เป้าหมายใหม่ Hacker หันมาโจมตี Database Server

นักวิจัยด้านความปลอดภัย GuardiCore Labs ได้พบการโจมตีจำนวนมากทั่วโลกจาก Hacker ชาวจีน เป้าหมายในการโจมตีนี้ก็คือ Database Server เพื่อใช้ขุดเงินดิจิทัล ขโมยข้อมูล และสร้าง DDoS Botnet ทีมนักวิจัยได้ทำการวิเคราะห์การโจมตีที่เกิดขึ้นนับพันพันครั้งในช่วงหลายเดือนมานี้ พบว่าการโจมตีที่เกิดขึ้นนี้มี 3 รูปแบบ คือ Hex, Hanako และ Taylor ซึ่งเป้าหมายอยู่ที่ Microsoft SQL และ MySQL Server ที่อยู่บนระบบปฎิบัติการ Windows หรือ Linux การโจมตีทั้ง 3 รูปแบบนี้มีเป้าหมายที่แตกต่างกันไป

  • Hex มีเป้าหมายเพื่อติดตั้งโปรแกรมขุดเงิน (Cryptocurrency Miner) และเปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมเครื่องได้จากระยะไกล (Remote Access Trojan)
  • Taylor จะมีเป้าหมายเพื่อติดตั้งโปรแกรมเพื่อเก็บข้อมูลการกดแป้นคีย์บอร์ด (keylogger) และ เปิดทางให้ Hacker สามารถรีโมทเข้าไปเครื่องได้ (backdoor)
  • Hanako มีเป้าหมายเพื่อทำให้เซิร์ฟเวอร์เป็น Botnet เพื่อใช้จะทำการโจมตี DDoS

นักวิจัยได้บันทึกจำนวนการโจมตีในแต่ละเดือนทั้ง 3 รูปแบบนี้ โดยที่ Hex และ Hanako จำนวนครั้งที่โจมตีมีเป็นจำนวนนับร้อยๆ ครั้งต่อเดือน ส่วน Taylor มีการโจมตีนับหมื่นครั้งต่อเดือน และพบว่าประเทศที่มีการโจมตีมากที่สุดคือจีน ส่วนอเมริกา ญี่ปุ่น และประเทศอื่นๆ ก็มีบ้าง สำหรับประเทศไทยก็โดนด้วยแต่ก็ยังไม่มาก ส่วนวิธีการโจมตีของ Hacker จะใช้การโจมตีแบบ Brute Force และจะทำการส่งคำสั่ง SQL เพื่อหลบเหลี่ยงการตรวจสอบสิทธิ์ ทำให้สามารถเข้าสู่ระบบได้

สิ่งที่น่าสนใจคือ เมื่อ Hacker ใช้เครื่องที่ตนแฮ็กได้เป็นฐานในการโจมตี Database Server ทำให้สามารถหลบเลี่ยงการตรวจจับ เพื่อให้ Hacker เข้าถึงฐานข้อมูลของเหยื่อหลังจากทำการเจาะระบบเข้าไปแล้ว การโจมตีทั้ง 3 รูปแบบจะสร้าง backdoor ในฐานข้อมูล จากนั้นจะเปิดพอร์ต เพื่อทำการ Remote Desktop ทำให้ Hacker สามารถดาวน์โหลด และติดตั้งมัลแวร์ต่างๆ ไม่ว่าจะเป็น โปรแกรมขุดเงิน, Remote Access Trojan และ DDoS Botnet นอกจากนี้ Hacker ยังทำการปิดการทำงานของโปรแกรม Antivirus โดยใช้คำสั่ง Shell Command แถม Hacker ยังไปลบไฟล์ โฟลเดอร์ และ Registry ที่ไม่จำเป็นของ Windows ออก เพื่อปกปิดร่องรอยของตน

ที่มาภาพ : The Hacker News

ณ ตอนนี้ ผู้ดูแลระบบควรตรวจสอบชื่อผู้ใช้ในฐานข้อมูลของตัวเองว่ามีรายชื่อแปลกๆ หรือไม่คุ้นในระบบหรือไม่ เช่น hanako, kisadminnew1, 401hk$, Guest และ Huazhongdiguo110
และเพื่อเป็นการป้องกันระบบฐานข้อมูล นักวิจัยแนะนำว่าควรหมั่นทำตามคำแนะนำการ Hardening ฐานข้อมูลทั้ง MySQL และ Microsoft แทนที่จะใช้รหัสที่คาดเดายากในระบบฐานข้อมูล ถึงแม้ว่าวิธีการป้องกันอาจจะดูง่าย เหมือนไม่สำคัญอะไร แต่อย่าลืมนะว่าชีวิตคนเรามันไม่ง่ายเสมอไป มันต้องมีเรื่องยุ่งยากกันบ้าง ดังนั้น เพื่อเป็นการป้องกันให้ Hacker มีโอกาสในการเข้าถึงข้อมูลน้อยที่สุด วิธีการที่ดีที่สุดตามที่นักวิจัยแนะนำ ก็คือการควบคุมเครื่องที่มีสิทธิ์เข้าถึงข้อมูล โดยเครื่องที่สามารถเข้าถึงข้อมูลบ่อยๆ หรือเป็นประจำ ไม่ต้องตรวจสอบบ่อยๆ ก็ได้ แต่ควรให้ความสำคัญตรวจสอบเครื่องที่เข้าถึงข้อมูลโดยผ่านทางอินเตอร์เนต พยายามปล็อก และตรวจสอบ IP หรือโดเมนที่ไม่มีสิทธิ์เข้าถึงข้อมูล เพื่อเป็นกันป้องฐานข้อมูล
จนถึงตอนนี้ นักวิจัยได้บันทึกจำนวนการโจมตีในแต่ละเดือนทั้ง 3 รูปแบบนี้ โดยที่ Hex และ Hanako จำนวนครั้งที่โจมตีมีเป็นจำนวนนับร้อยๆ ครั้งต่อเดือน ส่วน Taylor มีการโจมตีนับหมื่นครั้งต่อเดือน และพบว่าประเทศที่มีการโจมตีมากที่สุดคือจีน ส่วนอเมริกา ญี่ปุ่น และประเทศอื่นๆ ก็มีบ้าง สำหรับประเทศไทยก็โดนด้วยเหมือนกันแต่ก็ถือว่ายังไม่มากเท่าไหร่

ที่มา : The Hacker News