Page 29 - CAT MAGAZINE VOL 14 No. 46 YEAR 2016 OCTOBER-DECEMBER
P. 29
CAT SCOOP
สำาหรับผู้ที่กังวลกับภัยคุกคามดังกล่าว ปลด Active Code ที่อีเมลเกตเวย์
มีคำาแนะนำา 5 ข้อเกี่ยวกับการสกัดการแพร่กระจาย 04 หากองค์กรรู้สึกว่า การใช้ Sandbox จะสิ้นเปลือง
ของมัลแวร์ที่ฝังมาในชุดคำาสั่งมาโคร ดังนี้ ทรัพยากรระบบมากเกินไป ทางเลือกอีกทาง
01 ยกเลิกการทำางานของ Macro หนึ่งก็คือดึงมาโครหรือ Active Code ดังกล่าวออกจากไฟล์เอกสาร
ที่แนบมากับอีเมล ตั้งแต่ที่อีเมลเกตเวย์เสียเลย
องค์กรต้องก�าหนดนโยบายให้ชัดเจนว่า ไม่อนุญาตให้มีการรัน
มาโครได้โดยอัตโนมัติ เนื่องจากโปรแกรม Microsoft Office
เวอร์ชันเก่าๆ จะรันมาโครที่ฝังอยู่ในเอกสารโดยไม่ขออนุญาต หรือแจ้งให้ผู้ใช้งาน “โค้ดมาโครในไฟล์เอกสารสามารถแยกการท�างาน และเริ่มต้น
โปรเซสใหม่ได้ที่เครื่องของผู้ใช้ ซึ่งหากเขียนโค้ดมาโครมาอย่างดี
ทราบ ส่วนการอัปเกรดมาใช้ Office 2013 หรือ Office 2016 ก็สามารถลดปัญหา ผู้เขียนก็สามารถซ่อนลิงก์ส�าหรับการดาวน์โหลดไว้ได้อย่าง
ลงได้เช่นกัน อย่างไรก็ดี ใช่ว่าจะป้องกันได้ 100% เพราะอาชญากรอินเทอร์เน็ต แนบเนียน” ผู้เชี่ยวชาญจาก Mimecast ชี้แนะ
เองก็เตรียมหาทางออกอื่นไว้แล้ว โดยอาจเปลี่ยนไปใช้เทคนิคทางจิตวิทยาแทน
เพื่อกระตุ้นให้ผู้ใช้งานท�าการรันมาโครให้แทน การแปลงไฟล์ให้อยู่ในรูปแบบไฟล์ที่ปลอดภัยเป็นวิธีที่จะมั่นใจ
ได้มากที่สุดว่าโค้ดร้ายต่างๆ ถูกลบออกไปแล้ว และไม่ได้ใช้เวลา
นอกจากนั้นก็มีคุณสมบัติ Protected View ที่ไมโครซอฟท์พัฒนาขึ้นเพื่อป้องกัน มากมาย เพียงแต่ไฟล์ที่พนักงานได้รับจะเป็นไฟล์ที่ไม่มี Active
ผู้ใช้งานจากการรันโค้ดโดยอัตโนมัติ อย่างไรก็ดี อาชญากรอินเทอร์เน็ตก็สามารถ Code แล้วเท่านั้นเอง หรือในกรณีที่พนักงานต้องการไฟล์ต้นฉบับ
ใช้เทคนิคหลอกล่อให้ผู้ใช้งานท�าการปิดคุณสมบัตินี้ได้เช่นกัน จากนั้นจึงค่อย ก็สามารถน�าไฟล์ต้นฉบับไปเปิดใน Sandbox ก่อน เพื่อตรวจสอบ
หลอกให้รันมาโครในภายหลัง ว่ามีโค้ดร้ายมาด้วยหรือไม่ กระบวนการนี้สามารถปลดโค้ดร้าย
ที่อาจมากับไฟล์แนบ แถมยังไม่กระทบกับประสิทธิภาพโดยรวม
การก�าหนดนโยบายสั่งห้ามรันมาโครของผู้บริหารองค์กรจึงถือเป็นแนวทางป้องกัน ของเซิร์ฟเวอร์ด้วย
การโจมตีที่เป็นรูปธรรมที่สุด เว้นเสียแต่ว่า องค์กรจะระบุตัวพนักงานได้เลยว่า
ใครจ�าเป็นต้องใช้งานมาโครบ้าง แต่โดยทั่วไปแล้ว ก็เป็นเรื่องที่สมเหตุสมผล อบรมให้ความรู้
ที่จะสั่งปิดฟังก์ชันการรันมาโครโดยอัตโนมัติ เพราะเท่ากับช่วยลดความเสี่ยง 05 การอบรมให้ความรู้ด้านซีเคียวริตี้เป็นหน้าที่ของ
และโอกาสที่จะถูก Ransomware โจมตีได้นั่นเอง อบรมแล้ว เมื่อเจอสถานการณ์จริงก็อาจอะลุ่มอล่วยจนเกิดปัญหา
องค์กร แต่บางครั้ง ตัวพนักงานเองแม้จะได้รับการ
02 ใช้งานเฉพาะแอปพลิเคชันที่จำาเป็น ตามมาได้มากมาย
อาชญากรอินเทอร์เน็ตทราบดีว่า องค์กรส่วนใหญ่มีการใช้งาน
โปรแกรม Microsoft Word และ Microsoft Excel เป็นหลัก
จึงท�าให้ไฟล์ Word ที่มีนามสกุล .doc และ .docx หรือไฟล์ Excel ที่มีนามสกุล .xls การศึกษาของ Mimecast สนับสนุนความจริงข้อนี้ โดยมีผู้ตอบ
แบบสอบถามถึง 67% ยอมรับว่าไม่มั่นใจว่าพนักงานของตนเอง
และ .xlsx เป็นไฟล์ที่อาชญากรอินเทอร์เน็ตมักใช้ในการลักลอบเผยแพร่มัลแวร์ จะสามารถสังเกตถึงการโจมตีโดยใช้มาโครได้หรือไม่
นี่จึงเป็นอีกเหตุผลหนึ่งที่ว่าท�าไมจึงควรยกเลิกการใช้มาโคร หากเป็นไปได้ ค�าตอบนี้เป็นผลมาจากระดับของการอบรมให้ความรู้ที่ไม่เพียงพอ
03 เปิดใช้งาน e-Mail Attachment และขาดความถี่ที่เหมาะสม การอบรมจึงเป็นสิ่งที่ควรท�าด้วย
Sandboxing
ความสนใจ เอาใจใส่ เพื่อให้พนักงานเกิดความตระหนักในภัย
องค์กรจ�านวนมากยังคงเน้นการรักษาความปลอดภัยของอีเมล
ที่เกตเวย์ ซึ่งไม่มีผลต่อมาโครที่แฝงไวรัสร้ายมาด้วย เนื่องจากไม่มีจุดสังเกตใดๆ ด้านระบบรักษาความปลอดภัย
ที่แสดงให้เห็นว่ามีโค้ดร้ายซ่อนอยู่ในมาโครขณะมีการส่งไฟล์นั้นผ่านเข้ามาทาง
เกตเวย์เลย ดังนั้น โปรแกรมแอนติไวรัสที่คอยท�าการสแกน ณ บริเวณเกตเวย์ก็
จะไม่สามารถตรวจพบภัยร้ายเหล่านี้ได้นั่นเอง
วิธีลดความเสี่ยงจากภัยดังกล่าวได้ผลอย่างมากที่สุดก็คือการรันผ่าน Sandbox
ซึ่งเป็นพื้นที่ปลอดภัยส�าหรับช่วยรันไฟล์แนบที่มากับอีเมล การใช้ Sandbox นั้น
จะท�าให้เห็นตัวตนของไฟล์ที่แนบมาว่ามันพยายามจะดาวน์โหลดไฟล์ .exe หรือ
.msi หรือไม่ และหากพบพฤติกรรมดังกล่าว เราก็จะบล็อกไฟล์เหล่านั้นได้ทัน
ที่มา : http://www.darkreading.com/vulnerabilities---threats/5-email-security-tips-to-combat-macro-enabled-ransomware/d/d-id/1326473 CAT MAGAZINE 27
