นต์จากไตรมาสที่แล้ว เป็นตัวเลขเกือบ 185 ล้านการเตือนแค่จากในไตรมาสที่สองนี้

 

ดาวน์โหลดรายงานสถานะความปลอดภัยบนอินเทอร์เน็ตประจำไตรมาสที่ 2 ปี 2017 ได้ฟรีที่ https://akamai.me/2i9vrdzและดาวน์โหลดตารางและกราฟรวมถึงข้อมูลที่เกี่ยวข้องได้ที่ https://akamai.me/2w6mI1v

ระเบียบวิธี

รายงานสถานะความปลอดภัยไตรมาสที่ 2 ในปี 2017 ของ Akamai รวบรวมข้อมูลการโจมตีจากโครงสร้างของ Akamai ทั่วโลกและนำเสนอการวิจัยของทีมงานหลายทีมทั้งบริษัท รายงานนี้มอบการวิเคราะห์ของ Cloud Security ณ ปัจจุบันและสถานการณ์ภัยอันตราย รวมไปถึงข้อมูลเชิงลึกเกี่ยวกับแนวโน้มการโจมตีโดยใช้ข้อมูลที่รวบรวมมาจากแพลตฟอร์มอัจฉริยะของ Akamai ผู้สนับสนุนรายงานสถานะความปลอดภัยได้แก่ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยจากทั่วทั้ง Akamai รวมไปถึง Security Intelligence Response Team (SIRT) หน่วยทีมวิจัยภัยคุกคาม การรักษาความปลอดภัยทางข้อมูล และกลุ่ม Custom Analytics

Latest

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Newsletter

Don't miss

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์ 2567 – บริษัท เอเซอร์ คอมพิวเตอร์ จำกัด ตอบโจทย์ยุค AI PC ยกระดับประสบการณ์ให้ทุกการใช้งาน เปิดตัวโน้ตบุ๊ก Acer Swift Series รุ่นล่าสุด...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

LEAVE A REPLY

Please enter your comment!
Please enter your name here