1oQKO3

Recommendations

Info

64 400k 200k 100k 40k 20k 10k 4k Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Zbot Citadel ZeroAccess กราฟที่ 16 จำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจำนวนหมายเลขไอพีที่ไม่ซ้ำ นอกเหนือจาก การรับแจ้งผ่านช่อง ทางระบบอัตโนมัติ และทางอีเมลข้าง ต้นแล้ว ไทยเซิร์ตยังได้ร่วมมือกับบริษัท Microsoft ในการเป็นศูนย์กลาง ประสาน งานกับหน่วยงานต่าง ๆ ในประเทศเพื่อ จัดการกับมัลแวร์ Zbot, Citadel และ ZeroAccess โดยไทยเซิร์ตได้รับแจ้งหมายเลข ไอพีในประเทศไทยของ เครื่องคอมพิวเตอร์ ที่ติดมัลแวร์ Zbot ตั้งแต่เดือนกุมภาพันธ์ถึง กรกฎาคม มัลแวร์ Citadel ตั้งแต่เดือนสิงหาคม ถึงพฤศจิกายน และ ZeroAccess ตั้งแต่เดือน ธันวาคมเป็นต้นมา โดยหลังจากที่ไทยเซิร์ตได้ แจ้งเตือนข้อมูลดังกล่าวผ่านทางระบบบริการ แจ้งข้อมูลภัยคุกคามให้กับผู้ให้บริการเครือข่าย อินเทอร์เน็ตอัตโนมัติ พบว่าจำนวนหมายเลข ไอพีที่ได้รับแจ้งมีแนวโน้มที่ลดลง 3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ ไทยเซิร์ตเข้าไปดเนินการ ไทยเซิร์ต ให้บริการรับมือและจัดการกับ ภัยคุกคามกับหน่วยงานของรัฐ และเอกชน ในขอบเขตการดำเนินงาน ครอบคลุมระบบ เครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ ระบบคอมพิวเตอร์ ภายใต้โดเมนเนมของ ประเทศไทย (.th) ในปี 2556 ไทยเซิร์ต ได้รับแจ้งหรือตรวจพบภัยคุกคาม และเข้าไป แก้ไขและระงับเหตุภัยคุกคามที่เกิดขึ้นร่วมกับ หน่วยงานที่เกี่ยวข้อง ซึ่งสรุปเป็นกรณีศึกษา ที่น่าสนใจหลายกรณี เช่น การโจมตีเว็บไซต์ ของหน่วยงานสำคัญ การโจมตีผู้ใช้งานระบบ E-Banking ของธนาคารไทย และการตรวจพบ ช่องโหว่ของแอปพลิเคชันแชทซึ่งมีผู้ใช้งานใน ประเทศไทยเป็นจำนวนมาก เป็นต้น
65 3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ ระบบบริหารจัดการเว็บไซต์ CMS ของไทย ในเดือนพฤษภาคม 2556 ไทยเซิร์ต ได้รับแจ้งกรณีการโจมตีเว็บไซต์ในลักษณะการ เปลี่ยนแปลงหน้าเว็บไซต์ (Web Defacement) จำนวนมากถึง 37 เว็บไซต์ เมื่อเปิดเข้าไป ตรวจสอบเว็บไซต์ดังกล่าว พบว่ามีการแทรก ข้อความในลักษณะเดียวกันบนหน้าเว็บไซต์ว่า “THIS SITE HACKED BY Z4R4THUSTR4” เว็บไซต์ที่ได้รับผลกระทบทั้งหมดเป็นเว็บไซต์ ขององค์การบริหารส่วนตำบลกลุ่มหนึ่ง ที่ใช้ งานระบบบริหารจัดการเว็บไซต์ (Content Management System - CMS) ชนิดเดียวกัน เมื่อไทยเซิร์ตใช้ Search Engine เช่น Google. com ค้นหาข้อมูลเพิ่มเติมก็พบว่ามีเว็บไซต์อื่น ที่ใช้งาน CMS เช่นเดียวกันนี้อีกจำนวนหนึ่ง ที่มิได้อยู่ในรายการที่ได้รับแจ้งและได้มีการ เปลี่ยนแปลงหน้าเว็บไซต์เช่นกัน นอกจากนี้ เมื่อตรวจสอบข้อมูลในเว็บไซต์ของผู้พัฒนา CMS ดังกล่าว พบว่ามีเว็บไซต์ของหน่วยงาน ของรัฐอีกมากกว่า 600 เว็บไซต์ที่ใช้งาน CMS นี้อยู่และมีโอกาสที่จะถูกโจมตีได้ ไทยเซิร์ต ทำการประสานงานไปยังผู้พัฒนา CMS ดังกล่าว เพื่อแจ้งแนวทางการดำเนินการ ควบคุมและป้องกันปัญหาที่อาจขยายวงกว้าง ไปยังเว็บไซต์อื่นที่ใช้งาน CMS ตัวเดียวกันนี้ รวมถึง ได้รับการร้องขอให้ช่วยดำเนินการ วิเคราะห์ผลกระทบ และช่องโหว่ที่แฮกเกอร์ ใช้ในการโจมตี โดยจากการวิเคราะห์เบื้องต้น ด้วยข้อมูลบันทึกการเข้าใช้งานเว็บไซต์ (Web Access Log) ที่ได้รับ พบว่ามีข้อมูลการล็อกอิน ที่ผิดปกติในสิทธิของผู้ดูแลระบบในทุกเว็บไซต์ ด้วยบัญชีผู้ใช้งานที่เป็นค่าเริ่มต้นของระบบ ซึ่ง มีแหล่งที่มาตรวจสอบแล้วมาจากต่างประเทศ และพบรูปแบบการโจมตีเพื่อเข้าถึงฐานข้อมูล ของเว็บไซต์ รวมถึงเมื่อทำการตรวจสอบช่อง โหว่ของเว็บไซต์ CMS ดังกล่าว พบช่องโหว่ รุนแรงที่แฮกเกอร์สามารถใช้โจมตีสามารถ เข้าถึงฐานข้อมูลของเว็บไซต์ได้ทันที ผลลัพธ์ของการโจมตีจะทำให้แฮกเกอร์ได้ ข้อมูลทั้งหมดที่อยู่ในฐานข้อมูลรวมถึงข้อมูลการ ล็อกอินที่เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ ซึ่ง สมมุติฐานและหลักฐานที่มี ทำให้พิจารณาได้ว่า แฮกเกอร์โจมตีระบบจนได้ข้อมูลการล็อกอิน ที่ เป็นบัญชีผู้ใช้งานตั้งต้นของระบบ จากนั้นจึงเริ่ม ค้นหาเว็บไซต์ที่ใช้งาน CMS ด้วยรูปแบบบาง ส่วนและทำการล็อกอินเข้าสู่ระบบ เพื่อควบคุมเว็บไซต์ต่อไป ซึ่งกรณี การโจมตีที่พบในครั้งนี้ สามารถ สรุปได้ว่าปัญหาที่เกิดขึ้นเพราะ ความหละหลวมในกระบวนการ บริหารจัดการเว็บไซต์ ในส่วนที่ พบว่าผู้ดูแลไม่ทำการลบบัญชีผู้ ใช้งานที่เป็นค่าตั้งต้นของระบบ ออก และเกิดจากปัญหาในการ พัฒนาระบบที่มีไม่มีความมั่นคง ปลอดภัย ทำให้แฮกเกอร์สามารถ โจมตี และใช้เป็นควบคุมเว็บไซต์ที่เกี่ยวข้อง ทั้งหมดได้อย่างง่ายดาย ไทยเซิร์ต ได้จัดทำเอกสารรายงานการ ตรวจสอบช่องโหว่พร้อมกับข้อเสนอแนะจาก เหตุการณ์ที่เกิดขึ้น แจ้งให้ผู้ดูแลระบบและ ผู้เกี่ยวข้อง เพื่อให้มีแนวทางในการแก้ไขปัญหา และสามารถรับมือเหตุภัยคุกคามที่จะเกิดขึ้น ในอนาคตอย่างทันท่วงที รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement
Page 3 and 4:
2013 ThaiCERT ANNUAL REPORT รา
Page 6 and 7:
สารจากผู้กำ
Page 8 and 9:
บทบาทของกระ
Page 10:
ก้าวต่อไปใน
Page 13 and 14: 13 บทที่ 3 รายง
Page 15 and 16: 15 สารบัญตารา
Page 17 and 18: 17 สารบัญรูปภ
Page 19 and 20: 19 สารบัญกราฟ
Page 21 and 22: 21 ในเบื้องต้
Page 24 and 25: ThaiCERT 2013 INFOGAPHIC 1) ผล
Page 26 and 27: 26 2013 KEY EVENT TIMELINE กิ
Page 28 and 29: 28 KEY EVENTS TIMELINE 2556 กิ
Page 30 and 31: 30 บทที่ 2. บริก
Page 32 and 33: บริการรับมื
Page 34 and 35: บริการแจ้งเ
Page 36: บริการตรวจส
Page 39 and 40: 39 ในปี 2556 พบว่
Page 41 and 42: 41 3.1.1 สถิติภัย
Page 43 and 44: 43 TOT True Internet Triple T Broad
Page 45 and 46: 45 จุดที่น่าส
Page 47 and 48: 47 ความสามารถ
Page 49 and 50: 49 ที่ควบคุม Botn
Page 51 and 52: 51 สั่งการให้ B
Page 53 and 54: 53 Unknown (IP address): 7.6% (Othe
Page 55 and 56: 55 brm3.go.th ru.ac.th cad.go.th mo
Page 57 and 58: 57 3.1.1.4 Spam, Brute Force แล
Page 59 and 60: 59 3.1.2 สถิติภัย
Page 61 and 62: 61 1000 800 Abusive content Availab
Page 63: 63 นอกจากนี้ย
Page 67 and 68: 67 รูปที่ 5 พฤต
Page 69 and 70: 69 ในกรณีนี้ม
Page 71 and 72: 71 ไทยเซิร์ต ไ
Page 73 and 74: 73 ให้กับหน่ว
Page 75 and 76: 75 3.2.6 กรณีการต
Page 77 and 78: 77 4.1 ประชุม อบร
Page 79 and 80: 79 ต่าง ๆ ที่มี
Page 81 and 82: 81 ไปยังผู้ที
Page 83 and 84: 83 2-5 ธันวาคม 2556
Page 85 and 86: 85 เจ้าภาพจัด
Page 87 and 88: ITU Telecom World 2013 ผู้อ
Page 89 and 90: 89 GIAC Security Essentials (GSEC)
Page 91 and 92: 91 MIC (Ministry of Internal Affair
Page 93 and 94: 93 ปลอดภัย โดย
Page 95 and 96: 95 จากรายงานป
Page 97 and 98: 97 ชื่อหน่วยง
Page 99 and 100: 99 ชื่อหน่วยง
Page 101 and 102: 101 100k 10k 1k 100 BruCERT ID-SIRT
Page 103 and 104: 103
Page 105 and 106: 105 ด้วยสถานกา
Page 107 and 108: 107 เฉพาะหน่วย
Page 109 and 110: 4 การจัดทแผนค
Page 111 and 112: 111 Open Proxy Server ภัยค
Page 113 and 114: 113 ความพยายาม
Page 115 and 116:
115 คำศัพท์ ควา
Page 117 and 118:
117 คำศัพท์ Content M
Page 119 and 120:
119 ผู้ให้บริก
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
137 ISEC-T ตารางที่
Page 140:
140
show all

1oQKO3

Create successful ePaper yourself

Delete template?

Save as template?