AI สร้างสรรค์เร่งการโจมตีตัวตนต่อ Active Directory อย่างไร

Generative AI กำลังเร่งความเร็วและประสิทธิภาพของการโจมตีรหัสผ่านต่อ Active Directory ทำให้การเข้าถึงข้อมูลประจำตัวของผู้ใช้เร็วขึ้นและมีประสิทธิภาพมากขึ้น เครื่องมือเช่น PassGAN สามารถถอดรหัสรหัสผ่านทั่วไปได้มากกว่าครึ่งภายในไม่กี่นาที และสูงถึง 81% ภายในหนึ่งเดือน โดยใช้การเรียนรู้รูปแบบการสร้างรหัสผ่านจริงของผู้ใช้ การโจมตีเหล่านี้ใช้ AI ในการจดจำรูปแบบ, การเปลี่ยนข้อมูลประจำตัวอย่างชาญฉลาด, การรวบรวมข้อมูลอัตโนมัติ และลดอุปสรรคในการเข้าถึงสำหรับผู้โจมตี

Severity: สูง

System Impact:

• Active Directory (AD)
• ข้อมูลประจำตัวผู้ใช้ (User Identities)
• รหัสผ่าน (Passwords)
• บริการบุคคลที่สาม (Third-party services) หากมีการนำรหัสผ่านกลับมาใช้ใหม่
• ระบบที่ใช้การพิสูจน์ตัวตนผ่าน Active Directory

Technical Attack Steps:

1. **การฝึกฝน AI เพื่อถอดรหัสรหัสผ่าน:** เครื่องมือเช่น PassGAN เรียนรู้รูปแบบการสร้างรหัสผ่านจากชุดข้อมูลขนาดใหญ่ ทำให้สามารถคาดเดารหัสผ่านที่ผู้คนใช้จริงได้แม่นยำยิ่งขึ้น โดยไม่จำเป็นต้องใช้ Dictionary หรือ Brute-force แบบสุ่ม
2. **การจดจำรูปแบบรหัสผ่าน:** โมเดล Machine Learning ระบุรูปแบบที่ละเอียดอ่อนในการสร้างรหัสผ่าน เช่น การใช้ตัวอักษรทดแทนทั่วไป, รูปแบบการกดแป้นพิมพ์ และการรวมข้อมูลส่วนบุคคล เพื่อสร้างคำเดาที่สอดคล้องกับพฤติกรรมเหล่านี้
3. **การกลายพันธุ์ของข้อมูลประจำตัวอย่างชาญฉลาด:** เมื่อผู้โจมตีได้รับข้อมูลประจำตัวที่รั่วไหลจากบริการบุคคลที่สาม AI สามารถทดสอบรูปแบบต่างๆ ที่เกี่ยวข้องกับสภาพแวดล้อมเป้าหมายได้อย่างชาญฉลาด (เช่น จาก ‘Summer2024!’ เป็น ‘Winter2025!’)
4. **การรวบรวมข้อมูลอัตโนมัติ (Automated Reconnaissance):** โมเดลภาษาขนาดใหญ่ (LLM) วิเคราะห์ข้อมูลสาธารณะขององค์กร (เช่น ข่าวประชาสัมพันธ์, โปรไฟล์ LinkedIn, ชื่อผลิตภัณฑ์) เพื่อสร้างแคมเปญ Phishing ที่มุ่งเป้า และการโจมตีแบบ Password Spray ที่มีประสิทธิภาพ
5. **การใช้ฮาร์ดแวร์ถอดรหัสประสิทธิภาพสูง:** ผู้โจมตีสามารถเช่าคลัสเตอร์ GPU ประสิทธิภาพสูงได้ในราคาถูก ซึ่งช่วยเร่งความเร็วในการถอดรหัสแฮชรหัสผ่าน แม้แต่กับอัลกอริทึมแฮชที่แข็งแกร่งอย่าง bcrypt

Recommendations:

Short Term:

• กำหนดนโยบายรหัสผ่านที่เน้นความยาวมากกว่าความซับซ้อน โดยแนะนำให้ใช้ Passphrase ที่ยาวและสุ่ม (เช่น 18 ตัวอักษร)
• ใช้โซลูชันเพื่อบล็อกรหัสผ่านที่ถูกบุกรุกแล้ว เช่น Specops Password Policy ที่มีการป้องกันรหัสผ่านที่รั่วไหล (Breached Password Protection) เพื่อป้องกันการใช้รหัสผ่านที่อยู่ในชุดข้อมูลการโจมตี
• อัปเดตการป้องกันรหัสผ่านที่ถูกบุกรุกอย่างต่อเนื่อง (รายวัน) ตามการตรวจสอบการโจมตีในโลกจริง
• ใช้ Dictionary ที่กำหนดเองเพื่อบล็อกคำเฉพาะขององค์กร (ชื่อบริษัท, ชื่อผลิตภัณฑ์, ศัพท์ภายในทั่วไป) เพื่อป้องกันการโจมตีแบบกำหนดเป้าหมายที่ใช้ AI ในการรวบรวมข้อมูล

Long Term:

• เปลี่ยนผ่านจากนโยบายรหัสผ่านที่เน้นแค่การปฏิบัติตามกฎไปสู่การป้องกันรหัสผ่านจากการถูกบุกรุกอย่างแท้จริง
• ดำเนินการตรวจสอบสภาพรหัสผ่านของ Active Directory เป็นประจำโดยใช้เครื่องมือเช่น Specops Password Auditor เพื่อระบุรหัสผ่านที่อ่อนแอ, ข้อมูลประจำตัวที่ถูกบุกรุก และช่องโหว่ของนโยบาย
• พิจารณาการใช้งาน Multi-Factor Authentication (MFA) ที่แข็งแกร่งและมีกลไกป้องกันการบายพาส เช่น Social Engineering, Session Hijacking หรือ MFA Fatigue

Source: https://www.bleepingcomputer.com/news/security/how-generative-ai-accelerates-identity-attacks-against-active-directory/