การวิเคราะห์การแฮ็กของ Cisco 2022
เผยแพร่แล้ว: 2022-09-21เมื่อวันที่ 24 พฤษภาคม พ.ศ. 2565 ซิสโก้ได้รับแจ้งจากทีมรักษาความปลอดภัยว่ามีการฝ่าฝืน ผู้โจมตีสามารถเข้าถึง ยกระดับสิทธิ์ ติดตั้งการเข้าถึงระยะไกลและซอฟต์แวร์แฮ็ค และดำเนินการตามขั้นตอนเพื่อรักษาการเข้าถึงระบบ พวกเขาสามารถทำทุกอย่างได้ทีละขั้น อย่างที่เราจะได้เห็นกัน เรื่องนี้ควรจะป้องกันได้ง่ายๆ
ในขณะที่เราทุกคนฉลาดขึ้นเมื่อมองย้อนกลับไปในสิ่งต่าง ๆ ความจริงก็คือสิ่งที่เกิดขึ้นกับ Cisco สามารถเกิดขึ้นได้กับทุกคนที่จัดการสภาพแวดล้อม WordPress
บทความนี้จะกล่าวถึงขั้นตอนของแฮกเกอร์ที่นำไปสู่การละเมิดที่ประสบความสำเร็จ และวิธีที่เจ้าของและผู้จัดการเว็บไซต์ WordPress ทุกคนสามารถป้องกันการทำซ้ำบนเว็บไซต์ WordPress ของพวกเขา
ใครฝ่าฝืนซิสโก้?
ไม่ค่อยมีใครรู้จักเกี่ยวกับบุคคลหรือบุคคลที่อยู่เบื้องหลังการละเมิดของ Cisco จากการสอบสวนพบว่า IAB (Initial Access Broker) เป็นผู้โจมตี ตามชื่อที่บอกไว้ IAB บุกเข้าไปในระบบแต่ไม่ทำการโจมตี เมื่อการละเมิดสำเร็จ พวกเขาจะติดตั้งซอฟต์แวร์เพื่อคงการเข้าถึงนั้นไว้ การเข้าถึงจะถูกขายหรือมอบให้กับบุคคลอื่นที่จะใช้การเข้าถึงเพื่อดำเนินการโจมตีจริง หลักฐานชี้ให้เห็นถึงความเชื่อมโยงกับผู้มุ่งร้ายสามคน ได้แก่ UNC2447, Lapsus$ และ Yanluowang
วิธีที่พวกเขาละเมิด Cisco
ขั้นตอนที่ 1: รหัสผ่านเบราว์เซอร์
ผู้โจมตีได้สิทธิ์เข้าถึงบัญชี Google ส่วนตัวของพนักงานก่อน การเข้าสู่ระบบเบราว์เซอร์ Chrome โดยใช้ข้อมูลประจำตัวที่ถูกขโมย ผู้โจมตีสามารถเข้าถึงรหัสผ่านของพนักงานได้เนื่องจากได้รับการบันทึกไว้ในเบราว์เซอร์และกำหนดค่าให้ซิงค์
การวิเคราะห์
เบราว์เซอร์มาไกลตั้งแต่สมัยก่อนของ Netscape และ Internet Explorer (ตั้งแต่นั้นเป็นต้นมาเบราว์เซอร์ทั้งสองก็ถูกส่งต่อไปยังบันทึกประวัติคอมพิวเตอร์) พวกมันแข็งแกร่งกว่ามาก มีชุดคุณสมบัติที่สมบูรณ์ยิ่งขึ้น และปลอดภัยกว่าที่เคยเป็น
รหัสผ่านของเบราว์เซอร์เป็นหนึ่งในการปรับปรุงดังกล่าว ซึ่งช่วยให้ผู้ใช้สามารถบันทึกชื่อผู้ใช้และรหัสผ่านของตนในเบราว์เซอร์ได้โดยตรง แม้ว่าวิธีนี้จะสะดวกมาก แต่เบราว์เซอร์ไม่ได้บังคับใช้ประเภทของแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดที่ผู้จัดการรหัสผ่านทำ ทำให้พวกเขาเสี่ยงต่อการถูกแฮ็ก
ผู้จัดการรหัสผ่านกำหนดให้ผู้ใช้ใช้รหัสผ่านหลักซึ่งต้องซับซ้อนอย่างเหมาะสมและเข้ารหัสรหัสผ่านที่บันทึกไว้ ทำให้ยากต่อการขโมย ผู้จัดการรหัสผ่านบางตัวจะอนุญาตให้คุณใช้ไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือใบหน้าได้ ซึ่งช่วยเพิ่มความปลอดภัยและความสะดวกสบาย
ในขณะที่เบราว์เซอร์เริ่มติดตามในแง่ของความปลอดภัยของรหัสผ่าน พวกเขายังไม่ถึงระดับผู้จัดการรหัสผ่าน ทำให้เป็นตัวเลือกที่ไม่เหมาะสม
ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นอีกประการหนึ่งคือการใช้รหัสผ่านอย่างง่าย การวิจัยที่ดำเนินการโดย NordPass ในปี 2564 แสดงให้เห็นว่าแม้จะมีแคมเปญสร้างความตระหนักจำนวนมาก แต่รหัสผ่านที่ไม่ปลอดภัยอย่างน่าขันก็ยังคงแพร่หลายอยู่ อันที่จริง นักวิจัยพบว่ารหัสผ่าน '123456' ถูกใช้งานมากกว่า 103 ล้านครั้ง ตามด้วย '123456789' ที่น่าสงสัยไม่แพ้กัน ซึ่งโอเวอร์คล็อกกว่า 46 ล้านอินสแตนซ์ ในกรณีที่คุณสงสัย คลาสสิกเช่น 'รหัสผ่าน', 'qwerty' และ 'iloveyou' ยังคงอยู่ในรายการ
รหัสผ่านเหล่านี้ใช้เวลาถอดรหัสไม่ถึงวินาที ทำให้ไม่ปลอดภัยอย่างเหลือเชื่อ การรวมปัญหาคือความจริงที่ว่าซอฟต์แวร์ถอดรหัสรหัสผ่านมีความก้าวหน้ามากขึ้นและสามารถอธิบายการแทนที่อักขระพิเศษเช่นการสลับ a ด้วย @ หรือ e ด้วย 3
การป้องกัน
น้อยคนนักที่จะสนุกกับการพิมพ์รหัสผ่านที่ยาวและซับซ้อน ซึ่งทำให้ผู้คนใช้ทางลัด การวิจัยสนับสนุนการยืนยันนี้ ซึ่งเป็นเหตุผลว่าทำไมการช่วยให้ผู้ใช้ใช้รหัสผ่านที่ดีขึ้นจึงเป็นสิ่งสำคัญ
ส่งเสริมสุขอนามัยรหัสผ่านที่ดีขึ้น
รหัสผ่านที่รัดกุมเป็นหนึ่งในขั้นตอนที่สำคัญที่สุดที่คุณสามารถทำได้เพื่อลดความเสี่ยง นโยบายรหัสผ่าน WordPress ที่รัดกุมสามารถช่วยให้คุณมั่นใจได้ว่าผู้ใช้ไม่ได้ใช้รหัสผ่านเช่น '123456' ซึ่งการวิจัยแสดงให้เราเห็นว่ายังคงเป็นเรื่องธรรมดามาก
เมื่อใช้ WPassword ซึ่งเป็นปลั๊กอินความปลอดภัยรหัสผ่าน WordPress คุณสามารถมั่นใจได้ว่ามีการปฏิบัติตามแนวทางปฏิบัติของรหัสผ่านที่ดี T. คุณสามารถกำหนดนโยบายของคุณเอง ช่วยให้คุณบรรลุโปรไฟล์นโยบายที่คุณพอใจและพอใจ
การกีดกันผู้ใช้จากการบันทึกรหัสผ่านในเบราว์เซอร์เป็นขั้นตอนสำคัญอีกขั้นตอนหนึ่งที่สามารถช่วยคุณ (และผู้ใช้ของคุณ) ลดความเสี่ยงได้ ท้ายที่สุด ไม่ใช่แค่รหัสผ่าน WordPress ของพวกเขาที่เสี่ยงต่อการถูกขโมย – โซเชียลมีเดีย ธนาคาร และรหัสผ่านอื่น ๆ ทั้งหมดมีความเสี่ยงเท่าเทียมกัน
ผู้จัดการรหัสผ่านได้กลายเป็นกระแสหลักด้วยโซลูชันมากมายให้เลือก ผู้จัดการรหัสผ่านไม่เพียงแต่ช่วยขจัดความเสี่ยงที่เกี่ยวข้องกับการบันทึกรหัสผ่านในเบราว์เซอร์เท่านั้น แต่ยังช่วยให้คุณสร้างรหัสผ่านที่รัดกุมขึ้นได้ และบางคนถึงกับเตือนคุณหากมีการรั่วไหลของรหัสผ่าน
ขั้นตอนที่ 2: วิศวกรรมสังคม
เมื่อผู้โจมตีสามารถเข้าถึงบัญชีของพนักงานได้ พวกเขาตั้งค่าเกี่ยวกับการลงทะเบียนอุปกรณ์ 2FA เพื่อเลี่ยงกลไกความปลอดภัยที่ 2FA เสนอให้ ด้วย 2FA ที่ค่อนข้างแข็งแกร่ง ผู้โจมตีจึงเริ่มการโจมตีแบบสองง่ามซึ่งใช้กลวิธีทางวิศวกรรมสังคมในการเลี่ยงผ่าน 2FA
- Prong One: ความล้า 2FA – ในการโจมตีแบบ 2FA เมื่อยล้า ผู้โจมตีพยายามลงทะเบียนอุปกรณ์ 2FA หลายเครื่อง บังคับให้เหยื่อจัดการกับคำขอ 2FA หลายรายการได้อย่างมีประสิทธิภาพ การโจมตีประเภทนี้มักพบบ่อยในการแจ้งเตือนแบบพุช เนื่องจากเหยื่อทั้งหมดต้องทำคือยอมรับ ไม่ว่าจะด้วยความไม่รู้ ความเหนื่อยล้า หรืออย่างอื่น
- Prong Two: Vishing – Vishing เป็นประเภทของการโจมตีทางวิศวกรรมสังคมที่ผู้โจมตีเรียกเหยื่อ (เสียงฟิชชิ่ง) โดยอ้างว่าเป็นผู้มีอำนาจ อำนาจปลอมแปลงนี้ถูกใช้ในทางที่ผิดโดยให้เหยื่ออยู่ในตำแหน่งที่พวกเขารู้สึกว่าไม่มีทางเลือกอื่นนอกจากต้องปฏิบัติตามข้อเรียกร้องของผู้โทร ความต้องการเหล่านี้อาจรวมถึงการเปิดเผยข้อมูลหรือการดำเนินการบางอย่าง เช่น การคลิกลิงก์ที่ต้องการ
การวิเคราะห์
วิศวกรรมสังคมยังคงเป็นหนึ่งในเครื่องมือที่ผู้โจมตีใช้มากที่สุดเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัย ในบางกรณี ผู้โจมตีอาจพบว่าการหลอกลวงผู้อื่นทำได้ง่ายกว่าการจัดการกับระบบรักษาความปลอดภัย ในกรณีนี้ ผู้โจมตีต้องใช้วิศวกรรมสังคมเพื่อหลีกเลี่ยง 2FA
วิศวกรรมสังคมมีหลายรูปแบบ ซึ่งจำเป็นต้องมีนโยบายความปลอดภัยที่ครอบคลุมเพื่อให้แน่ใจว่าการโจมตีจะไม่ประสบความสำเร็จ เนื่องจากวิศวกรรมสังคมมุ่งเป้าไปที่ผู้คน การรณรงค์สร้างจิตสำนึกอย่างต่อเนื่องสามารถช่วยลดและลดความเสี่ยงได้อย่างมาก
วิศวกรรมสังคมอาศัยหลักการหลายประการ รวมถึงการข่มขู่ ความเร่งด่วน ความคุ้นเคย การพิสูจน์ทางสังคม อำนาจ และความขาดแคลน หลักการเหล่านี้ถูกใช้อย่างประสงค์ร้ายเพื่อให้ผู้คนปฏิบัติตามคำขอที่พวกเขาจะไม่ยอมรับ
การป้องกัน
เพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย
รหัสผ่านที่รัดกุมเป็นเพียงแนวป้องกันแรกเท่านั้น 2FA เป็นอีกแง่มุมที่สำคัญของการออนไลน์ที่ดี
ความปลอดภัยที่สามารถหยุดการโจมตีออนไลน์ส่วนใหญ่ได้ 2FA ต้องการผู้โจมตีที่มีศักยภาพ
เพื่อเข้าถึงโทรศัพท์ของผู้ใช้ที่ลงทะเบียน ซึ่งค่อนข้างยาก
ผู้โจมตีของ Cisco ไม่เคยสามารถเลี่ยงการป้องกันของ 2FA ได้ แต่กลับอาศัยกลวิธีหลอกลวงเพื่อหลอกล่อ
เขาตกเป็นเหยื่อในการยอมรับคำขอของพวกเขา ซึ่งท้ายที่สุดทำให้พวกเขาสามารถเลี่ยง 2FA ได้
ถึงกระนั้น 2FA ยังคงเป็นโซลูชั่นที่แข็งแกร่งในการรักษาความปลอดภัยบัญชีออนไลน์ ช่วยหยุดการโจมตีในเส้นทางของพวกเขา หรือ a
อย่างน้อยที่สุด ทำให้พวกเขาช้าลง โชคดีที่การเพิ่ม 2FA ลงในเว็บไซต์ WordPress ของคุณนั้นง่ายมาก
ลงทุนในผู้ใช้ของคุณ
การศึกษาของผู้ใช้เป็นเครื่องมือที่ทรงพลังที่มักถูกละเลย จนกว่าจะมีเหตุการณ์เกิดขึ้น ตามสุภาษิตโบราณ การป้องกันดีกว่าการรักษา การดำเนินการเชิงรุกมีประโยชน์มากกว่าการซ่อมแซมความเสียหาย
มีนโยบายที่ขอให้ผู้ใช้รายงานคำขอ 2FA ที่พวกเขาไม่ได้คาดหวัง และทำให้ชัดเจนว่าแม้ว่าพวกเขาจะยอมรับคำขอดังกล่าวโดยไม่ได้ตั้งใจก็ตาม ควรมีการรายงาน ผู้ใช้มักกลัวผลกระทบที่เกิดจากความผิดพลาดดังกล่าว ทำให้ไม่มีการรายงานเหตุการณ์ดังกล่าว เข้าใจว่าสิ่งนี้สามารถเกิดขึ้นได้กับทุกคน – ความผ่อนปรนและความเข้าใจช่วยทั้งคุณและผู้ใช้ของคุณ
ใช้เวลาในการปฏิบัติตามนโยบายบ่อยๆ และหากเป็นไปได้ ให้ลงทะเบียนผู้ใช้ในหลักสูตรความปลอดภัยทางไซเบอร์ระยะสั้นที่ออกแบบมาสำหรับบุคลากร
ขั้นตอนที่ 3: การยกระดับสิทธิ์
เมื่อผู้โจมตีได้รับสิทธิ์ในเบื้องต้น พวกเขาจะขยายไปสู่สิทธิ์ระดับผู้ดูแลระบบ ซึ่งอนุญาตให้เข้าถึงหลายระบบ นี่คือสิ่งที่ทำให้พวกเขาหายไปในที่สุดเมื่อแจ้งเตือนทีมตอบกลับด้านความปลอดภัยซึ่งสามารถตรวจสอบและนำพวกเขาออกจากสภาพแวดล้อมได้
การวิเคราะห์
ในการยกระดับสิทธิ์ ผู้โจมตีพยายามเข้าถึงบัญชีที่มีชุดสิทธิ์ที่สูงกว่าบัญชีที่ถูกบุกรุกในตอนแรก เนื่องจากบัญชีที่มีอำนาจต่ำกว่ามักจะไม่ได้รับการปกป้องอย่างเข้มงวดเท่ากับบัญชีที่มีอำนาจสูงกว่า บัญชีเหล่านี้จึงง่ายต่อการเจาะเข้าไป เมื่อได้รับการเข้าถึงเบื้องต้นแล้ว ผู้โจมตีอาจต้องการยกระดับสิทธิ์เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนมากขึ้นหรือสร้างความเสียหายมากขึ้น
การป้องกัน
แม้ว่าโดยทั่วไปแล้ว WordPress จะเป็นแอปพลิเคชันที่ปลอดภัย แต่ก็ไม่สามารถป้องกันการโจมตีได้ การลดพื้นที่ผิวโจมตีมีความจำเป็นต่อการลดความเสี่ยง กระบวนการลดพื้นที่ผิวโจมตีนี้เรียกว่าการชุบแข็งและสามารถทำได้หลายระดับ ได้แก่
WordPress ชุบแข็ง
การชุบแข็ง PHP
เว็บเซิร์ฟเวอร์แข็งตัว
OS (ระบบปฏิบัติการ) ชุบแข็ง
การแข็งตัวของ MySQL
ระบบย่อยใดที่คุณสามารถทำให้แข็งตัวได้จะขึ้นอยู่กับวิธีการโฮสต์ WordPress ของคุณ หากคุณมีแผนโฮสติ้ง WordPress ผู้ให้บริการโฮสติ้งของคุณจะดำเนินการส่วนใหญ่ ในทางกลับกัน หากคุณจัดการเซิร์ฟเวอร์ของคุณเอง คุณจะต้องทำให้ระบบย่อยแต่ละระบบแข็งแกร่งขึ้นด้วยตัวของคุณเอง
ขั้นตอนที่ 4: การติดตั้งเครื่องมือ
เมื่อผู้โจมตีได้รับสิทธิ์เพียงพอ (ก่อนที่ทีมตอบสนองต่อเหตุการณ์จะยุติการเข้าถึง) พวกเขาได้ติดตั้งเครื่องมือการคงอยู่ต่าง ๆ เพื่อให้แน่ใจว่าพวกเขาสามารถรักษาการเข้าถึงได้ เครื่องมือเหล่านี้จะช่วยให้เข้าถึงได้ในอนาคต ไม่ว่าผู้โจมตีจะวางแผนมาเยือนอีกครั้งหรือขายสิทธิ์การเข้าถึงให้กับบุคคลที่สาม
การวิเคราะห์
เครื่องมือและวิธีการคงอยู่ หรือที่เรียกว่าแบ็คดอร์ เป็นอันตรายสองเท่าเนื่องจากอนุญาตให้เข้าถึงการโจมตีในอนาคต หากพวกเขาไปตรวจไม่พบ พวกเขาจะยังคงให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมได้อย่างต่อเนื่อง เนื่องจากเครื่องมือเหล่านี้ส่วนใหญ่ได้รับการออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ การค้นหาจึงอาจต้องใช้ความพยายามเพิ่มเติมเล็กน้อย
ผู้ขายเช่น Google อาจบล็อกรายการโดเมนหรือ IP ของคุณ ซึ่งส่งผลเสียต่อการจัดอันดับเครื่องมือค้นหาของคุณ การกู้คืนอาจทำได้ยากยิ่งขึ้น โดยเฉพาะอย่างยิ่งหากเกิดความเสียหายมากก่อนที่จะสังเกตเห็นการละเมิด
แบ็คดอร์ของ WordPress ยังใช้ประโยชน์จากฟังก์ชัน PHP หลายอย่าง ซึ่งทำให้ง่ายต่อการตรวจจับ นี่ไม่ได้หมายความว่าแบ็คดอร์ทั้งหมดใช้ฟังก์ชัน PHP บางอย่าง แต่เป็นสิ่งที่ควรคำนึงถึง
การป้องกัน
การค้นหามัลแวร์และซอฟต์แวร์ทั้งหมดที่ผู้โจมตีทิ้งไว้อาจเป็นเรื่องยากมาก ผู้ดูแลระบบ WordPress ส่วนใหญ่มักจะใช้การสำรองข้อมูลก่อนหน้านี้ก่อนที่จะเกิดการละเมิดครั้งแรก หลายบริษัทยังให้บริการทำความสะอาด WordPress แบบมืออาชีพอีกด้วย ปลั๊กอินบางตัวสามารถช่วยคุณค้นหามัลแวร์ WordPress ได้
เครื่องมือล้ำค่าอย่างหนึ่งที่คุณควรใช้คือ WordPress File Changes Monitor ซึ่งเป็นตัวตรวจสอบความสมบูรณ์ของไฟล์สำหรับ WordPress ปลั๊กอินฟรีนี้ใช้แฮชของระบบไฟล์ของคุณทุกครั้งที่ทำงาน แล้วเปรียบเทียบกับแฮชก่อนหน้า แฮชจะเปลี่ยนโดยสมบูรณ์ หากมีการเปลี่ยนแปลงไฟล์ใดๆ เพียงเล็กน้อย วิธีนี้จะช่วยให้คุณเริ่มการสอบสวนเพื่อตรวจสอบว่ามีการละเมิดเกิดขึ้นหรือไม่
เครื่องมือสำคัญอีกอย่างหนึ่งที่สามารถช่วยคุณติดตามสิ่งที่เกิดขึ้นภายใต้ประทุนคือ WP Activity Log เมื่อใช้ปลั๊กอินนี้ คุณจะเก็บบันทึกกิจกรรมของ WordPress ที่ให้ข้อมูลเชิงลึกเกี่ยวกับผู้ใช้เว็บไซต์ WordPress และกิจกรรมระบบของคุณ ช่วยให้คุณระบุพฤติกรรมที่น่าสงสัยได้ตั้งแต่เนิ่นๆ ด้วยคุณสมบัติต่างๆ เช่น การรวมปลั๊กอินของบุคคลที่สามและการแจ้งเตือนทางอีเมลหรือ SMS คุณจะสามารถรับทราบข้อมูลได้ตลอดเวลา
แผนการรักษาความปลอดภัยที่ครอบคลุมคือแผนความปลอดภัยเท่านั้น
การโจมตี Cisco แสดงให้เห็นว่าแฮ็กเกอร์ได้รับนวัตกรรมและความซับซ้อนมากขึ้นในการโจมตี โดยใช้เวกเตอร์หลายตัวเพื่อเพิ่มโอกาสในการเจาะสำเร็จ ในขณะที่มาตรการเช่นการติดตั้งไฟร์วอลล์ยังคงมีความสำคัญ แต่ก็ไม่ใช่ภูมิปัญญาดั้งเดิมของกระสุนเงิน แต่ต้องใช้แนวทางแบบองค์รวมมากขึ้นเพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของเราได้รับการปกป้องในทุกด้าน
ดังที่การละเมิดของ Cisco แสดงให้เราเห็น เลเยอร์หลายชั้นมีความสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของ WordPress ให้แข็งแกร่งขึ้น อย่างไรก็ตาม องค์ประกอบของมนุษย์ยังคงมีความจำเป็น ในหลาย ๆ ด้าน ผู้ใช้เป็นผู้มีส่วนได้ส่วนเสียในความสำเร็จของเว็บไซต์ WordPress และในขณะที่การใช้นโยบายเช่นสิทธิ์น้อยที่สุดก็มีความจำเป็น การศึกษาของผู้ใช้ก็เช่นกัน