MSITBlog

1 minute reading time (295 words)

การป้องกัน WannaCry กับ Windows File Sharing (SMB Protocol)

WannaCry เรื่องเก่าที่อาจเกิดขึ้นอีกในอนาคต

   อย่างที่ทุกคนทราบกัน WannaCry หรือ WanaCrypt0r เป็น Ransomware ที่อาศัยช่องโหว่จาก SMB (Microsoft Server Message Block) ในการแพร่กระจายตัวเองผ่านเครื่อข่ายเดียวกันจากเครื่องที่ติดไวรัสไปยังเครื่องอื่นๆต่อไป โดยเหตุการณ์การแพร่กระจาย WannaCry ที่เกิดผลกระทบไปทั่วโลก เกิดขึ้นในวันศุกร์ที่ 12 พฤษภาคม 2560 (Black Friday) โดยมีระบบที่ถูกโจมตีมากกว่า 200,000 ระบบ และ ไวรัสแพร่กระจายตัวออกไปมากกว่า 150 ประเทศ ซึ่งส่วนมากแล้วองค์กรหรือบริษัทต่างๆ นิยมใช้การแชร์ไฟล์ในเครือข่ายเดียวกันในการทำงานหรือแบ่งปันข้อมูลภายในองค์กร ทำให้มีความเสี่ยงต่อการโดนโจมตีโดย WannaCry ได้ ดังนั้นเราจึงจำเป็นต้องมีการเรียนรู้ การป้องกันและหลบเลี่ยงการโจมตีจากช่องโหว่เหล่านี้

ภาพตัวอย่างไวรัส WannaCry

 

WannaCry ทำงานอย่างไร ?

ภาพแสดงรูปแบบการโจมตีของไวรัส WannaCry

 

   ในขั้นแรกโปรแกรมจะทำการส่ง Package ไปยังเครื่องคอมพิวเตอร์หรือโน๊ตบุ๊ค ที่อยู่ในเครือข่ายเดียวกัน (LAN) โดยเครื่องคอมพิวเตอร์หรือโน๊ตบุ๊คที่เสี่ยงต่อการถูกโจมตี ได้แก่ Windows XP, Windows Server 2003 หรือ Windows 10 ที่ยังไม่ได้อัพเดทแพทซ์ความปลอดภัย โดยอาศัยช่องโหว่ของ SMBv1 ในการเจาะเข้าระบบแล้วเข้ารหัสข้อมูล

   ขั้นตอนต่อไปหลังจากที่เจาะเข้าระบบคอมพิวเตอร์ได้แล้ว โปรแกรมจะทำการแตกไฟล์ตัวเองโดยในรูปของไฟล์ .zip ที่ถูกล็อกด้วยรหัสผ่าน จากนั้นโปรแกรมจะดาวน์โหลด TOR Client จากโดเมนหลักมาแตกไฟล์และเก็บไว้เพื่อใช้ติดต่อสื่อสารกับ C&C Server ของแฮกเกอร์ เมื่อเตรียมไฟล์ต่างๆเสร็จ โปรแกรมจะทำการรัน Ransomware ไปยัง ไฟล์ข้อมูลต่างๆ ไม่ว่าจะเป็น ไฟล์เอกสาร(.docx, .ppt, .xls) ไฟล์ภาพ(.psd, .jpeg, .giff) รวมไปถึงไฟล์ Backup ต่างๆในเครื่องคอมพิวเตอร์ของผู้ใช้งาน เพื่อทำการ "เข้ารหัสข้อมูล" และเคลียร์ข้อมูลสำรองต่างๆใน Shadow Volume Copies พร้อมกับปิดการทำงานในส่วนของ Windows Startup Recovery และ Windows Server Backup History เพื่อปิดทางในการ Backup ข้อมูลของผู้ใช้งานอีกด้วย

   และขั้นตอนสุดท้าย โปรแกรมจะแสดงหน้าล็อกสกรีนพร้อมระบุข้อความเรียกค่าไถ่และวิธีการชำระเงิน โดยไฟล์ต่างๆจะไม่สามารถเปิดใช้งานได้เนื่องจากถูกเข้ารหัสข้อมูลไว้ ซึ่งผู้ใช้งานทำได้เพียงจ่ายเงินให้ภายในเวลาที่กำหนดไว้ หากไม่ยอมจ่ายให้จนถึงเวลาทั้งหมด ไฟล์ต่างๆที่ถูกเข้ารหัสข้อมูลไว้จะถูกลบทิ้งและไม่สามารถกู้คืนได้

ภาพแสดงรูปแบบการทำงานของไวรัส WannaCry

 

เราสามารถป้องกันการโจมตีของ WannaCry ได้อย่างไร ?

   อัพเดทแพทซ์ Windows

      ปัจจุบัน Microsoft ได้ปล่อยอัพเดทแพทซ์สำหรับป้องกันช่องโหว่ SMBv1 ไว้แล้ว หากผู้ใช้านทำการอัพเดท Windows อย่างสม่ำเสมอ ก็จะลดความเสี่ยงจากการโดน WannaCry โจมตีได้

   คอยตรวจสอบอย่างสม่ำเสมอ

      สังเกตการทำงานของระบบปฎิบัติการ Windows และคอยตรวจสอบความผิดปกติของ File Sharing ว่ามีการทำงานอื่นๆที่แปลกตาไปจากเดิมเกิดขึ้นหรือไม่

   ปิดช่องโหว่และ Backup ข้อมูล

      บล็อคพอร์ต SMB (139,445) จากแหล่งเชื่อมต่อภายนอก

      บล็อคพอร์ต UDP (User Datagram Protocol Port 137, 138) ในเครือข่ายเดียวกันให้เชื่อมต่อผ่าน WAN (Wide Area Networks) 

      ปิดการทำงานของ SMBv1 และ SMBv2 โดยเปิดอนุญาตแค่ SMBv3 เท่านั้น

      สำรองข้อมูลต่างๆที่จำเป็นหรือมีความสำคัญไปยังอุปกรณ์เก็บข้อมูลหรือระบบ Cloud เพื่อป้องกันข้อมูลสูญหาย

ภาพแสดงวิธีการป้องกันการโจมตีจากไวรัส WannaCry

 

การทำงานของ Windows File Sharing

 Windows File Sharing คืออะไร ?

   Windows File Sharing คือระบบที่ช่วยในการแชร์ไฟล์ข้อมูลต่างๆภายในเครือข่ายเดียวกันโดยส่วนมากแล้ว จะถูกนิยมใช้ภายในบริษัทหรือองค์กรที่มีการทำงานหลายๆแผนกเนื่องจากต้องมีการแบ่งปันข้อมูลเพื่อดำเนินงานต่อๆไปและเพิ่มความรวดเร็วในการส่งต่อข้อมูลทำให้ระบบ File Sharing มีความสำคัญอย่างมากในการโอนถ่ายข้อมูลและไฟล์งานต่างๆ

ภาพแสดงการแชร์โฟลเดอร์และเครื่องปริ้นท์ในเครือข่ายเดียวกัน

 

ภาพแสดงการแชร์พอร์ตSerialและการสื่อสารในเครือข่ายเดียวกัน

 

SMB คืออะไร ?

   SMB (Microsoft Server Message Block) คือ โปรโตคอลมาตรฐานของเครือข่ายที่ใช้แชร์ไฟล์ เครื่องพิมพ์ พอร์ตแบบอนุกรม และการสื่อสารอื่น ๆ ระหว่างจุดต่อบนเครือข่าย โดยมีกลไกการสื่อสารและขั้นตอนระหว่างกันที่ได้รับการตรวจสอบสิทธิ์แล้วจากเซิร์ฟเวอร์ในเครือข่ายนั้นๆ โดยทำงานแบบ Client - Server โดยที่ไคลเอนต์ร้องขอไปยังเซิร์ฟเวอร์เพื่อให้สิทธิ์ในการเข้าถึงข้อมูล

ภาพแสดงรูปแบบการทำงานของ Server Message Block

 

ภาพแสดงร้องขอสิทธิ์จาก Server และการให้สิทธฺ์เข้าถึงข้อมูล

 

Flow การสื่อสารโปรโตคอลของระบบ SMB

   

 

WannaCry มีผลยังไงกับระบบ File Sharing

ภาพแสดงการแพร่กระจายของไวรัส WannaCry ผ่านระบบ File Sharing

 

   อย่างที่เห็นกันว่า Ransomware อย่าง WannaCry อาศัยช่องโหว่จากระบบ SMB ในการลอบเข้ามาโจมตีเครื่องคอมพิวเตอร์และโน๊ตบุ๊คของผู้ใช้งาน ซึ่งระบบ SMB ก็คือส่วนหนึ่งของการใช้งานระบบ File Sharing ที่มีการแบ่งปันข้อมูลในเครือข่ายเดียวกัน ซึ่งไวรัส WannaCry ถูกแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ ที่มีการแชร์ข้อมูลภายในเครือข่ายได้ หากเรารู้วิธีป้องกันและตอบโต้กับภัยคุคามที่มาจากช่องโหว่เหล่านี้ ก็จะสามารถลดความเสี่ยงที่จะถูกโจมตีจากไวรัส WannaCry ได้ ดังนั้นเราควรศึกษาและเรียนรู้การทำงานต่างๆของระบบ และหาวิธีป้องกันที่ถูกต้องและส่งผลกระทบให้น้อยที่สุด

 

แหล่งอ้างอิง

https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/

https://www.thaicert.or.th/alerts/user/2017/al2017us001.html

https://community.tribelab.com/mod/page/view.php?id=608

หมวกกันน็อก 360 องศา
Biosensor Protocol

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Thursday, 20 February 2020