บรรดาแฮ็กเกอร์ได้เลือก OneDrive เป็นเป้าหมายในการเปิดการโจมตีครั้งใหม่
OneDrive ถือเป็นอีกหนึ่งโปรแกรมแชร์ไฟล์ที่ในปัจจุบันมีผู้ใช้งานอย่างแพร่หลาย ส่วนหนึ่งน่าจะมาจากความสะดวกสบายในการใช้งาน เพราะผู้ใช้งานสามารถเรียกดูไฟล์และทำงานได้ทุกที่ทุกเวลา
อีกทั้ง Microsoft เป็นเจ้าของ OneDrive ทำให้ดูมีความน่าเชื่อถือ ขณะที่ Endpoint Detection and Response Program (EDR) ซึ่งเป็นโซลูชันรักษาความปลอดภัยทางไซเบอร์ยังสามารถตรวจจับและตอบสนองต่อภัยคุกคามได้
อย่างไรก็ตาม เหล่าบรรดาแฮ็กเกอร์ได้เลือก OneDrive เป็นเป้าหมายในการเปิดการโจมตีครั้งใหม่ โดยโปรแกรม OneDrive ถูกใช้เป็นแรนซัมแวร์เพื่อเข้ารหัสไฟล์ต่าง ๆ บนเครื่องเป้าหมาย โดยไม่สามารถกู้คืนข้อมูลได้
Microsoft จึงได้เริ่มการแพตช์ OneDrive เพื่อหยุดการทำงานในเวอร์ชัน 23.061.0319.0003, 23.101.0514.0001 และเวอร์ชันที่ใหม่กว่านั้น โดยมีการรวบรวมกระบวนการในการโจมตี OneDrive ไว้ในเครื่องมืออัตโนมัติที่เรียกว่า DoubleDrive
การเข้าครอบครอง(Take over) บัญชี OneDrive จะเริ่มจากกระบวนการบุกโจมตีเครื่องเป้าหมายผ่านการเข้าสู่บัญชี OneDrive และจัดการกำจัด Access Token โดยการอัปโหลดไปยังบัญชี OneDrive ของผู้ใช้งานเป้าหมาย
จากนั้นใช้ฟีเจอร์แชร์ไฟล์เพื่อส่งอีเมลไปยังผู้โจมตี แต่มีสิ่งหนึ่งที่ตรวจพบคือผู้โจมตีต้องมีบัญชี Microsoft ที่ถูกต้องด้วยเช่นกัน และหลังจากที่ผู้โจมตีเข้าถึงบัญชี OneDrive ของเหยื่อได้แล้ว ก็จะสร้างแรนซัมแวร์ที่ไม่มีโค้ดโดยไม่จำเป็นต้องทำงานบนคอมพิวเตอร์ของเหยื่อเลยด้วยซ้ำ
สำหรับไฟล์ทั้งหมดที่ไม่ได้อยู่ในโฟลเดอร์ OneDrive ของเหยื่อ จะมีวิธีเข้ารหัสโดยการที่ OneDrive จะให้สร้างลิงก์ที่เรียกว่า “junctions” ในโฟลเดอร์ โดยไฟล์นอกโฟลเดอร์สามารถซิงค์และเข้ารหัสได้เช่นกัน
การเข้ารหัสไฟล์ส่วนบุคคลให้ได้มากที่สุดไม่ใช่จุดสิ้นสุดของปฏิบัติการทั้งหมดในครั้งนี้ เพราะตาม default แล้ว OneDrive จะเก็บเวอร์ชันก่อนหน้าอย่างน้อย 500 เวอร์ชันของทุกไฟล์ที่มีอยู่ แม้กระทั่งไฟล์ที่ถูกย้ายไปยังถังรีไซเคิล
โดยฟีเจอร์ดังกล่าวมีไว้เพื่อให้เหยื่อของแรนซัมแวร์สามารถกู้คืนไฟล์ได้อย่างรวดเร็ว และเพื่อให้การกู้ข้อมูลคืนยากมากยิ่งขึ้น ผู้โจมตีจะย้ายไฟล์ที่เข้ารหัสทั้งหมดใน OneDrive ไปยังถังรีไซเคิล ล้างถังรีไซเคิล จากนั้นจึงเริ่มสร้างไฟล์ที่เข้ารหัสใหม่ใน OneDrive แต่จะไม่สามารถทำได้ใน OneDrive บน Windows
อย่างไรก็ตาม ผู้โจมตีสามารถดึงไฟล์ออกมาได้โดยใช้ OneDrive Android ของลูกค้า โดยขั้นตอนดังกล่าวนี้จะทำให้ไม่สามารถกู้คืนไฟล์จาก OneDrive กลับมาได้ นอกจากนี้ยังต้องต่อสู้กับกลไกต่อต้านแรนซัมแวร์ซึ่งอยู่ในเครื่องเป้าหมายอย่าง Shadow copy หรือการสำรองข้อมูล
กล่าวคือ หากมีพื้นที่ว่างในไดร์ฟ Windows ก็จะสร้างไฟล์สำรองข้อมูลซ่อนไว้อย่างอัตโนมัติเพื่อช่วยในการกู้คืนจากแรนซัมแวร์ สำหรับโปรแกรม EDR ส่วนใหญ่ รวมไปถึง Microsoft Defender สามารถป้องกันการลบของ Shadow copy ได้
พบด้วยว่า ผู้โจมตีจะเลือกใช้ประโยชน์จากการควบคุมการเข้าถึงของผู้ใช้งาน นอกจากจะใช้ Microsoft SharePoint เพื่อควบคุมไดรฟ์เก็บข้อมูลของเหยื่อแล้ว ยังสามารถลบ Shadow copy ใน Command Line ได้ โดยเหยื่อต้องเป็นผู้ดูแลระบบหลังบ้านจึงจะทำงานต่อได้
OneDrive จึงควรจะมีการตรวจหา ransomware ได้ในตัวเอง เพราะเหยื่อจะไม่ได้รับการแจ้งเตือน OneDrive-based ransomware เลย กว่าเหยื่อจะรู้ว่าอะไรเกิดขึ้นก็สายเกินแก้ไปแล้ว
เพราะฉะนั้นสิ่งสำคัญคือ เราไม่ควรไว้ใจในกระบวนการใด ๆ ได้อย่างเต็มร้อย แต่ควรเตรียมความพร้อมรับมือกับแรนซัมแวร์รุ่นใหม่ ๆ ต่อไป อีกทั้งยังควรลงทุนเรื่องการแยก Access Features และ Security Features ให้มากขึ้นครับ
บทความโดย นักรบ เนียมนามธรรม
—————————————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 23 ส.ค.66
Link : https://www.bangkokbiznews.com/blogs/tech/gadget/1084857