Guardio Labs ได้เปิดเผยผลการศึกษาจากการติดตั้ง Honeypot ซึ่งจำลองบริการ Linux ที่เปิดเผยต่ออินเทอร์เน็ต เพื่อดักจับและวิเคราะห์พฤติกรรมการโจมตีทางไซเบอร์ Honeypot นี้สามารถดึงดูดการโจมตีจำนวนมาก โดยเฉพาะอย่างยิ่งการโจมตีแบบ Brute-force บน SSH และกิจกรรมของ Botnet ทำให้ Guardio Labs สามารถรวบรวมข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตี เครื่องมือที่ใช้ และที่อยู่ IP ของผู้โจมตี เผยให้เห็นถึงภัยคุกคามอัตโนมัติที่แพร่หลายซึ่งมุ่งเป้าไปที่ช่องโหว่ทั่วไป
Severity: ปานกลาง
System Impact:
- เซิร์ฟเวอร์ Linux
- บริการ SSH
- เว็บไซต์ WordPress
- บริการที่เปิดเผยต่ออินเทอร์เน็ตโดยทั่วไป
Technical Attack Steps:
- **การสำรวจ/สแกน**: ผู้โจมตีสแกนหาพอร์ต SSH ที่เปิดอยู่ (พอร์ต 22) บนระบบที่เชื่อมต่ออินเทอร์เน็ต
- **การโจมตีแบบ Brute-Force**: เครื่องมืออัตโนมัติพยายามเดารหัสผ่านและชื่อผู้ใช้ SSH เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต
- **การแสวงหาประโยชน์ (ที่อาจเกิดขึ้น)**: หากการโจมตีสำเร็จ ผู้โจมตีอาจปรับใช้เครื่องมือที่เป็นอันตรายเพิ่มเติม เข้าร่วมระบบที่ถูกบุกรุกเข้ากับบอตเน็ต หรือดำเนินการกิจกรรมที่เป็นอันตรายอื่นๆ
Recommendations:
Short Term:
- เปลี่ยนรหัสผ่าน SSH ที่คาดเดายากและไม่ซ้ำใคร
- เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับ SSH และบริการสำคัญอื่นๆ
- จำกัดการเข้าถึง SSH โดยใช้ไฟร์วอลล์ (firewall) และอนุญาตเฉพาะ IP ที่จำเป็นเท่านั้น
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นปัจจุบันอยู่เสมอ
- ตรวจสอบบันทึก (logs) ของระบบ SSH เป็นประจำเพื่อหากิจกรรมที่น่าสงสัย
Long Term:
- ใช้ระบบป้องกันการบุกรุก (IDS/IPS) และระบบตรวจจับความผิดปกติ
- สร้างนโยบายความปลอดภัยที่แข็งแกร่งสำหรับการเข้าถึงและการจัดการสิทธิ์
- ฝึกอบรมพนักงานเกี่ยวกับภัยคุกคามทางไซเบอร์และการป้องกันฟิชชิ่ง
- พิจารณาการใช้งาน honeypot หรือ honey-net เพื่อรวบรวมข้อมูลภัยคุกคามและปรับปรุงการป้องกัน
- มีการวางแผนรับมือเหตุการณ์ (Incident Response Plan) ที่ชัดเจนและฝึกซ้อมเป็นประจำ
Source: https://cybersecuritynews.com/hackers-trapped-honeypot/
Share this content: