22 สิงหาคม 2017 Cambridge Mass. จากรายงานสถานะความปลอดภัยไตรมาสที่ 2 ในปี 2017 ที่เผยแพร่โดย Akamai Technologies Inc. ข้อมูลใหม่ล่าสุดแสดงให้เห็นว่าการโจมตีแบบ Distributed Denial of Service (DDoS) และการโจมตีบนเว็บไซต์ได้กลับมาอีกครั้ง และมัลแวร์ Pbot DDoS มีบทบาทสำคัญสำหรับการกลับมาครั้งนี้ ในฐานะรากฐานสำคัญในการโจมตีแบบ DDoS ที่แข็งแกร่งที่สุด
Akamai ได้สำรวจในไตรมาสที่ 2 เกี่ยวกับกรณีของ Pbot ผู้ประสงค์ร้ายเลือกใช้รหัส PHP อายุนานหลายสิบปี เพื่อสร้างการโจมตีแบบ DDoSครั้งรุนแรงที่สุด ผู้โจมตีสามารถสร้าง Botnet DDoS ขนาดเล็ก แต่สามารถปล่อยการโจมตี DDoS ในอัตรา 75 กิกะบิตต่อวินาที (Gbps) ที่น่าสนใจคือ Botnet Pbot ประกอบไปด้วยโหนดขนาดเล็กจำนวน 400 ตัว แต่ยังสร้างการโจมตีระดับมหึมาได้
อีกประเด็นเกี่ยวกับ “เรื่องเก่าเล่าใหม่” ได้รับการอธิบายโดยการวิเคราะห์การใช้งานของการสร้างสุ่มชื่อโดเมนด้วยเทคนิค (DGA) ในโครงสร้างพื้นฐานการควบคุมและสั่งการมัลแวร์ (C2) ของทีมวิจัยภัยคุกคามของ Akamai แม้จะเปิดตัวพร้อมกับ Conficker Worm ในปี 2008 DGA ยังคงเป็นวิธีการสื่อสารที่ถูกใช้งานบ่อยสำหรับมัลแวร์ในยุคปัจจุบัน ทางทีมได้พบว่าเครือข่ายที่ได้รับความเสียหาย สร้างอัตรา DNS lookup ที่มากกว่าเครือข่ายปลอดมัลแวร์ถึงประมาณ 15 เท่า สิ่งนี้สามารถอธิบายได้ว่าเป็นผลลัพธ์ของการเข้าถึงโดเมนที่สุ่มสร้างขึ้นโดยมัลแวร์บนเครือข่ายที่ติดมัลแวร์ เมื่อโดเมนส่วนใหญ่ที่สร้างขึ้นโดยไม่มีการลงทะเบียน การพยายามเข้าถึงโดเมนเหล่านั้นทั้งหมดอาจก่อให้เกิดสัญญาณรบกวนจำนวนมากได้ การวิเคราะห์ความแตกต่างระหว่างคุณลักษณะเชิงพฤติกรรมของเครือข่ายที่ติดมัลแวร์และเครือข่ายที่ปลอดมัลแวร์คือหนึ่งในวิธีที่สำคัญในการระบุกิจกรรมของมัลแวร์
เมื่อมีการค้นพบ Botnet Mirai เมื่อกันยายนปีที่แล้ว Akamai คือหนึ่งในเป้าหมายแรก แต่แพลตฟอร์มของบริษัทยังมีประสิทธิภาพในการป้องกันการโจมตีของ Botnet Mirai ตั้งแต่นั้นมา นักวิจัยของ Akamai ได้ใช้ข้อมูลของ Mirai จากการค้นพบ เพื่อเรียนรู้หลายๆ แง่มุมที่แตกต่างกันของ Botnet ในไตรมาสที่สองนี้ โดยเฉพาะโครงสร้างพื้นฐาน C2 นักวิจัยของ Akamai มั่นใจในการบ่งชี้ว่า Mirai ซึ่งเหมือนกับ Botnet ชนิดอื่นๆ มีส่วนร่วมในการที่ DDoS กลายเป็นสิ่งที่สามารถผลิตได้ง่าย ในขณะที่ตัวโหนด C2 ของ Botnet ได้รับการสำรวจว่าได้กระทำ “การโจมตีแบบเฉพาะ” ต่อ IP ที่ถูกเลือก จำนวนที่มากไปกว่านั้นถูกบันทึกว่ามีส่วนร่วมในการโจมตีแบบ “จ่ายต่อครั้ง” ในสถานการณ์ลักษณะนี้ ตัวโหนด Mirai C2 ได้รับการสำรวจว่าโจมตี IP ในระยะเวลาสั้นๆ หยุดการทำงาน และกลับมาอีกครั้งเพื่อโจมตีเป้าหมายใหม่
“ผู้โจมตีจะสังเกตุจุดอ่อนขององค์กร ยิ่งองค์กรอันเป็นที่รู้จัก และยิ่งมีความเสี่ยงมากเท่าใด เหล่าผู้โจมตีจะยิ่งทุ่มเทพลังและทรัพยากรเพื่อโจมตีมากเท่านั้น” ผู้สนับสนุนด้านความปลอดภัยอาวุโส Martin McKeay กล่าว “เหตุการณ์แบบ Botnet Mirai การแสวงหาผลประโยชน์ที่ใช้งานโดย WannaCry และ Petya การกลับมาอย่างต่อเนื่องของการโจมตีแบบ SQLi และการกลับมาอีกครั้งของ Pbot เหล่านี้แสดงให้เห็นว่าผู้โจมตีจะไม่เพียงเปลี่ยนไปใช้เครื่องมือใหม่ๆ แต่ยังจะกลับมาใช้เครื่องมือเก่าๆ ที่ได้ถูกพิสูจน์แล้วว่าเปี่ยมไปด้วยประสิทธิภาพ”
ตามขั้นตอน:
ประเด็นการค้นพบที่สำคัญต่างๆ จากรายงานได้แก่:
- จำนวนตัวเลขของการโจมตีแบบ DDoS ในไตรมาสที่ 2 เพิ่มขึ้น 28 เปอร์เซ็นต์อัตราไตรมาสต่อไตรมาส และลดลงในอีกสามไตรมาสต่อมา
- เหล่าผู้โจมตี DDoS มีความมุ่งมั่นมาก ในการโจมตีเป้าหมายโดยเฉลี่ย 32 ครั้งต่อไตรมาส บริษัทเกมแห่งหนึ่งถูกโจมตีเป็นจำนวน 558 ครั้ง หรือประมาณ 6 ครั้งต่อวันโดยเฉลี่ย
- อียิปต์คือประเทศต้นกำเนิดที่จำนวน IP แอดเดรสถูกใช้ในการโจมตีรูปแบบ DDoS มากที่สุดในโลกหรือ 32 เปอร์เซ็นต์จากอัตราทั่วโลก เมื่อไตรมาสที่แล้ว สหรัฐอเมริกาถือครองตำแหน่งนั้น และอียิปต์ยังไม่ติดหนึ่งในห้า
- อุปกรณ์ที่ใช้ในการโจมตี DDoS ลดลงในไตรมาสนี้ จำนวนตัวเลขของ IP แอดเดรสที่มีส่วนร่วมในการโจมตี DDoS จำนวนมากลดลง 98 เปอร์เซ็นต์จาก 595,000 เหลือ 11,000
- อัตราการเกิดของการโจมตีบนเว็บไซต์เพิ่มขึ้น 5 เปอร์เซ็นต์ในอัตราไตรมาสต่อไตรมาส และ 28 เปอร์เซ็นต์ในอัตราปีต่อปี
- การโจมตีรูปแบบ SQLi ถูกใช้มากกว่าครึ่ง (51 เปอร์เซ็นต์) บนเว็บไซต์ในไตรมาสนี้ เพิ่มขึ้น 44 เปอร์เซ็นต์จากไตรมาสที่แล้ว เป็นตัวเลขเกือบ 185 ล้านการเตือนแค่จากในไตรมาสที่สองนี้
ดาวน์โหลดรายงานสถานะความปลอดภัยบนอินเทอร์เน็ตประจำไตรมาสที่ 2 ปี 2017 ได้ฟรีที่ http://akamai.me/2i9vrdz และดาวน์โหลดตารางและกราฟรวมถึงข้อมูลที่เกี่ยวข้องได้ที่ http://akamai.me/2w6mI1v
ระเบียบวิธี
รายงานสถานะความปลอดภัยไตรมาสที่ 2 ในปี 2017 ของ Akamai รวบรวมข้อมูลการโจมตีจากโครงสร้างของ Akamai ทั่วโลกและนำเสนอการวิจัยของทีมงานหลายทีมทั้งบริษัท รายงานนี้มอบการวิเคราะห์ของ Cloud Security ณ ปัจจุบันและสถานการณ์ภัยอันตราย รวมไปถึงข้อมูลเชิงลึกเกี่ยวกับแนวโน้มการโจมตีโดยใช้ข้อมูลที่รวบรวมมาจากแพลตฟอร์มอัจฉริยะของ Akamai ผู้สนับสนุนรายงานสถานะความปลอดภัยได้แก่ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยจากทั่วทั้ง Akamai รวมไปถึง Security Intelligence Response Team (SIRT) หน่วยทีมวิจัยภัยคุกคาม การรักษาความปลอดภัยทางข้อมูล และกลุ่ม Custom Analytics
เกี่ยวกับ Akamai
Akamai ที่เป็นแพลตฟอร์มการส่งมอบด้วยระบบคลาวด์ที่น่าเชื่อถือที่สุดและใหญ่ที่สุดในโลก ได้ช่วยให้ลูกค้าสามารถให้บริการประสบการณ์ดิจิตอลที่ดีและปลอดภัยที่สุดในทุกอุปกรณ์ ทุกเวลา และทุกสถานที่ Akamai เป็นแพลตฟอร์มที่มีการกระจายตัวอย่างมหาศาลและเหนือชั้นกว่าใครด้วยเซิร์ฟเวอร์มากกว่า 200,000 เซิร์ฟเวอร์ใน 130 ประเทศ ซึ่งให้ประสิทธิภาพและการปกป้องอันยอดเยี่ยมแก่ลูกค้า พอร์ตโฟลิโอประสิทธิภาพของเว็บและอุปกรณ์มือถือ ความปลอดภัยบนคลาวด์ การเข้าใช้งานขององค์กร และโซลูชันการส่งมอบวิดีโอของ Akamai ถูกสนับสนุนโดยการบริการลูกค้าแบบพิเศษ และการติดตามแบบ 24/7 หากคุณต้องการเรียนรู้ว่าเหตุใดสถาบันการเงิน ผู้นำด้านอีคอมเมิร์ซ ผู้ให้บริการสื่อและความบันเทิง และองค์กรรัฐจึงเชื่อถือ Akamai โปรดเยี่ยมชม www.akamai.com, blogs.akamai.com หรือ @Akamai ทาง Twitter
You must be logged in to post a comment.