สรุปสั้น

บริษัท Huntress เปิดเผยการบุกรุกรูปแบบใหม่ที่แฮ็กเกอร์ทุ่มเทอย่างมากในการลบร่องรอยตัวเองก่อนขโมยรหัสผ่าน โดยผู้โจมตีทยอยปิดการทำงานของ Microsoft Defender ปิดเครื่องมือเก็บล็อก Sysmon และรื้อ web application firewall (WAF) ออกทั้งหมด ก่อนจะปล่อยเครื่องมือ Mimikatz เข้ามาดูดรหัสผ่านจากหน่วยความจำ การโจมตีเริ่มต้นเมื่อวันที่ 7 มิถุนายนจากเว็บเซิร์ฟเวอร์ที่ถูกยึด และสิ่งที่ดูเหมือนการสำรวจระบบธรรมดากลับกลายเป็นหนึ่งในปฏิบัติการหลบเลี่ยงการตรวจจับที่ก้าวร้าวที่สุดในปีนี้ ด้วยเทคนิคที่ซ้อนกันเกือบสิบสองอย่าง

จุดเริ่มต้นถูกพบเมื่อทีม SOC ของ Huntress ตรวจเจอกิจกรรมสำรวจระบบที่น่าสงสัยซึ่งเกิดจากโปรเซส IIS worker ที่ถูกต้องตามกฎหมาย นำไปสู่การค้นพบเว็บเชลล์ชื่อ UA4fp7R.aspx ที่ถูกซ่อนไว้ด้วยเทคนิค steganography ในไฟล์ภาพ จากจุดนั้นผู้โจมตีขยายฐานที่มั่นและกลับเข้ามาซ้ำหลายครั้งแม้ทีมความปลอดภัยพยายามกำจัดไปแล้ว จนสุดท้ายยกระดับไปสู่การขโมยรหัสผ่านเต็มรูปแบบ สิ่งที่น่าจับตาไม่ใช่แค่การดูดรหัสผ่าน แต่คือลำดับการทำลายกลไกป้องกันอย่างเป็นระบบก่อนแตะ Mimikatz โชคดีที่ SOC จับได้ทันเวลาจึงยับยั้งได้ก่อนข้อมูลจะรั่วออกไป

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Huntress ได้เผยแพร่รายงานการสืบสวนการบุกรุกที่แสดงให้เห็นถึงความพยายามหลบเลี่ยงการตรวจจับในระดับที่ไม่ค่อยพบเห็น โดยแฮ็กเกอร์ใช้เว็บเซิร์ฟเวอร์ที่ถูกยึดเป็นจุดตั้งต้นตั้งแต่วันที่ 7 มิถุนายน แล้วรันคำสั่งสำรวจระบบพื้นฐานก่อนยกระดับการโจมตี

ทีม SOC ของ Huntress ตรวจพบเหตุการณ์นี้หลังจากระบบแจ้งเตือนกิจกรรมสำรวจที่ผิดปกติซึ่งถูกสั่งจากโปรเซส IIS worker ที่ดูปกติ ความผิดปกติดังกล่าวนำนักสืบสวนไปพบเว็บเชลล์ที่ซ่อนด้วย steganography ในไฟล์ภาพ ชื่อไฟล์ UA4fp7R.aspx ซึ่งถูกวางไว้ในไดเรกทอรีที่ควรจะเก็บเฉพาะรูปภาพเท่านั้น นับเป็นจุดเริ่มต้นของห่วงโซ่การโจมตีที่ใหญ่กว่ามาก

หัวใจของแผนการคือสคริปต์แบตช์ชื่อ i.bat ซึ่ง Huntress กู้คืนมาได้ก่อนที่มันจะถูกลบทิ้ง สคริปต์นี้เริ่มจากปิดการเก็บล็อก HTTP ของ IIS เพื่อตัดการมองเห็นกิจกรรมของเว็บเชลล์ แล้วรันคำสั่ง PowerShell เพื่อลดทอนความสามารถของ Microsoft Defender ทั้งการปิด real-time monitoring, behavior monitoring, script scanning และ sample submission โดยมีสคริปต์เสริมชื่อ DisableDefender.ps1 ตอกย้ำการเปลี่ยนแปลงเหล่านี้ก่อนถูกลบเพื่อกลบร่องรอย จากนั้นผู้โจมตีใช้ taskkill และตัวควบคุมบริการของ Windows สั่งหยุดและถอน Sysmon, Filebeat รวมถึงเครื่องมือ endpoint security หลายตัว เช่นผลิตภัณฑ์จาก Cortex, SentinelOne และ Dr.Web ทำให้ระบบตาบอดต่อกิจกรรมมุ่งร้ายทั้งหมด นาย Huntress ระบุว่าการบุกรุกถูกยับยั้งได้ก่อนที่ข้อมูลจะถูกขโมยออกไป เพราะ SOC จับกิจกรรมได้ทันเวลา

Hackers disable Microsoft Defender Sysmon and WAF before dumping credentials with Mimikatz
Hackers disable Microsoft Defender Sysmon and WAF before dumping credentials with Mimikatz

วิธีการโจมตี

ผู้โจมตียังใช้ฟีเจอร์ Image File Execution Options (IFEO) บังคับให้ Sysmon, Filebeat และ SetACL เข้าสู่สถานะ debugger ทำให้โปรแกรมเหล่านั้นค้างและหยุดทำงานทั้งหมด ต่อมาใช้คำสั่ง appcmd เพื่อไล่รายชื่อเว็บไซต์บน IIS ก่อนถอนการติดตั้ง ModSecurity ซึ่งเป็น web application firewall ทำให้ระบบสูญเสียการป้องกันจากการโจมตีแบบ SQL injection และ cross-site scripting

เมื่อกลไกป้องกันถูกรื้อออกจนหมด ผู้โจมตีจึงหันมาขโมยรหัสผ่าน โดยนำเข้าไฟล์ registry เพื่อแก้ค่า WDigest บังคับให้ Windows เก็บรหัสผ่านเป็นข้อความธรรมดา (plaintext) ในหน่วยความจำแทนที่จะเป็นรูปแบบที่ถูกป้องกัน จากนั้นดึง credential ของ ODBC ที่เก็บใน registry และรันเครื่องมือที่ระบุว่าเป็น g.com และ hs.com ซึ่งเขียนข้อมูลที่ขโมยลงไฟล์ pass.txt และ hash.txt ส่วนไดรเวอร์เคอร์เนลของ Mimikatz ชื่อ mimidrv.sys ถูกใช้ดูดรหัสผ่านจากหน่วยความจำโดยตรงก่อนถูกลบทิ้ง

นอกจากการขโมยรหัสผ่าน สคริปต์ยังมีโค้ดที่ถูกคอมเมนต์ไว้สำหรับสร้าง WMI event consumer ที่สามารถล้างล็อกเหตุการณ์ของ Windows โดยอัตโนมัติ พร้อมคำสั่งลบสิทธิ์ไฟล์บนองค์ประกอบหลักของ Windows ซึ่งชี้ว่าผู้โจมตีเตรียมพร้อมยกระดับการโจมตีต่อไปอีก ก่อนออกจากระบบ ผู้โจมตีลบไฟล์ที่สร้างขึ้น ล้างคีย์ registry ที่ผูกกับ WScript และ Shell.Application และล้างล็อกเหตุการณ์ทั้งฝั่ง security, system และ application

ผลกระทบต่อไทย

องค์กรในไทยจำนวนมากใช้เว็บเซิร์ฟเวอร์ IIS ที่เปิดสู่อินเทอร์เน็ตและพึ่งพา Microsoft Defender เป็นแนวป้องกันหลัก การโจมตีลักษณะนี้อันตรายเป็นพิเศษเพราะมุ่งปิดการมองเห็นของทีมความปลอดภัยก่อน ทำให้เครื่องมือตรวจจับที่หลายองค์กรพึ่งพาไม่สามารถส่งสัญญาณเตือนได้ หน่วยงานที่ไม่มี SOC เฝ้าระวังตลอด 24 ชั่วโมงหรือไม่ได้ส่งล็อกออกไปเก็บนอกเครื่อง (log forwarding) จะตกเป็นเป้าที่เสี่ยงสูง เพราะเมื่อผู้โจมตีปิดล็อกในเครื่องได้แล้วก็แทบไม่เหลือหลักฐานให้สืบสวนย้อนหลัง

กรณีนี้ยังเน้นย้ำว่าการกู้คืนระบบที่ถูกบุกรุกต้องทำให้เสร็จสมบูรณ์ก่อนนำกลับมาออนไลน์ เพราะการรีบเปิดเซิร์ฟเวอร์กลับมาทั้งที่ยังกำจัดผู้โจมตีไม่หมด เปิดโอกาสให้แฮ็กเกอร์กลับเข้ามาซ้ำได้ ดังที่เกิดขึ้นในเหตุการณ์นี้ องค์กรไทยที่ดูแลเซิร์ฟเวอร์สำคัญจึงควรทบทวนกระบวนการ incident response ให้รัดกุม

คำแนะนำ

ผู้ดูแลระบบควรใช้หลักสุขอนามัยความปลอดภัยพื้นฐานเพื่อป้องกันการโจมตีลักษณะเดียวกัน ได้แก่ อัปเดตแพตช์ซอฟต์แวร์ให้ครบถ้วนอยู่เสมอ, ตรวจสอบว่าการเก็บล็อกทำงานครบทั้งเว็บเซิร์ฟเวอร์และเอนด์พอยต์, และวางเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ตไว้หลังไฟร์วอลล์หรือ VPN เมื่อทำได้ ควรตั้งค่าให้ล็อกถูกส่งออกไปเก็บที่ระบบรวมศูนย์ (SIEM) แบบเรียลไทม์ เพื่อให้ยังมีหลักฐานแม้ผู้โจมตีจะปิดล็อกในเครื่อง

นอกจากนี้ควรเฝ้าระวังการเปลี่ยนแปลงค่า WDigest ในregistry, การปิด Microsoft Defender ผ่าน PowerShell, การถอน Sysmon หรือ WAF อย่างผิดปกติ และตรวจหาเว็บเชลล์ที่อาจซ่อนในไดเรกทอรีเก็บรูปภาพ ที่สำคัญที่สุดคือ กระบวนการ incident response ต้องดำเนินให้เสร็จสมบูรณ์ก่อนนำเซิร์ฟเวอร์กลับมาใช้งาน

Indicators of Compromise (IoCs)

หมายเหตุ: ไฟล์และเครื่องมือด้านล่างเป็นสิ่งบ่งชี้ (artifacts) ที่พบในการบุกรุกครั้งนี้

Indicatorประเภทคำอธิบาย
UA4fp7R.aspxWebshellเว็บเชลล์ที่ซ่อนด้วย steganography ในไฟล์ภาพ
i.batScriptสคริปต์แบตช์หลักที่ปิดล็อกและเครื่องมือความปลอดภัย
DisableDefender.ps1Scriptสคริปต์ PowerShell ปิด Microsoft Defender
mimidrv.sysDriverไดรเวอร์เคอร์เนลของ Mimikatz ใช้ดูดรหัสผ่าน
g.com, hs.comToolเครื่องมือดึง credential เขียนผลลง pass.txt / hash.txt
pass.txt, hash.txtArtifactไฟล์เก็บรหัสผ่านและ hash ที่ถูกขโมย

แหล่งอ้างอิง