fbpx Skip to content

แฮกเกอร์ลักลอบขนข้อมูล HTML smuggling เพื่อเข้ามาขโมยข้อมูลคอมพ์บริษัท

HTML smuggling

หน่วยงานวิจัยของ Menlo Security ได้เตือนถึงการกลับมาของการลักลอบนำเข้า HTML หรือ HTML smuggling ซึ่งผู้ร้ายจะเลี่ยงระบบการรักษาความปลอดภัย เพื่อรวบรวมเพย์โหลดที่เป็นอันตรายโดยตรงบนเครื่องของเหยื่อ นอกจากนี้ Menlo ยังค้นพบแคมเปญลักลอบขน HTML ที่ชื่อว่า ISOMorph ซึ่งใช้เทคนิคเดียวกันกับที่ผู้โจมตี  SolarWinds ใช้ในแคมเปญ Spearphishing ล่าสุดอีกด้วย

การโจมตีของแคมเปญ ISOMorph

การโจมตีของแคมเปญ ISOMorph คือการลักลอบขน HTML เพื่อนำไปวางไว้ในคอมพิวเตอร์ของเหยื่อ และเนื่องจาก HTML ถูก “ลักลอบนำเข้า” จึงทำให้การโจมตีแบบ ISOMorph สามารถหลีกเลี่ยงการรักษาความปลอดภัย (Standard Perimeter Security) ได้อย่างง่ายดาย และหลังจากติดตั้งแล้ว ผู้โจมตีจะรวบรวมเพย์โหลดซึ่งอยู่ในคอมพิวเตอร์ของเหยื่อด้วยโทรจัน remote access (RAT) ที่อนุญาตให้ผู้โจมตีควบคุมเครื่องที่ติดไวรัสและเข้าถึงเครือข่ายได้

การลักลอบขน HTML

การลักลอบขน HTML ทำได้โดยใช้ประโยชน์จากคุณสมบัติพื้นฐานของ HTML5 และ JavaScript ที่อยู่ในเว็บเบราว์เซอร์ และใช้ HTML5 download attribute เพื่อดาวน์โหลดไฟล์ที่ถูกปลอมแปลง จากนั้นใช้ JavaScript blobs โจมตีแล้วลักลอบนำเข้า HTML

เนื่องจากไฟล์ที่ถูกปลอมแปลงจะยังถูกสร้างไม่ได้ จนกว่าผู้โจมตีจะเข้าไปควบคุมคอมพิวเตอร์ของเป้าหมาย ดังนั้น network security ก็จะยังไม่เป็นอันตรายอะไรกับการโจมตี ทั้งหมดที่เหยื่อเห็นจะเป็นเพียงแค่การรับส่งข้อมูล HTML และ JavaScript ที่ทำให้เหยื่องงงวยเท่านั้น แต่การรับส่งนี้กลับมีโค้ดที่เป็นอันตรายซ่อนอยู่มากมาย

ปัญหาของการลักลอบขน HTML

ปัญหาของการลักลอบขน HTML คือการที่ผู้โจมตีต้องเผชิญกับการ remote work ในระยะไกล และการที่ต้องเจอกับเครื่องมือการทำงานของ cloud hosting ซึ่งทั้งหมดนี้สามารถเข้าถึงได้จากภายในเบราว์เซอร์ นอกจากนี้ Menlo Labs ยังเผยด้วยว่ามีคนทำงานที่ใช้เว็บเบราว์เซอร์ต่อวันถึง 75% ซึ่งเป็นเสมือนการเชื้อเชิญอาชญากรไซเบอร์ให้อยากโจมตี 

Menlo Lab ยังบอกด้วยว่า ผู้โจมตีกำลังลักลอบขน HTML เพื่อส่งเพย์โหลดไปยังปลายทาง ก็เนื่องมาจากเบราว์เซอร์เป็นหนึ่งในช่องทางที่อ่อนแอที่สุด แถมยังไม่มี network solution ใด ๆ ที่จะไปปิดกั้นมันได้ด้วย

บริษัทต่าง ๆ ควรตระหนักถึงภัยคุกคามได้แล้ว

เนื่องจากเพย์โหลดถูกสร้างขึ้นในเบราว์เซอร์ของเป้าหมาย การรักษาความปลอดภัยทั่วไป endpoint monitoring และ response tools ก็แทบจะตรวจจับไม่ได้เลย แต่ก็ไม่ได้หมายความว่าจะป้องกันการโจมตีการลักลอบนำเข้า HTML นั้นทำไม่ได้ ซึ่งการจะป้องกันนั้น อย่างแรกเลยคือบริษัทต่าง ๆ จำเป็นต้องตระหนักได้แล้วว่าภัยคุกคามนั้นมีอยู่จริงและอยู่ใกล้ตัวมาก และเพื่อเป็นการสร้างความปลอดภัย บริษัทจำเป็นต้องตระหนักถึงการสร้างทีม Cybersecurity ของบริษัทขึ้นมาป้องกันรอยรั่วจากระบบความปลอดภัยยิ่งขึ้น 

สรุป

ถ้าการเพิ่มผู้ดูแลเป็นเรื่องยากสำหรับองค์กร เราขอแนะนำบริการวางระบบ Cyber security ที่พร้อมกับทีมงานจัดการทั้งงานโครงสร้าง โดยเน้นไปที่การป้องการด้วยระบบ Firewall และการป้องกันไวรัสเรียกค่าไถ่ (Ransomware) ได้อย่างเชี่ยวชาญ สามารถสอบถามข้อมูลเพิ่มเติมด้วยการกรอกข้อมูลด้านล่าง ให้ทางทีมงานเราเข้าไปให้คำปรึกษาเบื้องต้นฟรีเลย


อ่านเพิ่มเติม: Cyber Security มีอะไรบ้าง ช่วยเรื่องความปลอดภัยทางไซเบอร์ได้ยังไง

References :
Source1
Source2