More Related Content
Similar to รายงานประจำปีไทยเซิร์ต 2556
Similar to รายงานประจำปีไทยเซิร์ต 2556 (20)
รายงานประจำปีไทยเซิร์ต 2556
- 4. ชื่อเรื่อง : รายงานประจ�ำปีไทยเซิร์ต 2556 (2013 ThaiCERT ANNUAL REPORT)
เรียบเรียงโดย : สุรางคณา วายุภาพ, ชัยชนะ มิตรพันธ์, สรณันท์ จิวะสุรัตน์, ธงชัย แสงศิริ
พรพรหม ประภากิตติกุล, ธงชัย ศิลปวรางกูร, ณัฐโชติ ตุสิตานนท์ และทีมไทยเซิร์ต
เลข ISBN : ISBN 978-616-91910-8-7
พิมพ์ครั้งที่ : 1 พฤศจิกายน 2557
พิมพ์จ�ำนวน : 1,000 เล่ม
ราคา : 300 บาท
สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537
จัดพิมพ์และเผยแพร่โดย :
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(Thailand Computer Emergency Response Team)
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี) ชั้น 21 เลขที่ 33/4
ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
โทรศัพท์ : 0 2123 1234 | โทรสาร : 0 2123 1200
อีเมล : office@thaicert.or.th
เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th
เว็บไซต์ สพธอ. : www.etda.or.th
เว็บไซต์กระทรวงไอซีที : www.mict.go.th
- 9. ในระยะ 3 ปี ที่ผ่านมา “ไทยเซิร์ต” ภายใต้ สพธอ.
ได้มีส่วนดูแลและปกป้องธุรกรรมออนไลน์
ของประเทศไทย ซึ่งผมและกรรมการบริหาร สพธอ.
พร้อมผลักดันและสนับสนุนการทำ�งานของ
“ไทยเซิร์ต” ให้เข้มแข็งมากขึ้นและเป็นกำ�ลังสำ�คัญ
ในด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ
เพื่อพร้อมเข้าสู่ AEC2015
จรัมพร โชติกเสถียร
ประธานกรรมการบริหาร สพธอ.
- 12. 12
CONTENTS | สารบัญ
สารจากผู้ก�ำหนดทิศทาง “ไทยเซิร์ต” 4
สารบัญ/ สารบัญตาราง/ สารบัญรูปภาพ/ สารบัญกราฟ 12
บทน�ำ 20
บทที่ 1 ผลงานเด่นและเหตุการณ์ส�ำคัญ ปี 2556 22
1.1 ThaiCERT 2013 Infographic 24
1.2 Key Event Timeline 2013 26
บทที่ 2 บริการของไทยเซิร์ต 30
2.1 บริการรับมือและจัดการสถานการณ์ด้านความมั่นคงปลอดภัย 32
2.2 บริการวิชาการด้านความมั่นคงปลอดภัย 33
2.3 บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสารด้านความมั่นคงปลอดภัย 34
2.4 บริการตรวจพิสูจน์พยานหลักฐานดิจิทัล 35
2.5 บริการตรวจสอบและประเมินช่องโหว่ของระบบสารสนเทศ 36
- 13. 13
บทที่ 3 รายงาน Threat & Cybersecurity ปี 2556 38
3.1 ภัยคุกคามที่ไทยเซิร์ตได้รับแจ้ง 39
3.1.1 สถิติภัยคุกคามด้านสารสนเทศที่ได้รับแจ้งผ่านระบบอัตโนมัติ 41
3.1.2 สถิติภัยคุกคามที่ได้รับการประสานและจัดการโดยไทยเซิร์ต 59
3.2 ภัยคุกคามที่เป็นกรณีศึกษาที่ไทยเซิร์ตเข้าไปด�ำเนินการ 64
3.2.1 กรณีพบการโจมตีเว็บไซต์ที่ใช้ระบบบริหารจัดการเว็บไซต์ CMS ของไทย 65
3.2.2 กรณีแอปพลิเคชันธนาคารออนไลน์ปลอมในระบบปฏิบัติการแอนดรอยด์ 66
3.2.3 กรณีเว็บไซต์ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม 68
3.2.4 กรณีไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi 70
3.2.5 กรณี Web Defacement หน่วยงานส�ำคัญในประเทศ 72
3.2.6 กรณีการตรวจพิสูจน์พยานหลักฐานเครื่อง BitTorent Server 75
บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร์ 76
4.1 ประชุม อบรม สัมมนา และกิจกรรมอื่น ๆ 77
4.1.1 ประชุมและสัมมนาที่ไทยเซิร์ตเช้าร่วม 78
4.1.2 ศึกษาดูงาน 82
4.1.3 กิจกรรมที่ไทยเซิร์ตเป็นเจ้าภาพ 83
4.2 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ 88
4.3 ข้อตกลงความร่วมมือกับหน่วยงานทั้งในและต่างประเทศ 90
- 14. 14
บทที่ 5 รายงาน CERTs ของประเทศสมาชิกอาเซียน +3 94
บทที่ 6 ความท้าทายในบทบาท National CERT 104
ภาคผนวก
ภาคผนวก ก การจัดประเภทของเหตุภัยคุกคามด้านสารสนเทศ 110
ภาคผนวก ข อภิธานศัพท์และค�ำย่อ 114
ภาคผนวก ค ข้อมูลสถิติรายงานภัยคุกคามที่ได้รับแจ้งจากระบบอัตโนมัติ 118
ภาคผนวก ง รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง ETDA/TISA iSEC 136
- 15. 15
สารบัญตารางตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก 46
ตารางที่ 2 ค�ำอธิบายของหมายเลขพอร์ตที่ถูกสแกน 58
ตารางที่ 3 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและแหล่งที่มาของผู้เกี่ยวข้อง 61
ตารางที่ 4 ข้อมูลการด�ำเนินการเหตุภัยคุกคามประเภท Fraud จ�ำแนกตามผู้เกี่ยวข้องและประเภทหน่วยงาน 62
ตารางที่ 5 ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ที่บุคลากร ThaiCERT ได้รับ 88
ตารางที่ 6 ข้อมูลของหน่วยงาน CERT ระดับประเทศในอาเซียน+3 95
ตารางที่ 7 ประเภทภัยคุกคามของรายงานที่ได้รับแจ้งผ่านระบบอัตโนมัติ 110
ตารางที่ 8 แสดงประเภทของภัยคุกคามส�ำหรับการประสานเพื่อรับมือและจัดการ 112
ตารางที่ 9 อภิธานศัพท์และค�ำย่อ 114
ตารางที่ 10 จ�ำนวนหมายเลขไอพีของเครือข่าย (AS number ที่ได้รับแจ้งเหตุภัยคุกคาม) ที่ได้รับแจ้งรายงานภัยคุกคามสูงที่สุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 118
ตารางที่ 11 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานประเภท Botnet สูงที่สุด 120
ตารางที่ 12 สถิติประเภท Open DNS Resolver นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 122
ตารางที่ 13 สถิติประเภท Scanning นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 124
- 16. 16
สารบัญตารางตารางที่ 14 สถิติประเภท Spam นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 126
ตารางที่ 15 สถิติประเภท Open Proxy Server นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 128
ตารางที่ 16 สถิติประเภท Malware URL นับตามจ�ำนวนURL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 17 สถิติประเภท Web Defacement นับตามจ�ำนวน URL และหมายเลขไอพีที่ไม่ซ�้ำที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 130
ตารางที่ 18 สถิติประเภท Phishing ที่ถูกรายงานสูงสุด 10 อันดับแรก จ�ำแนกตามผู้ให้บริการเครือข่าย 134
ตารางที่ 19 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-M 136
ตารางที่ 20 รายชื่อผู้ที่สอบวัดระดับและได้รับใบรับรอง iSEC-T 137
- 17. 17
สารบัญรูปภาพรูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS amplification attack (ที่มา: secureworks com) 50
รูปที่ 2 ตัวอย่างเว็บไซต์ที่ถูกโจมตี Web Defacement 65
รูปที่ 3 ตัวอย่างแอปพลิเคชันปลอม 66
รูปที่ 4 โครงสร้างของไฟล์ภายในแอปพลิเคชันปลอม 67
รูปที่ 5 พฤติกรรมของการส่ง SMS ที่ตรวจสอบได้ 67
รูปที่ 6 การดาวน์โหลด Java Applet ไม่พึงประสงค์ 68
รูปที่ 7 เว็บไซต์ของธนาคารที่ถูกเพิ่มเนื้อหาเข้าไปโดยโปรแกรมไม่พึงประสงค์ 69
รูปที่ 8 แสดงการจ�ำลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ 70
รูปที่ 9 แสดงหน้าต่างแจ้งเตือนการอัปเดต 70
รูปที่ 10 ตัวอย่างการโจมตีในลักษณะ Web defacement กับเว็บไซต์ของกระทรวงศึกษาธิการ 74
รูปที่ 11 อันดับความสามารถในการแข่งขันด้านความมั่นคงปลอดภัยไซเบอร์ในรายงาน World Competitiveness Rankings 2013 ของ IMD 105
- 18. 18
สารบัญกราฟกราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี 41
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 42
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง 43
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่างๆ จ�ำแนกตามประเภทภัยคุกคาม 44
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง 46
กราฟที่ 6 เปรียบเทียบการบุกรุกเว็บไซต์แบบต่าง ๆ 52
กราฟที่ 7 เปรียบเทียบการโจมตีเว็บไซต์แบบต่าง ๆ โดยจ�ำแนกตามประเภทของเว็บไซต์ 53
กราฟที่ 8 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Malware URL สูงที่สุด 54
กราฟที่ 9 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Web Defacement สูงที่สุด 55
กราฟที่ 10 10 อันดับแรกของ โดเมนเนม ที่มีจ�ำนวนรายงานประเภท Phishing สูงที่สุด 56
กราฟที่ 11 10 อันดับแรกของหมายเลขพอร์ตที่ถูกสแกนสูงสุด นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 57
กราฟที่ 12 จ�ำนวนเหตุภัยคุกคามที่ไทยเซิร์ตด�ำเนินการระหว่างปี 2547 - 2556 59
- 19. 19
สารบัญกราฟกราฟที่ 13 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 60
กราฟที่ 14 สถิติเหตุภัยคุกคามที่ไทยเซิร์ตได้รับแจ้งโดยตรงในปี 2556 จ�ำแนกตามประเทศของผู้แจ้ง 61
กราฟที่ 15 สัดส่วนโดเมนที่ได้ถูกแจ้งซ�้ำภัยคุกคามประเภท Fraud และ Intrusions โดยจ�ำแนกตามประเภทของเว็บไซต์ 63
กราฟที่ 16 จ�ำนวนรายงานมัลแวร์ที่ได้รับแจ้งจาก Microsoft ในแต่ละเดือนในปี 2556 นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ 64
กราฟที่ 17 สถิติภัยคุกคามประเภท Web Defacement จ�ำแนกเฉพาะหน่วยงานของรัฐในภูมิภาคอาเซียนในปี 2556 72
กราฟที่ 18 สถิติภัยคุกคามประเภท Web Defacement ปี 2556 จ�ำแนกตามประเภทหน่วยงาน (เฉพาะ .th) 73
กราฟที่ 19 จ�ำนวนรายงานภัยคุกคามด้านสารสนเทศที่หน่วยงาน CERT ของประเทศในอาเซียน+3 ได้รับแจ้งระหว่างปี 2550-2555 101
กราฟที่ 20 สัดส่วนของภัยคุกคามแต่ละประเภทที่ถูกแจ้งไปยังหน่วยงาน CERT ของแต่ละประเทศในกลุ่มอาเซียน+3 ในปี 2554 และ 2555 102
- 20. 20
บทนำ�
ไทยเซิร์ตภายใต้การน�ำของส�ำนักงานพัฒนา
ธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้เปิดให้
บริการต่อเนื่องมาเป็นปีที่ 3 แล้วนับตั้งแต่ที่มีมติคณะ
รัฐมนตรีเมื่อปี 2554 ให้โอนย้ายภารกิจมาจากศูนย์
เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติหรือ
NECTECโดยท�ำหน้าที่เป็นหน่วยงานภาครัฐหลักที่ตอบ
สนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัย
คอมพิวเตอร์ และให้การสนับสนุนที่จ�ำเป็นและค�ำ
แนะน�ำในการแก้ไขภัยคุกคามความมั่นคงปลอดภัย
รวมทั้งติดตามและเผยแพร่ข่าวสารและเหตุการณ์ทาง
ด้านความมั่นคงปลอดภัยทางด้านคอมพิวเตอร์ต่อ
สาธารณชน ตลอดจนท�ำการศึกษาและพัฒนาเครื่อง
มือและแนวทางต่าง ๆ ในการปฏิบัติเพื่อเพิ่มความ
มั่นคงปลอดภัยในการใช้คอมพิวเตอร์และเครือข่าย
อินเทอร์เน็ต ซึ่งที่ผ่านมาก็ประสบผลส�ำเร็จโดยอาศัย
ช่องทางความร่วมมือระหว่างเครือข่าย CERT ที่มีทั้ง
ภายในประเทศไทยและต่างประเทศช่วยเหลือซึ่งกัน
และกัน บริการของไทยเซิร์ตเป็นช่องทางส�ำคัญ
ที่ช่วยให้ค�ำปรึกษาและบรรเทาความเดือดร้อน
- 21. 21
ในเบื้องต้นให้แก่ประชาชนที่ได้รับผลกระทบจากโปรแกรมไม่
พึงประสงค์ การบุกรุกเข้าระบบ ความพยายามรวบรวมข้อมูล
การโจมตีสภาพความพร้อมใช้งาน การฉ้อโกง ฯลฯ ก่อนที่จะ
เข้าสู่การด�ำเนินการโดยผู้รักษากฎหมายต่อไป
ปัจจุบันเจ้าหน้าที่ไทยเซิร์ตสามารถรักษาระดับคุณภาพ
การให้บริการโดยด�ำเนินการตรวจสอบและวิเคราะห์เหตุเพื่อ
ประสานงานไปยังหน่วยงานที่เกี่ยวข้องได้ภายใน 6 ชั่วโมงหลัง
จากที่ได้รับแจ้งเหตุในช่วงวันเวลาท�ำการและได้ให้บริการตรวจ
พิสูจน์พยานหลักฐานดิจิทัลด้วยเจ้าหน้าที่ ผู้เชี่ยวชาญที่ได้รับ
ประกาศนียบัตรวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ใน
ระดับสากล โดยใช้เครื่องมือและกระบวนการที่สอดคล้องกับ
มาตรฐานสากลซึ่งจะได้รับการยอมรับทั่วโลกและสามารถ
รองรับการปฏิบัติงานในรูปแบบ e-Court ต่อไปในอนาคต
ไฮไลต์ที่ส�ำคัญในรอบปี 2556 นั้น ไทยเซิร์ตได้
ประสานงานและแจ้งเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทย
จากข้อมูลที่ได้รับผ่านเครือข่าย CERT จ�ำนวนสูงถึง 65 ล้าน
รายการ และรับมือและจัดการภัยคุกคามที่ได้รับแจ้งหรือ
ตรวจพบจ�ำนวน 1,745 เรื่อง (เพิ่มจากปีที่แล้ว 2 เท่า) เป็น
เหตุการณ์ประเภทเจาะระบบเว็บไซต์ที่ตั้งอยู่ในประเทศไทย
1,450 เว็บไซต์ และได้ให้บริการตรวจพิสูจน์พยานหลักฐาน
ดิจิทัล จ�ำนวน 11 เคส รวมปริมาณข้อมูลที่ท�ำส�ำเนาและ
ตรวจวิเคราะห์ 14 เทราไบต์ นอกจากนี้ ไทยเซิร์ต ยังมี
บทบาทเป็นผู้ที่ผลักดันการพัฒนาบุคลากรให้แก่หน่วยงาน
รัฐให้มีโอกาสได้เรียนและสอบประกาศนียบัตรวิชาชีพฯ เช่น
Certified Ethical Hacker (CEH) จัดการอบรมและบรรยาย
โดยผู้เชี่ยวชาญจากต่างประเทศ เช่น หลักสูตรเทคนิคการ
ตรวจพิสูจน์พยานหลักฐานดิจิทัลประเภทโทรศัพท์มือถือ
ร่วมกับส�ำนักงานต�ำรวจแห่งชาติ หลักสูตรอบรม OWASP
Open Web and Application Security Day ให้แก่ผู้พัฒนา
เว็บไทย จัดอบรมและประเมินสมรรถนะด้าน Security ให้
กับบุคลากรด้านความมั่นคงปลอดภัยด้วยมาตรฐาน Local
Certification ที่พัฒนาร่วมกับ Thailand Information
Security Association (TISA)
หนังสือรายงานประจ�ำปีของไทยเซิร์ตฉบับนี้จัดท�ำขึ้นเพื่อ
รวบรวมผลการปฏิบัติงานและเผยแพร่ข้อมูลที่เป็นประโยชน์
ต่อสาธารณะ และคาดหวังว่าจะเป็นประโยชน์ทั้งในแง่ข้อมูล
สถิติเชิงวิชาการที่จะน�ำไปอ้างอิงและเป็นประโยชน์ต่อการ
สร้างความตระหนักแก่ประชาชนทั่วไป และสร้างความสนใจ
ให้มีผู้ที่ประกอบอาชีพด้านความมั่นคงปลอดภัยสารสนเทศใน
ประเทศไทยเพิ่มมากขึ้น อีกทั้งยังเป็นประโยชน์ต่อผู้บริหาร
ที่มีหน้าที่ก�ำหนดนโยบายหรือแผนปฏิบัติของหน่วยงานหรือ
ตัดสินใจเกี่ยวกับนโยบายการใช้ระบบสารสนเทศอย่างมั่นคง
ปลอดภัย
สุรางคณา วายุภาพ
ผู้อ�ำนวยการ
ส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
- 24. 24
เพิ่มขึ้นจาก
953
เรื่อง
รับมือและจัดการ
ภัยคุกคามไซเบอร
ไดรับแจง 850 เรื่อง
ตรวจพบเอง 895 เรื่อง
เรื่อง1,745
2012ป
• Security Techniques 13 Certs
• Digital Forensics 8 Certs
• Security Mgt& Audit 4 Certs
บุคลากรไทยเซิรต
ใบรับรอง
สากลในป
2 0 1 325ไดรับ
• CEH ใหเจาหนาที่ของรัฐ 20 คน
• OWASP ใหนักพัฒนาเว็บไทย 38 คน
จาก 18 หนวยงาน
• อบรมและจัดประเมินสมรรถนะ
ดาน Security ในประเทศ จำนวน 120 คน
• รวมกับ สตช. อบรม Mobile Forensics 20 คน
• อบรมจัดตั้ง LaoCERT 20 คน
พัฒนาบุคลากรดาน Cybersecuriy
200กวา คน
เจาภาพประชุม
สัมมนานานาชาติ 2 งาน
• ก.พ. : ASEAN-Japan Information Security
Workshop ผูเขารวมงาน จาก 7 ประเทศ
มีผูเขารวมงานรวมกวา จาก
550
ประเทศ
59
คน
• มิ.ย. : 25th
Annual FIRST Conference 2013
ผูเขารวมงานจาก 59 ประเทศ
ผลงานดานการพัฒนาบุคลากร
ประสานงานและ
แจงเตือนภัยคุกคาม
ซึ่งเกี่ยวของกับจำนวนไอพี
65รายการ
ลาน
5.4หมายเลข
ลาน
ที่เกิดขึ้นในประเทศไทย
จากเครือขาย CERT ทั้งสิ้น
ผลงานดานสถิติของสถานการณ
ดานความมั่นคงปลอดภัย2)1)
ThaiCERT2013INFOGAPHIC
- 25. 25
จัด Cyber Drill
มีหนวยงานภาครัฐและรัฐวิสาหกิจ
จำลองการโจมตีดวย Malware
14ธนาคาร
เขารวม
และสถาบัน
การเงิน
26
หนวยงาน
2• LaoCERT
• Computer Crime Institute
(Dixie State University)
• SANS Institute
• EC-Council
• Ministry of Internal Affairs and
Communications (Japan)
• สตช.
ขยายเครือขายผาน
MoU6
ฉบับ
32
รวมปริมาณ
ขอมูลตรวจพิสูจน
ตรวจพิสูจนพยาน
หลักฐานดิจิทัล
11
กรณี
อุปกรณ
เทราไบต
เวลาเฉลี่ยแกไขปญหา
คาเฉลี่ยในการปด Phishing Site
31:23 ชั่วโมง
Phishing
ตรวจพบและ
ใหคำแนะนำ
ในการแกไขชองโหว
ชองโหว
ผลงานดานกิจกรรม
และบริการตาง ๆ
ผลงานดานดิจิทัลฟอเรนสิกส
3) 4)
14
ครั้ง
28หนวยงาน
ตรวจสอบ
ชองโหวใหกับ
- 26. 26
2013KEYEVENTTIMELINE
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
• เข้าร่วมซักซ้อมรับมือภัยคุกคามกับเครือข่าย
APCERT (APCERT Drill)
• แจ้งเตือน Web Defacement ไทยทีวีสีช่อง 3
(www.thaitv3.com)
• แจ้งเตือน Web Defacement กระทรวงวัฒนธรรม
(www.m-culture.go.th)
• เจ้าภาพจัดการประชุม “ASEAN-Japan
Information Security Policy Workshop”
• ลงนาม MoU ด้าน Cybersecurity กับ Ministry of
Internal Affairs and Communications
ประเทศญี่ปุ่น
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement สำ�นักงานคณะกรรมการธุรกรรมทาง
อิเล็กทรอนิกส์ (www.etcommission.go.th)
• จัดซักซ้อมรับมือภัยคุกคามให้หน่วยงานของรัฐ
(Government Cyber Drill)
• ลงนาม MoU ด้าน Digital Forensics กับ Dixie
State College of Utah’s Southwest Regional
Computer Crime Institute (SWRCCI) ประเทศ
สหรัฐอเมริกา
• แจ้งเตือนและให้คำ�แนะนำ�ในการแก้ไข Web
Defacement กระทรวงศึกษาธิการ
(www.moe.go.th)
• แจ้งเตือน ภัยมัลแวร์ Android หลอกขโมยเงินจาก
ธนาคารไทย
JANUARY FEBRUARY MARCH
- 27. 27
APRIL JUNEMAY
• ตรวจสอบช่องโหว่ให้กับหน่วยงานภาครัฐ 28 หน่วยงาน
• แจ้งเตือน ระวังภัย ช่องโหว่ในแอปพลิเคชัน Viber
ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูล
ในระบบปฏิบัติการ Android
• ร่วมกับ Thailand Information Security Association
(TISA) จัดอบรมและสอบประเมินสมรรถนะบุคลากรด้าน
ความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย
• ลงนาม MoU กับ EC-Council ด้านการพัฒนาบุคลากร
ด้านไซเบอร์
• ให้คำ�แนะนำ�ในการแก้ไข Web Defacement สำ�นักงาน
ปลัดสำ�นักนายกรัฐมนตรี (www.opm.go.th)
• ตรวจพบ แจ้งเตือน และให้คำ�แนะนำ�ในการแก้ไขช่องโหว่
ของระบบบริหารจัดการเว็บโอสติ้งของไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ ใน Internet Explorer 8
(CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว
• ให้การสนับสนุนข้อมูลเชิงเทคนิค การประชุมคณะ
กรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ครั้งที่ 1
• เจ้าภาพจัดงาน 25th
Annual FIRST Conference
Bangkok 2013
• แจ้งเตือน ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งใน
ประเทศไทยถูกโจมตีและฝัง e-Banking Trojan
- 28. 28
KEYEVENTSTIMELINE2556
กิจกรรมที่สำ�คัญเหตุการณ์ภัยคุกคามและการแจ้งเตือนที่สำ�คัญ
AUGUST SEPTEMBER
• ร่วมกับ OWASP จัดอบรม ETDA and OWASP:
Open Web and Application Security Day
• ลงนาม MoU กับ LaoCERT ด้านการรับมือและ
จัดการภัยคุกคามไซเบอร์
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Samsung Galaxy
S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใด ๆ
สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้
• ร่วมกับ EC-Council จัดอบรมหลักสูตร Certified
Ethical Hacker v8 (CEH) ให้ผู้เชี่ยวชาญไทย
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดี
สามารถอัปโหลดไฟล์อันตราย เข้ามาในระบบได้
• จัดซักซ้อมรับมือภัยคุกคามให้สถาบันการเงิน
(Financial Cyber Drill)
• ลงนาม MoU กับ สำ�นักงานตำ�รวจแห่งชาติ
ด้านการพัฒนาศักยภาพบุคลากร และมาตรฐาน
การตรวจพิสูจน์พยานหลักฐานดิจิทัล
• แจ้งเตือน ระวังภัย Firefox for Android มีช่องโหว่
ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันที
ที่เข้าเว็บไซต์
JULY
- 29. 29
NOVEMBER DECEMBER
• จัดอบรมการจัดตั้ง CERT ให้กับ LaoCERT
• ลงนาม MoU กับ SANS Institute ในด้านการพัฒนา
บุคลากรด้านไซเบอร์
• เข้าร่วมซักซ้อมรับมือภัยคุกคามไซเบอร์ในภูมิภาค
ASEAN (ASEAN CERT Incident Drill)
• แจ้งเตือน ระวังภัย ช่องโหว่ใน Internet Explorer
ทุกเวอร์ชัน Microsoft ทำ�ให้ผู้ไม่หวังดีสามารถสั่ง
ประมวลผลคำ�สั่งอันตรายได้ (CVE-2013-3893)
• เข้าร่วมและเผยแพร่ภารกิจของไทยเซิร์ต ในงาน ITU
Telecom World 2013 Bangkok
• เฝ้าระวังการโจมตีเว็บไซต์ของหน่วยงานสำ�คัญ และ
สนับสนุนบริการระบบสำ�รองสำ�หรับหน่วยงานที่ถูกปิด
ล้อม ในช่วงสถานการณ์ไม่ปกติ
• ตรวจพบช่องโหว่และประสานงานกับ บ. Naver เพื่อ
แก้ไขแอปพลิเคชัน LINE ป้องกันแฮกเกอร์สามารถดักรับ
ข้อมูล และอ่านบทสนทนาได้
• แจ้งเตือน ระวังภัย ATM Skimmer และข้อควรระวัง
ในการใช้งานตู้ ATM
• แจ้งเตือน ระวังภัย ช่องโหว่ของแอปพลิเคชัน LINE ผู้ใช้
งานควรอัปเดตเวอร์ชันใหม่
• แจ้งเตือน ระวังภัย ระวังภัย Microsoft แจ้งเตือน
ช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน
Adobe Reader
OCTOBER
- 31. 31
ในปี 2556 ไทยเซิร์ต�
รับมือและจัดการภัยคุกคาม
1,745 กรณี นอกจากนี้ยังให้
บริการสำ�รองข้อมูลและสำ�รองระบบ
เมื่อบางหน่วยงานถูกปิดล้อม
ไทยเซิร์ต(ThaiCERT)หรือศูนย์ประสานการรักษาความมั่นคง
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การก�ำกับดูแล
ของส�ำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์(องค์การมหาชน)
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เริ่มให้บริการใน
เดือนธันวาคม 2554 มีบทบาทที่ส�ำคัญในการรับมือและจัดการ
สถานการณ์ด้านความมั่นคงปลอดภัยทางออนไลน์ในขอบเขต
ครอบคลุมระบบเครือข่ายอินเทอร์เน็ตภายในประเทศไทย และ
ระบบคอมพิวเตอร์ภายใต้โดเมนเนม ประเทศไทย (.th) เป็น
ศูนย์กลางในการประสานความร่วมมือเพื่อแก้ไขและระงับ
เหตุภัยคุกคามด้านสารสนเทศ เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน (Business Continuity) และการ
ให้บริการของหน่วยงานต่าง ๆ โดยเฉพาะหน่วยงานที่ถือเป็น
โครงสร้างพื้นฐานส�ำคัญของประเทศ (Critical Infrastructure)
รวมถึงให้การสนับสนุนด้านเทคนิคกับหน่วยงานในสายยุติธรรม
เป้าหมายการดำ�เนินงานของไทยเซิร์ต
• เป็นศูนย์กลางของประเทศในการประสานความ
ร่วมมือและสนับสนุนหน่วยงานในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศ
• สามารถให้บริการรับมือและจัดการภัยคุกคามด้าน
ความมั่นคงปลอดภัย เพื่อรักษาความต่อเนื่องของการ
ด�ำเนินภารกิจของหน่วยงาน โดยเฉพาะหน่วยงานที่
เป็นโครงสร้างพื้นฐานส�ำคัญของประเทศ
• จัดเตรียมบุคลากรให้มีความพร้อมและความสามารถ
ที่ได้รับการยอมรับในระดับสากล ในการรับมือและ
จัดการเหตุภัยคุกคามด้านสารสนเทศ
• สนับสนุนหน่วยงานในสายยุติธรรมในการตรวจพิสูจน์
พยานหลักฐานดิจิทัลเพื่อติดตามตัวผู้กระท�ำผิดมาลงโทษ
• ส่งเสริมและสร้างความตระหนักในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศให้กับหน่วยงานและประชาชน
นอกจากนี้ การด�ำเนินงานของไทยเซิร์ต ยังสอดคล้องกับ
กรอบปฏิบัติที่ก�ำหนดไว้ใน ASEAN Economic Community
Blueprint ในข้อ B4 รายการที่ 51 และ 52 ในการสร้างความ
เชื่อมั่นให้กับภาคธุรกิจและประชาชนในการท�ำธุรกรรมทาง
อิเล็กทรอนิกส์ และลดความเสี่ยงในการเกิดความเสียหายจาก
ภัยคุกคามด้านสารสนเทศ
- 32. 32
บริการรับมือ
และจัดการสถานการณ์
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ต เป็น Computer Emergency Response
Team (CERT) ระดับประเทศที่ได้รับการยอมรับเป็นตัวแทน
ประเทศไทยในเครือข่าย CERT ระหว่างประเทศ เช่น
Asia Pacific CERT (APCERT) และ Forum of Incident
Response and Security Teams (FIRST) ท�ำหน้าที่รับแจ้ง
เหตุภัยคุกคาม ตรวจสอบ วิเคราะห์หาสาเหตุของปัญหา และ
ประสานงานกับหน่วยงานที่เกี่ยวข้องเพื่อระงับเหตุและแก้ไข
ปัญหานั้น ๆ ปัจจุบันก�ำหนดระดับคุณภาพการให้บริการ
(Service Level Agreement: SLA) ในการวิเคราะห์และ
แจ้งเตือนภัยคุกคามให้กับหน่วยงานที่เกี่ยวข้องทราบภายใน
2 วันท�ำการ เพื่อจ�ำกัดความเสียหายที่อาจเกิดขึ้น และฟื้นฟู
ระบบและการให้บริการโดยเร็วที่สุดซึ่งจะยกระดับการด�ำเนิน
การขึ้นเป็นขั้นตอนการรับมือและจัดการภัยคุกคามในระดับ
ประเทศ (National Incident Response Flow) ในปี 2556
ไทยเซิร์ตได้ด�ำเนินการรับมือและจัดการสถานการณ์ด้าน
ความมั่นคงปลอดภัยไปแล้ว 1,745 กรณี แบ่งเป็นประเภท
การฉ้อฉล (Fraud) สูงสุดคิดเป็นร้อยละ 39.77 การบุกรุก
หรือเจาะระบบได้ส�ำเร็จ (Intrusions) ร้อยละ 36.16 และ
ความพยายามจะบุกรุกเข้าระบบ (Intrusion Attempts)
ร้อยละ 18.11 ในจ�ำนวนนี้รวมถึงการให้ค�ำปรึกษาแก่หน่วย
งานของรัฐที่ถูกเจาะระบบเว็บไซต์เพื่อแก้ไขปัญหา นอกจาก
นี้ในช่วงเหตุการณ์ไม่ปกติทางการเมืองในปลายปี 2556
ไทยเซิร์ตได้ให้ความช่วยเหลือในการส�ำรองข้อมูล และจัดหา
สถานที่ส�ำหรับติดตั้งระบบให้แก่หน่วยงานของรัฐส�ำคัญหลาย
แห่งที่ถูกปิดล้อมและไม่สามารถท�ำงานได้ตามปกติด้วย
- 34. 34
บริการแจ้งเตือนและเผยแพร่ข้อมูลข่าวสาร
ด้านความมั่นคงปลอดภัย
ไทยเซิร์ตติดตามภัยคุกคามด้านสารสนเทศจากเครือข่าย
CERT ทั่วโลก รวมถึงแหล่งข่าวอื่น ๆ และน�ำข้อมูลมาตรวจ
สอบและวิเคราะห์ผลกระทบก่อนที่จะประกาศแจ้งเตือนภัย
ล่วงหน้า เพื่อให้หน่วยงานและประชาชนตระหนักและพร้อม
ที่จะรับมือกับเหตุการณ์ภัยคุกคามที่อาจเกิดขึ้น ผลงานใน
รอบปี ได้แก่ (1) รายงานประจ�ำปีไทยเซิร์ต ที่รวบรวมและ
วิเคราะห์สถิติทั้งปีกับกรณีศึกษาภัยคุกคามที่น่าสนใจ (2)
หนังสือ Cyber Threat Alerts 2013 ซึ่งแจ้งเตือนภัยคุกคาม
ที่่ส่งผลกระทบเป็นวงกว้างต่อผู้ใช้งานในประเทศ (3) หนังสือ
ThaiCERT Security Articles 2013 ซึ่งเป็นการรวมบทความ
ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (4) ข้อมูลเชิงสถิติ
ภัยคุกคามที่ไทยเซิร์ตประสานงานรับมือและจัดการภัยคุกคาม
ในแต่ละเดือน (5) เว็บไซต์ของไทยเซิร์ต ยังให้บริการเผยแพร่
ข้อมูลข่าวสารด้านความมั่นคงปลอดภัยทางออนไลน์การแจ้ง
เตือนภัยคุกคามต่าง ๆ ที่มีผลกระทบต่อผู้ใช้ในประเทศไทย
จ�ำนวนกว่า 50 เรื่อง เช่น การแจ้งเตือน ระวังภัย เว็บไซต์
ส�ำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอก
ให้ดาวน์โหลดแอนตี้ไวรัสปลอม การแจ้งเตือน ระวังภัย ATM
Skimmer และข้อควรระวังในการใช้งานตู้ ATM และการแจ้ง
เตือนช่องโหว่ของแอปพลิเคชัน LINE
- 35. 35
บริการตรวจพิสูจน์
พยานหลักฐานดิจิทัล
ศูนย์ดิจิทัลฟอเรนสิกส์ของไทยเซิร์ตให้บริการตรวจพิสูจน์
พยานหลักฐานที่สอดคล้องกับมาตรฐานสากลและรองรับการก้าว
ไปสู่ e-Court ในอนาคต ทั้งนี้เพื่อให้สามารถน�ำรายงานผลการ
ตรวจพิสูจน์ฯไปใช้อ้างอิงในศาลได้อย่างมั่นใจมีผู้เชี่ยวชาญที่ได้
รับประกาศนียบัตรจากสถาบันที่ได้รับการยอมรับทั่วโลก ในปี
2556 ให้บริการรวมจ�ำนวนทั้งสิ้น 11 กรณี จากหน่วยงาน เช่น
ส�ำนักงานต�ำรวจแห่งชาติ กองบังคับการปราบปรามการกระ
ท�ำความผิดเกี่ยวกับเทคโนโลยี(ปอท.)กองบังคับการปราบปรามการ
กระท�ำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ(ปอศ.)และ
ส�ำนักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
รวมปริมาณข้อมูลที่ตรวจพิสูจน์14เทราไบต์ประเภทของพยาน
หลักฐานดิจิทัลที่ได้รับมามีหลายรูปแบบเช่นเครื่องคอมพิวเตอร์
ตั้งโต๊ะโทรศัพท์มือถือไฟล์อิมเมจของเครื่องแม่ข่ายฮาร์ดดิสก์ที่
ถอดมาจากเครื่องคอมพิวเตอร์ผู้ต้องสงสัยหรือแม้แต่การไปเก็บ
พยานหลักฐานจากสถานที่เกิดเหตุเพื่อวิเคราะห์หาร่องรอยและ
ที่มาของผู้เจาะระบบค้นหาพยานหลักฐานการกระท�ำผิดละเมิด
ทรัพย์สินทางปัญญา ในหลายกรณีต้องใช้เทคนิคและเครื่องมือ
ที่มีความซับซ้อนมาช่วยตรวจวิเคราะห์และหาความเชื่อมโยง
ของพยานหลักฐานที่ตรวจพบ เช่น การอ่านข้อมูลจากชิปหน่วย
ความจ�ำของโทรศัพท์มือถือโดยตรง การตรวจสอบพฤติกรรม
ของมัลแวร์ในระบบจ�ำลองภายในห้องปฏิบัติการ เป็นต้น
- 39. 39
ในปี 2556 พบว่าภัย
คุกคามประเภท Botnet
และ Open DNS
Resolver มีจำ�นวน
หมายเลขไอพีที่ไม่ซ้ำ�กัน�
และเกี่ยวข้องกับภัยคุกคาม
ทั้ง 2 ประเภทนี้สูงขึ้น�
ประมาณ 10 เท่าตัว
3.1 ภัยคุกคาม�
ที่ไทยเซิร์ตได้รับแจ้ง
ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามที่เกิดขึ้น
ในขอบเขตการด�ำเนินงาน (Constituency)
ของไทยเซิร์ต ครอบคลุมระบบเครือข่าย
อินเทอร์เน็ตภายในประเทศไทย และระบบ
คอมพิวเตอร์ภายใต้โดเมนเนมของประเทศไทย
(.th) ผ่าน 2 ช่องทาง ประกอบด้วย ผู้เสียหาย
หรือผู้ที่มีส่วนได้ส่วนเสีย เช่น หน่วยงานของ
เครือข่าย CERT ในต่างประเทศ หรือหน่วย
งานผู้ให้บริการการรักษาความมั่นคงปลอดภัย
สารสนเทศกับผู้เสียหาย แจ้งเหตุภัยคุกคาม
โดยตรงกับไทยเซิร์ตผ่านทางอีเมลหรือโทรศัพท์
และหน่วยงานในเครือข่าย CERT ส่งข้อมูลภัย
คุกคามที่ตรวจพบในขอบเขตการด�ำเนินงาน
ของไทยเซิร์ตให้ผ่านระบบอัตโนมัติ ซึ่งในปี
2556 ไทยเซิร์ต ได้รับแจ้งเหตุภัยคุกคามผ่าน
ระบบอัตโนมัติ (Automatic Feed) เพิ่มเติม
จากปี 2555 ประกอบด้วย ข้อมูลภัยคุกคาม
Botnet และรายการระบบเว็บไซต์ที่ถูกเจาะ
ระบบส�ำเร็จ ท�ำให้ไทยเซิร์ตสามารถวิเคราะห์
ข้อมูลเกี่ยวกับสถานการณ์ภัยคุกคามของระบบ
เครือข่ายอินเทอร์เน็ตภายในประเทศไทย ได้
ครอบคลุมและแม่นย�ำมากขึ้น ซึ่งข้อมูลที่
ได้รับแจ้งทั้งหมด ไทยเซิร์ตจะด�ำเนินการ
วิเคราะห์ เพื่อยืนยันว่าเหตุภัยคุกคามที่ได้รับ
แจ้งได้เกิดขึ้นจริงหรือยืนยันว่าเหตุภัยคุกคาม
ได้รับแจ้งจากแหล่งข้อมูลที่น่าเชื่อถือ ก่อนจะ
ประสานไปยังผู้ที่เกี่ยวข้องเพื่อให้ด�ำเนินการแก้
ปัญหาภัยคุกคามที่ได้รับแจ้งข้างต้น อีกทั้งยัง
น�ำข้อมูลสถานการณ์ด้านความมั่นคงปลอดภัย
ที่ได้รับแจ้งทั้งหมดในปี 2556 มาวิเคราะห์
แนวโน้มภัยคุกคามด้านสารสนเทศที่เกิดขึ้นและ
จัดท�ำบทวิเคราะห์สถิติสถานการณ์ด้านความ
มั่นคงปลอดภัยคอมพิวเตอร์ ในภาพรวมของ
ประเทศไทย ซึ่งสามารถน�ำสรุปประเด็นที่น่า
สนใจได้ ดังนี้
• รายงานภัยคุกคามที่ได้รับมากที่สุด
ผ่านระบบอัตโนมัติ เป็นภัยคุกคามประเภท
Botnet โดยมีจ�ำนวนถึง 41,046,337 รายการ
คิดเป็นหมายเลขไอพีที่ไม่ซ�้ำกันถึง 2,829,348
หมายเลขรองลงมาคือOpenDNSResolver
และ Spam มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำกัน
1,695,783 และ 848,976 หมายเลข ตาม
ล�ำดับ
• เมื่อเปรียบเทียบกับข้อมูลในปี2555
พบว่าภัยคุกคามประเภท Botnet และ Open
DNS Resolver มีจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กันและเกี่ยวข้องกับภัยคุกคามทั้ง 2 ประเภท
นี้สูงขึ้นอย่างมีนัยส�ำคัญ (สูงขึ้นประมาณ 10
- 40. 40
เท่าตัว)ชี้ให้เห็นถึงเครื่องคอมพิวเตอร์ในระดับ
ผู้ใช้งานในประเทศไทย ที่ยังคงเป็นจุดอ่อน
และเป็นเป้าหมายหลักของการโจมตีด้วยมัลแวร์
รวมถึงปัญหาการตั้งค่าให้บริการ DNS ซึ่งมีอยู่
เป็นจ�ำนวนมาก
• ในปี 2556 ประเทศไทยมีจ�ำนวน
เครื่องคอมพิวเตอร์ที่ตรวจพบว่าตกเป็นเหยื่อ
ของการติดมัลแวร์ประเภท Botnet เฉลี่ย
อยู่ที่ 60,000 เครื่องต่อวัน โดยในวันที่ได้รับ
รายงานมากที่สุด (11 เม.ย. 2556) พบเครื่อง
ติดมัลแวร์ประเภท Botnet อยู่ประมาณ
100,000 เครื่อง โดยปัจจุบัน ไทยเซิร์ต ได้
ส่งข้อมูลเครื่องที่ตรวจพบว่าติดมัลแวร์ให้กับ
ผู้ให้บริการอินเทอร์เน็ตรายที่พบว่า มีเครื่อง
ติดมัลแวร์จ�ำนวนมากในเครือข่ายเป็นรายวันรวม
ถึงได้ให้ค�ำปรึกษาวิธีการแก้ไขปัญหาดังกล่าว
• จาก 10 อันดับแรกของผู้ให้บริการ
อินเทอร์เน็ตที่เป็นเจ้าของหมายเลขไอพี ที่
ได้รับแจ้งภัยคุกคามที่เกิดขึ้นในเครือข่ายสูง
ที่สุด พบว่าใน 4 อันดับแรก ได้แก่ TOT, True
Internet, Triple T Broadband และ Jastel
Network มีจ�ำนวนหมายเลขไอพีที่ได้รับการ
แจ้งรวมกันเป็นสัดส่วนสูงถึง 91%
• เมื่อพิจารณาภัยคุกคามที่เกี่ยวกับ
การบุกรุกเว็บไซต์ ซึ่งได้แก่ Phishing, Web
Defacement และ Malware URL พบว่ามี
เครื่องคอมพิวเตอร์ที่ให้บริการเว็บไซต์ถูกบุกรุก
ประมาณ3,000เครื่องโดยมากกว่าร้อยละ50
เป็นการบุกรุกในลักษณะ Web Defacement
ในขณะที่เว็บที่เผยแพร่มัลแวร์ (Malware
URL) มีจ�ำนวนกว่า 12,000 รายการ แสดง
ให้เห็นว่าจุดประสงค์ของผู้โจมตีไม่ได้ต้องการ
เพียงแค่ประกาศตัวว่าสามารถเจาะเว็บไซต์ได้
แต่มีจุดประสงค์ที่จะให้ผู้ใช้งานติดมัลแวร์เพื่อ
แสวงหาผลประโยชน์ในด้านอื่น ๆ ด้วย
• ในปี 2556 ไทยเซิร์ตได้รับมือและ
จัดการภัยคุกคามทั้งหมด 1,745 รายงาน
เพิ่มขึ้นมาประมาณ 2 เท่าจากปีก่อนหน้าที่
มีเพียง 792 รายงาน โดยประเภทภัยคุกคาม
ส่วนใหญ่คือ Phishing 694 รายงาน และ
Web Defacement 631 รายงาน รวมกัน
เป็นสัดส่วนกว่า 76% ของจ�ำนวนรายงาน
ทั้งหมด ซึ่งรายงาน Web Defacement เพิ่ม
ขึ้นจากปีที่แล้วกว่า 98% เนื่องจาก ไทยเซิร์ต
มีการรวบรวมข้อมูลการเจาะระบบเว็บไซต์ใน
ประเทศไทยจากหน่วยงานในเครือข่าย CERT
เพิ่มขึ้นจากช่องทางการรับแจ้งจากหน่วยงาน
ที่ได้รับผลกระทบเพียงอย่างเดียว
ผู้โจมตีไม่ได้ต้องการเพียงแค่
ประกาศตัวว่าสามารถเจาะ
เว็บไซต์ได้ แต่มีจุดประสงค์�
ที่จะให้ผู้ใช้งานติดมัลแวร์�
เพื่อแสวงหาผลประโยชน์�
ในด้านอื่น ๆ ด้วย
- 41. 41
3.1.1 สถิติภัยคุกคาม
ด้านสารสนเทศที่ได้รับ
แจ้งผ่านระบบอัตโนมัติ
จากการศึกษาข้อมูลจ�ำนวนผู้ที่ได้รับ
ผลกระทบจากภัยคุกคามประเภทต่าง ๆ โดย
นับจากหมายเลขไอพีที่ได้รับแจ้งในช่วงทุกครึ่ง
ปี พบจุดที่น่าสนใจคือ จ�ำนวนหมายเลขไอพี
ที่ไม่ซ�้ำของ Botnet ในครึ่งแรกของปี 2556
เพิ่มขึ้นจากช่วงเวลาก่อนหน้าถึง 8 เท่า และ
จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำของ Open DNS
Resolver ในครึ่งหลังของปี 2556 เพิ่มขึ้น
จากช่วงเวลาก่อนหน้าถึง 9 เท่า เนื่องจาก
ไทยเซิร์ตเริ่มได้รับข้อมูลประเภทBotnetจาก
ShadowServer ในเดือนมกราคม 2556 และ
เริ่มได้รับข้อมูลประเภทOpenDNSResolver
จาก ShadowServer ในเดือนสิงหาคม 2556
สัดสวน (รอยละ)
ก.ค. - ธ.ค. 2555 ม.ค. - มิ.ย. 2556 ก.ค. - ธ.ค. 2556
Botnet
Open DNS Resolver
Spam
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Brute Force
DDoS
0 20 40 60 80 100
กราฟที่ 1 จ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำที่ได้รับรายงานในแต่ละประเภทภัยคุกคามในช่วงทุกครึ่งปี
- 42. 42
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
True Internet: 2,249,472
TOT: 1,355,520
Jastel Network: 1,094,656
Triple T Broadband: 1,069,056
TT&T: 403,456
CAT Telecom: 308,224
DTAC: 266,240
SBN: 207,616
AWN: 102,400
Real Move: 65,536
จากกราฟที่ 2 พบว่า ผู้ให้บริการอินเทอร์เน็ตที่พบกับปัญหาด้านความมั่นคงปลอดภัย
มากที่สุดคือ TOT ซึ่งมีจ�ำนวนรายงานคิดเป็นสัดส่วนถึง 30% รองลงมาคือ True Internet
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจ�ำนวนรายงานจาก
บริษัททั้ง 4 รายนี้สามารถคิดเป็นสัดส่วนรวมกันได้ถึง 93% ของจ�ำนวนรายงานทั้งหมด และ
ยังจัดอยู่ในกลุ่มของโครงข่ายเครื่องคอมพิวเตอร์ทั้งสิ้น ในขณะที่บริษัทที่มีโครงข่ายโทรศัพท์
มือถืออย่าง Real Move, DTAC และ Advanced Wireless Network นั้น แม้จะติดอยู่ใน 10
อันดับแรกด้วย แต่มีสัดส่วนของจ�ำนวนรายงานรวมกันอยู่เพียง 4% เท่านั้น ในขณะที่กราฟที่
3 เป็นการแสดงจ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุ
ภัยคุกคามสูงสุด เมื่อนับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 2 10 อันดับแรกของผู้ให้บริการอินเทอร์เน็ตที่มีจ�ำนวนรายงานที่ได้รับแจ้งโดยเฉลี่ยสูงสุด
นับเฉพาะหมายเลขไอพีที่ไม่ซ�้ำ
กราฟที่ 3 จ�ำนวนหมายเลขไอพีของผู้ให้บริการเครือข่าย 10 อันดับแรกที่ได้รับแจ้งเหตุภัยคุกคามสูงสุด
นับตามจ�ำนวนหมายเลขไอพีที่ไม่ซ�้ำ
- 43. 43
จากสถิติภัยคุกคามเมื่อจ�ำแนกตามผู้ให้บริการ
อินเทอร์เน็ต พบว่าในบรรดาผู้ให้บริการ 4 อันดับ
แรกที่มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้งสูงที่สุดนั้น
มีรายงานภัยคุกคามประเภท Botnet เป็นสัดส่วน
สูงสุด รองลงมาเป็น Open DNS Resolver และ
Spamตามล�ำดับในขณะที่ผู้ให้บริการที่มีโครงข่าย
โทรศัพท์มือถือส่วนใหญ่จะพบรายงานภัยคุกคาม
ประเภท Spam กับ Botnet เป็นส่วนใหญ่ โดย
เฉพาะ Real Move และ Advanced Wireless
Network ที่มีรายงานที่ได้รับแจ้งเป็นภัยคุกคาม
ประเภท Botnet ทั้งหมด ทั้งนี้เมื่อนับจ�ำนวน
รายงานของภัยคุกคามประเภท Botnet, Open
DNS Resolver และ Spam รวมกันแล้ว พบว่า
มีมากกว่า 90% ของจ�ำนวนรายงานทั้งหมดใน
แต่ละผู้ให้บริการเครือข่าย
Botnet Open DNS Resolver Spam (Other)
TOT
True Internet
Triple T Broadband
Jastel Network
CAT Telecom
SBN
Real Move
AWN
DTAC
TT&T
0 20 40 60 80 100
กราฟที่ 4 สัดส่วนของภัยคุกคามแต่ละประเภทที่ผู้ให้บริการอินเทอร์เน็ตแต่ละรายได้รับแจ้ง
- 44. 44
Open DNS resolver
TOT: 42.2%
True Internet: 38.4%
Jastel Network: 9.1%
Triple T Broadband: 5.7%
CAT Telecom: 3.2%
ADC: 0.2%
CS Loxinfo: 0.2%
KSC: 0.1%
MoE: 0.1%
TT&T: 0.1%
(Other): 0.6%
Botnet
TOT: 30.8%
True Internet: 21.4%
Triple T Broadband: 20.4%
Jastel Network: 19.1%
CAT Telecom: 1.9%
SBN: 1.5%
Real Move: 1.1%
AWN: 0.9%
DTAC: 0.8%
TT&T: 0.4%
(Other): 1.8%
Scanning
True Internet: 29.9%
Triple T Broadband: 26.8%
TOT: 21.8%
Jastel Network: 15.0%
CAT Telecom: 1.4%
CS Loxinfo: 0.9%
MoE: 0.7%
UniNet: 0.5%
BB Broadband: 0.3%
DTAC: 0.2%
(Other): 2.4%:
Brute Force
True Internet: 24.6%
TOT: 18.9%
CAT Telecom: 10.7%
Triple T Broadband: 9.5%
MoE: 6.6%
UniNet: 6.3%
Jastel Network: 5.0%
CS Loxinfo: 2.5%
INET: 1.9%
KMUTNB: 0.9%
(Other): 12.9%
Spam
TOT: 62.1%
Triple T Broadband: 15.8%
True Internet: 14.1%
SBN: 2.7%
DTAC: 1.7%
Jastel Network: 1.0%
ADC: 0.4%
UniNet: 0.4%
PROEN: 0.4%
CAT Telecom: 0.2%
(Other): 1.1%
Open proxy server
Triple T Broadband: 43.8%
Jastel Network: 27.1%
CAT Telecom: 14.0%
TOT: 10.8%
True Internet: 2.3%
SBN: 0.7%
MoE: 0.4%
UniNet: 0.2%
CS Loxinfo: 0.1%
Chiang Mai U.: 0.1%
(Other): 0.5%
Malware URL
CAT Telecom: 35.0%
CS Loxinfo: 15.2%
MoE: 6.2%
INET: 5.7%
Metrabyte: 4.8%
UniNet: 3.2%
World Net & Services: 2.7%
ISSP: 2.6%
PROEN: 2.5%
Triple T Broadband: 2.3%
(Other): 19.8%
Phishing
CAT Telecom: 26.7%
TOT: 14.7%
CS Loxinfo: 13.1%
MoE: 5.9%
Metrabyte: 5.1%
INET: 4.7%
UniNet: 3.8%
True Internet: 2.1%
ISSP: 2.0%
Siamdata Communication: 2.0%
(Other): 19.8%
Web defacement
CAT Telecom: 29.9%
CS Loxinfo: 13.9%
MoE: 6.4%
INET: 5.5%
UniNet: 5.4%
Metrabyte: 4.4%
World Net & Services: 2.3%
True Internet: 2.2%
TOT: 2.1%
ISSP: 1.9%
(Other): 26.0%
ชุดกราฟที่ 1 สัดส่วนจ�ำนวนหมายเลขไอพีไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภทภัยคุกคาม
- 45. 45
จุดที่น่าสังเกตคือมี�
เครือข่ายของภาคการศึกษา
ได้แก่ MoE (กระทรวง
ศึกษาธิการ) และ UniNet
(เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่
ใน 10 อันดับแรกของแหล่ง
เกิดเหตุภัยคุกคามประเภท
Phishing และ Web
Defacement ด้วย
เมื่อพิจารณาสัดส่วนจ�ำนวนหมายเลขไอพี
ไม่ซ�้ำของเครือข่ายต่าง ๆ จ�ำแนกตามประเภท
ภัยคุกคามแล้วกลุ่มบริษัทที่ติดอันดับต้นๆส่วน
ใหญ่แล้วจะเป็นผู้ให้บริการเครือข่ายรายใหญ่
เช่น TOT, True และ Triple T Broadband
ซึ่งไม่น่าแปลกใจเนื่องจากผู้ให้บริการเหล่านี้มี
หมายเลขไอพีอยู่ในการครอบครองเป็นจ�ำนวน
มากแต่มีจุดที่น่าสังเกตคือมีเครือข่ายของภาค
การศึกษา ได้แก่ MoE (กระทรวงศึกษาธิการ)
และ UniNet (เครือข่ายสารสนเทศเพื่อ
พัฒนาการศึกษา) ติดอยู่ใน 10 อันดับแรกของ
แหล่งเกิดเหตุภัยคุกคามประเภท Phishing
และ Web Defacement ด้วย
อีกประเด็นหนึ่งที่สังเกตเห็นได้ชัดก็คือผู้ให้
บริการอินเทอร์เน็ต บริษัท กสท โทรคมนาคม
จ�ำกัด (มหาชน) หรือ CAT Telecom ซึ่งครอบ
ครองจ�ำนวนหมายเลขไอพี เพียง 308,224
หมายเลข แต่กลับได้รับผลกระทบจากปัญหา
ภัยคุกคามใกล้เคียงกับกลุ่มบริษัทที่มีหมายเลข
ไอพีจ�ำนวนมากเป็นอันดับต้น ๆ โดยเฉพาะ
อย่างยิ่งในภัยคุกคามประเภทMalwareURL,
Phishing และ Web Defacement ที่ CAT
Telecom มีจ�ำนวนหมายเลขไอพีที่ได้รับแจ้ง
เป็นอันดับหนึ่ง นอกจากนี้ เครือข่ายของ CAT
Telecomยังประสบปัญหาภัยคุกคามประเภท
Open proxy Server มากกว่า TOT ทั้งที่มี
หมายเลขไอพีน้อยกว่าถึง 4 เท่า โดยสาเหตุ
นั้นสันนิษฐานว่าเกิดจากรูปแบบการให้บริการ
ของ CAT Telecom ที่ส่วนใหญ่จะเปิดให้
บริการส�ำหรับองค์กร สอดคล้องกับลักษณะ
ของประเภทภัยคุกคามที่กล่าวมาข้างต้น ที่
จะเกิดเฉพาะกับเครื่องแม่ข่าย
ภัยคุกคามเกือบทุกประเภทจะมีการ
แจ้งรายงานกระจายไปยังบริษัทหลายแห่ง
ในสัดส่วนที่แตกต่างกันไป ยกเว้นภัยคุกคาม
ประเภท Spam เท่านั้นที่มีสัดส่วนการแจ้ง
รายงานเกิดขึ้นกับผู้ให้บริการอินเทอร์เน็ตเพียง
รายเดียวมากกว่าครึ่งหนึ่ง ซึ่งก็คือ TOT ที่มี
สัดส่วนสูงถึง 62%
- 46. 46
Conficker: 46.2%
Zeus: 13.5%
ZeroAccess: 11.8%
Sality: 11.6%
Pushdo: 7.6%
Citadel: 5.8%
Slenfbot: 1.5%
Gameover: 0.6%
Kelihos: 0.3%
Dorkbot: 0.2%
(Other): 0.9%
กราฟที่ 5 10 อันดับแรกของมัลแวร์ประเภท Botnet ที่ได้รับแจ้ง
3.1.1.1 Botnet
ตารางที่ 1 ปีที่เริ่มพบและพฤติกรรมของมัลแวร์ประเภท Botnet ใน 10 อันดับแรก
2551
ปที่เริ่มพบ
ความสามารถ
DoS สง Spam ขโมยขอมูล ติดตั้งมัลแวรอื่น อื่น ๆ
มัลแวร
2550
2554
2546
2550
2554
2550
2554
2553
2546
Conficker
Zeus
ZeroAccess
Sality
Pushdo
Citadel
Slenfbot
Gameover
Kelihos
Dorkbot
- 47. 47
ความสามารถของมัลแวร์ที่จ�ำแนกไว้ในตารางข้างต้นนั้น
แบ่งออกเป็น 5 หัวข้อ โดยมีรายละเอียดดังต่อไปนี้
1. ความสามารถในการโจมตีแบบดอส (DoS) ตัวอย่าง
เช่น Pushdo สามารถโจมตีเว็บไซต์ที่ใช้ SSL โดยใช้
วิธีส่งข้อมูลที่ผิดปกติเข้าไปจ�ำนวนมาก ท�ำให้เครื่อง
บริการเว็บต้องท�ำงานหนักจนไม่สามารถให้บริการได้
2. ความสามารถในการเป็นเครื่องมือส่งสแปม (Spam)
ตัวอย่างเช่น Kelihos ที่แพร่กระจายในปี 2011 ถูกผู้
ไม่หวังดีใช้เป็นเครื่องมือในการส่งสแปมเกี่ยวกับการ
เคลื่อนไหวทางการเมืองในยุโรป เป็นต้น
3. ความสามารถในการขโมยข้อมูลต่าง ๆ (โจรกรรม
ข้อมูล) ที่เก็บไว้ในเครื่องคอมพิวเตอร์แล้วส่งกลับไป
ให้กับผู้ไม่หวังดี รวมถึงการลักลอบบันทึกประวัติการ
กดแป้นพิมพ์ที่เรียกกันว่า Key Logging ตัวอย่างที่
เป็นที่รู้จักคือZeusซึ่งถือว่าเป็นBankingMalware
เพราะมีพฤติกรรมขโมยชื่อผู้ใช้และรหัสผ่านของ
บริการธนาคารออนไลน์เป็นหลัก
4. ความสามารถในการติดตั้งมัลแวร์อื่น ๆ ซึ่งเรียก
พฤติกรรมนี้ว่า Dropper เช่น Pushdo ที่มีการ
รายงานว่า มีการใช้เป็นเครื่องมือเพื่อติดตั้งมัลแวร์
Cutwail ซึ่งมีพฤติกรรมในการส่งสแปม
5. ความสามารถอื่น ๆ ที่ไม่สอดคล้องกับ 4 กลุ่มข้างต้น
เช่น การปิด Windows Update หรือรบกวนการ
ท�ำงานของโปรแกรมแอนตี้ไวรัส ตัวอย่างของมัลแวร์
ที่มีพฤติกรรม เช่น นี้ได้แก่ Sality ที่สามารถปิดการ
ท�ำงานของ Windows Firewall เป็นต้น
ส�ำหรับภัยคุกคามประเภท Botnet ซึ่ง 97% ของรายงาน
มีระบุชื่อมัลแวร์นั้น พบว่ามัลแวร์ที่ได้รับแจ้งมากที่สุดคือ
Confickerกว่า46%รองลงมาคือZeus(14%),ZeroAccess
(12%), Sality (12%) และ Pushdo (8%) ซึ่งใน 5 อันดับแรก
นี้นอกจาก ZeroAccess ที่ถูกค้นพบครั้งแรกเมื่อปี 2554 แล้ว
มัลแวร์ตัวอื่น ๆ นั้นล้วนเป็นมัลแวร์ที่ถูกค้นพบมาเป็นเวลา
นานมากกว่า 5 ปีขึ้นไปทั้งสิ้น โดยเฉพาะ Conficker ที่ทาง
Microsoft ได้ออกประกาศแจ้งเตือน รวมถึงออกแพทช์และ
วิธีแก้ไขช่องโหว่ที่มัลแวร์ใช้ในการโจมตีมาตั้งแต่ปี 25511
ซึ่ง
1 Microsoft, https://technet.microsoft.com/en-us/library/
security/ms08-067.aspx
เป็นไปได้ว่า เครื่องคอมพิวเตอร์อาจติดมัลแวร์เหล่านี้มาเป็น
เวลานานแล้ว หรือระบบยังคงมีช่องโหว่เก่า ๆ ที่เคยไม่ได้
รับการแก้ไข จึงเป็นช่องทางให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์
เก่าหรือใหม่ สามารถเข้ามาโจมตีระบบได้ ซึ่งแสดงให้เห็นว่า
ประเทศไทยมีเครื่องคอมพิวเตอร์จ�ำนวนมากที่ยังขาดการดูแล
รักษาด้านความมั่นคงปลอดภัย
เครื่องคอมพิวเตอร์ยังคงมีช่องโหว่
เก่า ๆ ที่ไม่ได้รับการแก้ไข เปิดโอกาส
ให้มัลแวร์ไม่ว่าจะเป็นสายพันธุ์เก่า
หรือใหม่สามารถเข้ามาโจมตีระบบได้
แสดงให้เห็นว่าประเทศไทยมีเครื่อง
คอมพิวเตอร์จำ�นวนมากที่ยังขาดการ
ดูแลรักษาด้านความมั่นคงปลอดภัย