Deception Technology มุมมองใหม่ของการตรวจจับภัยคุกคามทางไซเบอร์ Part 2
สวัสดีเพื่อนๆที่รักทุกคน ผมสิรินะครับเป็น Engineer บริษัท SRS Integration ครับ วันนี้ผมอยากจะแชร์ความรู้ด้าน Deception Technology ของ SentinelOne ให้เพื่อนๆดูกันนะว่ามันเจ๋งมันเทพยังไง มีแล้วชีวิตดีขึ้นยังไง
สมมุติว่าเพื่อน ๆ มีหนูเข้ามาในบ้านปวดหัวกันไหมครับ? ลองจินตนาการดูว่าถ้าจะต้องจับหนูด้วยตัวเอง โดยไม่มีอุปกรณ์ช่วยจะเป็นยังไงปวดหัวหนักกว่าเดิมแล้วใช่ไหมละครับ โดยปกติแล้วจะได้ยินแต่เสียงแต่ไม่เห็นตัวมัน ทำยังไงตัวเจ้าปัญหาไม่ออกมาให้จับง่าย ๆ หน่ะสิ ลงทุนนั่งเฝ้าทั้งวันมันก็ไม่ออกมาให้เห็นด้วยซ้ำแล้วจะจับยังไง? แต่ถ้าเราใช้กับดักหนูปัญหานี้ก็จะจบไป หลังจากตื่นนอนก็สามารถได้จับหนูได้แล้ว
ซึ่งโลกของ IT พวก Attacker หรือ Hacker นั้นเปรียบเสมือนแขกที่ไม่ได้รับเชิญและไม่มีใครอยากให้เข้ามาภายใต้องค์กรของเรา หากเขาพวกสามารถเล็ดลอดเข้ามาได้แล้ว ต่อไปพวกเขาจะพุ่งหาเป้าหมายที่เป็นจุดที่สามารถสร้างความเสียหายได้มากที่สุด โดยทั่ว ๆ ไปแล้วคือข้อมูลสำคัญขององค์กร เช่น ข้อมูลของคู่ค้า ข้อมูลด้าน HR หรือ กลยุทธ์ด้านธุรกิจ ถ้าข้อมูลนี้ถูกขโมยไปแล้วความเสียหายที่เกิดขึ้นนั้นแน่นอนว่าไม่สามารถประเมิณค่าได้ ทั้งชื่อเสียงขององค์กร การถูกฟ้องร้องจากผู้ร่วมทุน แต่ถ้าวันนี้ผมบอกว่า Deception Technology ที่ช่วยให้เพื่อนตามล่าจับหนูที่อยู่ในองค์กรของเพื่อน ๆ ได้ละ มาเดี๋ยวเล่าให้ฟังครับ จริง ๆ เรามี Part 1 สำหรับเรื่องนี้ไปแล้วใครอยากอ่านตามไปอ่านกัน Deception-technology Part 1
SentinelOne มี Product Portfolio อยู่มากมายเลย แต่วันนี้ผมขอเน้นไปทาง Deception Technology ครับ SentinelOne จะเรียก Solution นี้ว่า Singularity Identity ซึ่งประกอบด้วย
Singularity Ranger AD (AD Visibility) ตรวจสุขภาพของ Domain Controller ดูช่องโหว่ (Vulnerabilities) การตั้งค่าที่ไม่เป็น Standard (Misconfiguration) และ ดูความเหมาะสมของนโยบาย (Weak Policy Setting)
Singularity Hologram (Deception in Network) ซ่อน Devices และสร้างกับดักหรือตัวล่อไว้ในระบบเครือข่ายให้พวก Insider หรือ Attacker ที่แอบอยู่ในองค์กรโจมตีเพื่อเปิดเผยตัวพวกเขาเอง
Singularity Identity (Deception and Protection in Endpoint) ซ่อน Domain Controller และปลอม Domain Controller ขึ้นแทนและยังสามารถซ่อน Credential ปลอมแล้วปล่อย Credential ปลอมให้ Attacker เห็นเพื่อล่อให้เข้ามาโจมตี
Feature ที่ผมจะหยิบมาเล่าให้เพื่อน ๆ ฟังคือ Singularity Identity ก่อนจะเริ่มเราต้องมีติดตั้ง Agent บนอุปกรณ์ที่เราสนใจกันก่อน ซึ่งในบทความนี้เราจะไม่ขอพูดถึงการ Installation นะครับ หลังจากที่เพื่อน ๆ ได้เข้าใจที่มาที่ไปของระบบ Deception แล้ว ต่อไปผมอยากจะมาเล่าเคสให้ฟัง พร้อมภาพประกอบที่ผมได้ลองใช้ระบบ SentinelOne Deception มาช่วยในการตรวจจับ Attacker ว่าสามารถช่วยให้จับโจรได้อย่างรวดเร็วได้อย่างไร แต่ก่อนที่ผมจะ demo โชว์ ผมอยากฝากเพื่อน ๆ จำ concept ของ SentinelOne ที่ใช้จับโจร ดังต่อไปนี้ครับ
เทคนิคอลนิดหน่อยนะครับ แต่ผมรู้อยู่แล้วว่าแฟนคลับของ SRS Integration คือ สาย IT อยู่แล้ว
SentinelOne Identity สามารถ Manage บน Cloud Portal นะครับ ผมเอาภาพตัวอย่างบางส่วนมาให้ดู เพื่อน ๆ จะเห็นได้ว่า ใน Portal มันมีเมนูหลัก ๆ คือ Dashboard, Analysis and Configuration
หากจะ Turn ON/OFF Feature ปรับ Config ทำได้ในนี้ครับ ซึ่งผมจะลองให้เพื่อน ๆ ดูในวันนี้คือ ADSecure-EP นั้นเองซึ่ง อยู่ในใต้ Singularity Identity ที่จะสร้างตัวล่อในมุมของ Endpoint
Singularity Identity
ADSecure-EP หลักการทำงานคือ Identity Agent มันจะ Intercept Traffic อะไรก็ตามที่มีการร้องขอไปหา Active Directory และมันจะหลบข้อมูลจริง แล้วใส่ตัวหลอกตอบไปให้ผู้ร้องขอแทนของจริง ซึ่งข้อมูลที่เขาได้ไปเอาไปทำอะไรไม่ได้เพราะมันไม่มีอยู่จริง และ SentinelOne จะ LOG&Notification แจ้ง Admin ครับ ไปดูภาพประกอบกัน
Test Scenario 1:
โจรที่เข้ามาในบ้านแล้วมันก็ต้องไปหาอาหาร แน่นอนโจรก็อยากไปยังห้องที่สำคัญที่สุด แหล่งรวบรวมทรัพย์ที่สำคัญ ในโลก IT ของเราก็คงหนีไม่พ้น AD หรือ Active directory นั้นเอง แล้วเราจะทำอย่างไร เพื่อให้โจรไปไม่ถึงห้องที่สำคัญของเราหล่ะครับ ยังจำ concept “ล่อ ลวง หลอก หลบ” ได้อยู่ไหม นั้นก็คือ เราจะทำการลวงให้ Attacker เมื่อมีการ query หาข้อมูล Domain controller และ Domain admin ให้ทำการส่งข้อมูลปลอมแทนไปครับ
สิ่งที่ Attacker เห็นตอน “ไม่มี ADSecure-EP”
ทดสอบ Query Domain Controller โดยใช้ Command
nltest /dclist:
เพื่อน ๆ จะเห็นได้ว่าหลังจากเรา query command ผลลัพธ์ที่เขาจะได้ domain controller จริงที่เขา Join อยู่
สิ่งที่ Attacker เห็นตอน “มี ADSecure-EP”
ผมใช้ Command เดิมแต่ได้ผลลัพธ์ที่ไม่เหมือนเดิม Domain controller ที่เขาเห็นจะเป็น ตัวล่อ Fake AD
สิ่งที่ Attacker เห็นตอน “ไม่มี ADSecure-EP”
ลอง query หา IP Address ของ AD ด้วย Command
nltest /dsgetdc:
เพื่อแสดง IP Address ของ AD ที่ Join อยู่
สิ่งที่ Attacker เห็นตอน “มี ADSecure-EP”
Query ด้วย Command
nltest /dsgetdc:
แต่ IP Address ที่เห็นจะเป็น IP ปลอม
Test Scenario 2:
พวกโจรที่ได้ข้อมูลปลอมใน scenario 1 ไปแล้วต่อมาพวกเขาจะเริ่มหา Credential ที่มีสิทธิ์สูงเพื่อเข้าถึง Domain Controller แล้วสามารถ สร้าง Impact ได้มากที่สุด ทางเราก็ให้ Credential ปลอมไปครับ ถ้าเห็นว่า Credential ที่เหมือนของที่มีอยู่ใน Domain Controller อยู่ ไม่ต้องกังวลไปเพราะ Password ที่เข้าได้ไปมันใช้ไม่ได้ ทุก ๆ Activity ของโจรตั้งแต่เข้ามาแตะ Decoy เรา monitor ได้
สิ่งที่ Attacker เห็นตอนไม่มี ADSecure-EP
ทดสอบ Query Domain Admin โดยใช้ Command
net group “domain admins” /domain
เพื่อน ๆ จะเห็นได้ว่าหลังจากเราใส่ Command query นี้ไปมันแสดงโชว์ domain admin ออกมาทั้งหมด หาก Attacker ได้จะสามารถเอาไปใช้ Hack เราต่อได้
สิ่งที่ Attacker เห็นตอนมี ADSecure-EP
ทดสอบใช้ command เดิม
net group “domain admins” /domain
ทาง Attacker ไม่เห็น Domain admin จริงๆของเราแต่จะเห็นของ Credential ปลอมที่เราสร้างไว้ หาก Attacker ขโมยข้อมูล Credential เหล่านี้ไปได้ก็ทำอะไรไม่ได้อยู่ดีและยังเปิดเผยตัวเองว่าเป็น Attacker
Singularity Hologram
จำลองตัวเพื่อน ๆ เองเป็น Role ต่าง ๆ ในองค์กรกัน
1-Before Singularity Hologram: มุมของ Admin และ User ที่เห็น Infrastructure ก่อนมี Singularity Hologram
2-With Singularity Hologram: มุมของ Admin ที่เห็น Infrastructure หลังจากที่ Implement Singularity Hologram จากภาพสีส้ม ๆ จะเห็นมีสัญลักษณ์ต่าง ๆ อยู่ใน Infra นั้นคือ กับดักมีไว้สำหรับหลอกล่อ Attacker หรือ Insider ให้เข้ามาโจมตีนั้นเอง ตัวกับดักมีหลายรูปแบบ มีทั้ง Laptop/Server ปลอม Web Service ปลอม และ Credential ปลอมที่อยู่ในอุปกรณ์จริง ๆ ของพี่ หมายความว่า หาก Attacker สามารถเจอ Server ที่มีตัวตนจริง สิ่งที่พวกเขาจะได้ไปก็คือ Credential ปลอม
3-What attacker Sees With Singularity Hologram: มุมของ Attacker/Insider เห็นพวกเขาจะไม่สามารถแยกแยะออกได้เลยว่า Infra ของเพื่อน ๆ นั้นมีกับดักอยู่ด้วย
4-What your Organization Sees With Singularity Hologram: มุมของ Admin และ User ที่เห็น Infrastructure หลังจากมี Singularity Hologram แล้ว หมายถึงหากว่าเพื่อน ๆ เป็น Admin หรือ Legitimate Authorize User ก็จะใช้งานได้ตามปกติ
น่าเสียดายเนื่องจากผมไม่มี Appliance ที่ให้เทสด้วยผมเองได้ ผมขอยืมภาพจาก SentinelOne Thailand มาใช้อธิบายให้เพื่อน ๆ เข้าใจว่าเจ้า Hologram นั้นทำอะไรได้บ้าง
1-Web Service ปลอม: หน้า Login ที่ Attacker พยายามจะโจมตีผ่านช่องทาง HTTPS
2-Share Drive ปลอม: ซ่อน Drive จริงแล้วแสดง Drive ของปลอมแล้วข้างในก็มีแต่ไฟล์ปลอม
3-SSH Service ปลอม: หากพยายามจะโจมตีผ่าน SSH ก็จะได้ Server ปลอมไปแทน
Viewing the ADSecure-EP Related Events
เพื่อน ๆ สามารถดู Activity ใครว่าเข้ามาแตะ AD ของเพื่อน ๆ รู้ได้อีกว่าในแต่ละ Activity ทำอะไรไปก่อนหน้านี้บ้างจนถึงจุดที่ Trigger กับ Policy ที่เราตั้งค่าไว้ และยังบอกได้อีกว่ากิจกรรมนั้น ๆ ตรงกับ MITRE ATT&CK Knowledge Base
View the ADSecure-EP Report
อันนี้จะไม่ได้ดูได้ลึกเท่ากับ Events แต่จะ Focus ว่า Decoy ตัวไหนถูกใช้นั้นเอง
สรุป
หากเป็น Attacker ไม่ว่าจะเริ่มจากประตูไหนก็เจอกับดัก ในขณะที่ Admin หรือ Legitimate User นั้นสามารถเข้าถึง Server Production ได้อย่างสบายๆ
SentinelOne ยังมี Line of Product อีกมากมายไม่ว่าจะเป็น AD Security, Deception, NextGen-AV and EDR หากเพื่อน ๆ สนใจบอกให้เรารู้นะค้าบบ
ทีมงาน Engineer มีประสบการณ์และมี Certificate พร้อม Support ตั้งแต่เริ่มจนจบได้ พวกเราพร้อมให้คำปรึกษาอย่างเต็มที่เลยครับ สามารถติดตามช่องทางอื่น ๆ ของ SRS Integration ได้ที่ลิงก์ด้านล่างนี้เลยครับ
#SRSI #Deception #Attivo #SentinelOne
Supported by SentinelOne Thailand
