Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

Microsoft ແນະນຳແນວທາງການປ້ອງກັນເຊີເວີ Exchange ຈາກການຖືກໂຈມຕີ

Microsoft ​ແນະ​ນຳ​ແນວ​ທາງ​ການ​ປ້ອງ​ກັນ​ເຊີເວີ​ Exchange ຈາກ​ການ​ຖືກ​ໂຈມ​ຕີ​

Article Images: ms_exchange.png

ການຮັກສາຄວາມປອດໄພເຊີເວີ Microsoft Exchange  ເປັນເລື່ອງທີ່ສໍາຄັນ ເພາະຫຼາຍອົງ​ກອນໃຊ້​ Microsoft Exchange ເປັນ​ຊ່ອງ​ທາງ​ຫຼັກ​ໃນ​ການ​ເຮັດ​ວຽກ ​ແລະ ​ການ​ສື່​ສານ​ ບໍ່​ວ່າ​ຈະ​ເປັນ​ອີ​ເມວ, ​ ປະຕິ​ທິນ​ ຫຼື ​ໃຊ້​ບັນ​ທຶກ​ຂໍ້​ມູນ​ພະ​ນັກ​ງານ​ ລວມທັງ ລາຍຊື່ຜູ້​ຕິດ​ຕໍ່,​ ທີ່​ຜ່ານມາ​ເ​ຊີ​ເວີ​ Exchange ມັກ​ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ຂອງ​ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​ ຊຶ່ງຈຸດປະສົງກໍ່​ເພື່ອ​ລັກ​ຂໍ້​ມູນ​ ຫຼື ​ເຂົ້າ​ເຖິງ​ບັນ​ຊີ​ທີ່​ມີ​ສິດ​ທິລະ​ດັບ​ສູງ​ ມີ​ຫຼາຍຄັ້ງເມື່ອ​ໂຈມ​ຕີ​ເ​ຊີ​ເວີ​​ Exchange ໄດ້​ສຳ​ເລັດ​ ຜູ້​ບໍ່​ຫວັງ​ດີ​ກໍ່​ອາດຈະ​ສາມາດ​ຄວບ​ຄຸມ​ລະບົບ​ເຄືອ​ຂ່າຍ​ທັງ​ໝົດ​ໄດ້​, Microsoft ໄດ້​ເຜີຍແຜ່​ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ເ​ຊີ​ເວີ​​ Exchange ໂດຍ​ອ້າງ​ອີງ​ຈາກ​ຮູບ​ແບບ​ພຶດຕິກຳ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​.

ການ​ໂຈມ​ຕີ​ເ​ຊີ​ເວີ​ Exchange ຫຼັກ​ໆ​ແລ້ວ​ສາມາດ​ເຮັດ​ໄດ້​ 02 ຊ່ອງ​ທາງ ຄື:​ ຊ່ອງທາງທໍາອິດໄດ້ແກ່ ການ​ໂຈມ​ຕີ​ເຄື່ອງ​ຄອມພິວເຕີ​ຂອງ​ຜູ້​ໃຊ້​ໃນ​ອົງ​ກອນ ເພື່ອ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ (Malware) ​ລັກ​ລະ​ຫັດ​ຜ່ານ​ ຈາກ​ນັ້ນ​ໃຊ້​ລະ​ຫັດ​ຜ່ານ​ດັ່ງ​ກ່າວລັອກອິນ​ເຂົ້າລະບົບ ແລ້ວເຂົ້າໄປ​ຫາເ​ຊີ​ເວີ​​ Exchange, ຊ່ອງທາງ​ທີ​ສອງ​ຄື​ເຈາະ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ຂອງ​ບໍລິການ​ໃນ​ເ​ຊີເວີ​ Exchange ໂດຍ​ກົງ​ ເຊັ່ນ:​ ຊ່ອງ​ໂຫວ່ຂອງ​ IIS ຊຶ່ງ​ເປັນ​ຊອບແວ​ສຳລັບ​ໃຫ້​ບໍລິການ​ເວັບ​ໄຊ​.

Microsoft ໄດ້​ວິ​ເຄາະ​ການ​ໂຈມ​ຕີ​ເ​ຊີເວີ Exchange ທີ່ເກິດຂື້ນ​ໃນ​ຊ່ວງ​ເດືອນ ​ເມ​ສາ​ 2020 ແລະ ໄດ້ສະຫຼຸບ​ແນວ​ທາງ​ການ​ກວດ​ສອບ ​ແລະ​ ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີໂດຍ​ອ້າງ​ອີງ​ຈາກ​ພຶດຕິກຳ​ທີ່​ຜິດ​ປົກກະຕິ​ ໄດ້​ດັ່ງ​ນີ້​:

1. Initial access

  • ຜູ້​ໂຈມ​ຕີ​ອັບ​ໂຫຼດ​ໄຟ​ລ໌​ web shell ເຂົ້າໄປ​ໄວ້​ໃນ​ສ່ວນຂອງ​ເ​ຊີເວີ Exchange ເພື່ອ​​ເຂົ້າ​ມາ​ຄວບ​ຄຸມ​ເຄື່ອງ​ ເ​ຊີເວີ​ຜ່ານ​ຊ່ອງ​ທາງ​ດັ່ງ​ກ່າວ​ໃນ​ພາຍ​ຫຼັງ​;
  • ແນວ​ທາງ​ການ​ກວດ​ສອບ​ສາມາດ​ໃຊ້​ວິທີ​ເຝົ້າ​ລະ​ວັງ​ ແລະ​ ແຈ້ງ​ເຕືອນ​ການສ້າງ​ໄຟ​ລ໌​ໃໝ່​ໃນ​ສ່ວນ​ຂອງ​ Exchange ເນື່ອງ​ຈາກ​ໄຟ​ລ໌​ໃນ​ສ່ວນດັ່ງ​ກ່າວ​ບໍ່​ຄວນ​ມີ​ການ​ປ່ຽນ​ແປງ​ເອງ​ ໂດຍ​ທີ່ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ບໍ່​ໄດ້​ດຳ​ເນີນ​ການ​.    

2. Reconnaissance

  • ຫຼັງ​ຈາກ​ເຂົ້າ​ເຖິງ​ລະບົບ​ໄດ້​ແລ້ວ​ ຜູ້​ໂຈມ​ຕີ​ຈະ​ຣັນ​ຄຳ​ສັ່ງ​ (Execute Code) ເພື່ອສັງລວມ​ຂໍ້​ມູນ​ຂອງ​ລະບົບ​ ເຊັ່ນ:​ ກວດ​ສອບລະ​ດັບ​ສິດ​ຂອງ​ຜູ້​ໃຊ້​ທີ່​ລັອກ​ອິນ​ຢູ່​ ຫຼື ​ຂໍ້​ມູນ​ IP Address ​ຂອງ​ເຄື່ອງ​ຄອມພິວເຕີໜ່ວຍອື່ນ​ໆ​ ໃນ​ເຄືອ​ຂ່າຍ​ ຊຶ່ງ​ໃນ​ບາງກໍລະນີ​ຜູ້​ໂຈມ​ຕີ​ອາດ​ຣັນ​ຄຳ​ສັ່ງ​ຂອງ​ Exchange management shell ເພື່ອ​ສັງລວມ​ຂໍ້​ມູນ​ສະພາບ​ແວດ​ລ້ອມ​ອື່ນ​ໆ​ ເພີ່ມເຕີມ​ ເຊັ່ນ:​ ບັນ​ຊີ​ອີ​ເມວ​ທີ່​ໃຫ້​ບໍລິການ​;

ໃນ​ຂັ້ນ​ຕອນ​ນີ້ ​ອາດຈະ​ປາກົດ​ຄຳ​ສັ່ງ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ໃຊ້​ໃນ​ການ​ສັງລວມ​ຂໍ້​ມູນ​ ພ້ອມທັງອາດຈະ​ມີ​ປະຫວັດ​ການ​ເອີ້ນໃຊ້​ໂພຣ​ເຊດ

3. Persistence

  • ຖ້າ​ເ​ຊີ​ເວີ​​ Exchange ມີ​ການຕັ້ງ​ຄ່າ​ໃຫ້​ສາມາດ​ລັອກ​ອິນ​ໄດ້​ດ້ວຍ​ສິດ​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ຜູ້​ໂຈມ​ຕີ​ອາດຈະ​ສ້າງ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃໝ່​ເພີ່ມ​ຂຶ້ນ​ມາ ​ເພື່ອ​ໃຊ້​ລັອກ​ອິນ​ໃນ​ພາຍ​ຫຼັງ​ ຫຼື ອາດຈະ​ໃຊ້​ວິທີ​ຕິດ​ຕັ້ງ​ເຄື່ອງ​ມື​ປະ​ເພດ​ remote access ເພື່ອ​ໃຊ້​ເຊື່ອມ​ຕໍ່​;
  • ແນວ​ທາງ​ການ​ກວດ​ສອບ ​ອາດ​ຈະໃຊ້​ວິທີ​ກວດ​ສອບ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ທີ່​ຜິດ​ປົກກະຕິ ​ຫຼື port ​ທີ່​ເ​ຊີ​ເວີ​​ເປີດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ໄດ້​.

4. Credential access

  • ໃນ​ບາງຄັ້ງ​ການ​ສັງລວມ​ຂໍ້​ມູນ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ຈາກ​ເ​ຊີ​ເວີ​ Exchange ອາດຈະ​ໄດ້​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ໃຊ້​ລັອກ​ອິນ​ເປັນ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ domain ໄດ້, Microsoft ພົບ​ການ​ໂຈມ​ຕີ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ​ SAM ຈາກ​ Registry, ລັກ​ຂໍ້​ມູນ​ LSASS ຈາກ​ແຣມ (Ram)​ ຫຼື ​ໃຊ້​ງານ​ໂປຣ​ແກຣມ​ Mimikatz ເພື່ອ​ສັງລວມ​ລະ​ຫັດ​ຜ່ານ​;
  • ການ​ສັງເກດ​ຄວາມ​ຜິດ​ປົກກະຕິ​ອາດ​ເບິ່ງ​ໄດ້​ຈາກ​ລັອກ​ການ​ລວບລວມ​ຂໍ້​ມູນ​ ຫລື​ ລັອກ​ການ​ສົ່ງ​ໄຟ​ລ໌​ຈາກ​ເ​ຊິ​ຣ໌​ຟ​ເວີ​ຣໍ໌​ອົກ​ໄປ​ຢັງ​ເຄື່ອງ​ຄອມພິວເຕີ​ພາຍນອກ

5. Lateral movement

  • ຫຼັງ​ຈາກ​ທີ່​ສັງລວມ​ຂໍ້​ມູນ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ ແລະ​ ລະ​ຫັດ​ຜ່ານ​ໄດ້​ແລ້ວ​ ຜູ້​ບໍ່ຫວັງດີ​ກໍ່​ຈະ​ນຳ​ຂໍ້​ມູນ​ນັ້ນ​ໄປ​ລັອກ​ອິນ​ເຂົ້າ​ໃຊ້​ງານ​ຄອມພິວເຕີ​ເຄື່ອງ​ອື່ນ​ໆໃນ​ເຄືອ​ຂ່າຍ​ຕໍ່ ​ຜ່ານ​ຊ່ອງ​ທາງ​ WMI, Schedule Task ຫຼື​ PsExec ຊຶ່ງ​ໃນ​ບາງກໍລະນີ​ອາດ​ມີ​ການ​ສັ່ງ​ປິດ​ໂປຣ​ແກຣມ​ປ້ອງກັນ​ໄວ​ຣັດ ​ຫຼື ​ລະບົບ​ຄວາມປອດໄພ​ຂອງ​ເຄື່ອງ​ປາຍ​ທາງ​ ​ເພື່ອ​ບໍ່​ໃຫ້​ມີ​ການ​ແຈ້ງ​ເຕືອນ​;
  • ແນວ​ທາງ​ການ​ກວດ​ສອບ​ຄວາມ​ຜິດ​ປົກກະຕິ​ ອາດ​ຈະເບິ່ງ​ໄດ້​ຈາກ​ປະຫວັດ​ການ​ລັອກ​ອິນ,​ ປິດກັ້ນ​ການ​ເຊື່ອມ​ຕໍ່​ເຄືອ​ຂ່າຍ​ ຫຼື ​ການ​ຣັນ​ໂປຣ​ແກຣມ (Execute program) ​ທີ່​ໜ້າສົງໄສ.

6. Collection

  • Microsoft ພົບ​ການ​ໃຊ້​ Exchange management shell ເພື່ອ​ export ອີ​ເມວ​ຂອງ​ເປົ້າ​ໝາຍ​ແລ້ວ​ສົ່ງ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ອອກ​ໄປຫາ​ເຄືອ​ຂ່າຍ​ພາຍນອກ​ ​ໃນ​ບາງກໍລະນີ​ອາດ​ມີ​ການ​ໃຊ້​ PowerShell ເຂົ້າຕື່ມ;
  • ການ​ກວດ​ສອບ ແລະ ​ເຝົ້າ​ລະ​ວັງ​ການ​ export ອີ​ເມວຈາກ​ເ​ຊີ​ເວີ​ອາດຈະ​ຊ່ວຍ​ແຈ້ງ​ເຕືອນ​ພຶດຕິກຳ​ທີ່ຜິດ​ປົກກະຕິ​ໄດ້​.

7. Exfiltration

  • ອີ​ເມວ ​ຫຼື ​ຂໍ້​ມູນ​ອື່ນ​ໆ​ ທີ່​ຜູ້​ບໍ່ຫວັງດີ export ອອກ​ມາ​ຈາກ​ເ​ຊີເວີ​​ຈະ​ຖືກ​ບີບ​ອັດ ​ເພື່ອ​ລວມ​ເປັນ​ໄຟ​ລ໌​ດຽວ​ ​ອາດຈະ​ຕັ້ງຊື່​ໄຟ​ລ໌​ຫຼອກ ​ແລະ​ ວາງ​ໄຟ​ລ໌​ດັ່ງ​ກ່າວ​ໄວ້​ໃນ​ສ່ວນ​ທີ່​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​​ບໍ່​ຄ່ອຍໄດ້​ສັງເກດ​ ເຊັ່ນ​: ຕັ້ງຊື່​ໄຟ​ລ໌​ເປັນ​ .tmp ຫຼື ຫຼອກວ່າ​ເປັນ​ໄຟ​ລ໌​ log.

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​

  1. ຕິດ​ຕັ້ງ​ແພັດ​ແກ້ໄຂຄວາມປອດໄພ (Patch) ​ເວີ​​ຊັ່ນຫຼ້າສຸດ ​ເພື່ອຫຼຸດຜ່ອນ​ຄວາມ​ສ່ຽງ​ຈາກ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​;
  2. ຕິດ​ຕັ້ງຊອບແວປ້ອງກັນ​ໄວ​ຣັດ ​ແລະ ​ເປີດ​ໃຊ້​ງານ​ລະບົບ​ຄວາມປອດໄພ​ເພີ່ມເຕີມ​ ເຊັ່ນ​: MFA ແລະ​ firewall ລວມທັງຕັ້ງ​ຄ່າປິດກັ້ນ (Block) ​ພຶດຕິກຳ​ທີ່​ອາດ​ເປັນ​ອັນຕະລາຍ​ ເຊັ່ນ:​ PsExec ຫຼື​ WMI;
  3. ທວນຄືນ​ສິດ ​ແລະ ​ກວດ​ສອບ​ປະຫວັດ​ການ​ໃຊ້​ງານ​ຂອງ​ບັນຊີ​ທີ່​ສາມາດ​ລັອກ​ອິນ​ເຂົ້າ​ເ​ຊີ​ເວີ​​ໄດ້​;
  4. ຄວນ​ໃຊ້​ບັນ​ຊີ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ແບບ​ຈຳ​ກັດ​ສິດ​ທິ​ທີ່​ຈຳ​ເປັນ​ ບໍ່​ຄວນ​ໃຊ້​ງານ​ໃນ​ລັກສະນະ​ບັນ​ຊີ​ດຽວ​ເຂົ້າ​ເຖິງ​ທຸກ​ລະບົບ​ໄດ້​ທັງ​ໝົດ​;
  5. ເຝົ້າ​ລະ​ວັງ​ການ​ໂຈມ​ຕີ​ ແລະ​ ຈັດ​ລຳ​ດັບ​ຄວາມ​ສຳຄັນ​ຂອງ​ການ​ແຈ້ງ​ເຕືອນ​ທີ່​ເປັນ​ອັນຕະລາຍ​.

*ຜູ້​ທີ່ສົນ​ໃຈ​ສາມາດ​ສຶກ​ສາ​ລາຍ​ລະອຽດ​ ແລະ ​ຂໍ້​ແນະ​ນຳ​ອື່ນ​ໆ​ ໄດ້​ຈາກ​ບົດ​ຄວາມເຕັມ​ຕົ້ນສະບັບ.​

ເອກະສານອ້າງອີງ: 
https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/

Porher 22 October 2020 5157 reads Print