×
ข้ามไปยังเนื้อหาหลัก

Risky Apps บน Athena XDR

ปรับปรุงเมื่อ

ภาพรวมของ Risky Apps

ฟีเจอร์ Risky Apps ใน Sangfor Athena XDR ทำหน้าที่ระบุและตรวจจับแอปพลิเคชันที่อาจเป็นอันตรายภายในเครือข่าย โดยครอบคลุม 25 ประเภทของแอปพลิเคชันที่มีความเสี่ยง แบ่งออกเป็น 2 หมวดหมู่หลัก คือ Hacking Tools (20 ประเภท) และ O&M Tools (5 ประเภท)

Risky Apps overview showing risky assets count and detected applications

Hacking Tools (เครื่องมือแฮ็ก - 20 ประเภท)

Hacking Tools ครอบคลุมเครื่องมือที่ใช้ในการโจมตี ตัวอย่างที่สำคัญ:

  • Mimikatz - ดึง Plaintext Password ของ Windows Account ได้ เป็นหนึ่งในเครื่องมือที่ผู้โจมตีนิยมใช้มากที่สุด
  • PsExec - เครื่องมือสำหรับ Lateral Movement ที่ช่วยรันคำสั่งบนเครื่องอื่นในเครือข่าย
  • Cobalt Strike - แพลตฟอร์ม Penetration Testing ที่ถูกใช้อย่างแพร่หลายในการโจมตีจริง รวมถึง APT Attacks
  • เครื่องมือ Penetration Testing อื่นๆ สำหรับสแกน, Brute Force, Exploit และ Post-Exploitation

O&M Tools (เครื่องมือ Remote Access - 5 ประเภท)

O&M Tools ครอบคลุมแอปพลิเคชัน Remote Access ที่ผู้โจมตีมักใช้เป็นช่องทางควบคุมเครื่องเหยื่อ:

  • Sunlogin - ซอฟต์แวร์ Remote Desktop ที่พบช่องโหว่หลายครั้ง
  • ToDesk - แอปพลิเคชัน Remote Control ที่ผู้โจมตีอาจติดตั้งเพื่อ Persistence
  • AnyDesk - Remote Desktop Software ขนาดเล็กที่ติดตั้งง่าย ทำให้ผู้โจมตีนิยมใช้
  • RDP Connectors - เครื่องมือเชื่อมต่อ Remote Desktop Protocol
  • TeamViewer - ซอฟต์แวร์ Remote Access ยอดนิยมที่อาจถูกใช้เพื่อ Unauthorized Control

กลไกการตรวจจับ

ระบบตรวจจับ Risky Apps โดยเปรียบเทียบข้อมูลซอฟต์แวร์ที่ Agent รายงานกับ Sangfor Predefined Risk Database โดยมีข้อกำหนด:

  • ต้องใช้ Endpoint Secure V3.7.2 หรือใหม่กว่า ที่เชื่อมต่อกับ XDR
  • Endpoint ต้องมี Agent ที่ทำงานปกติและรายงานข้อมูลซอฟต์แวร์ได้
Risky Asset Details showing detected risky applications and paths

เหตุผลที่ต้องตรวจจับ O&M Tools

แม้ O&M Tools จะเป็นเครื่องมือที่ใช้งานได้ถูกต้อง แต่ผู้โจมตีมักใช้เพื่อ:

  • สร้าง Persistence บนเครื่องเหยื่อ เพื่อเข้าถึงได้ตลอดเวลา
  • ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ Malware
  • หลีกเลี่ยงการตรวจจับ เนื่องจากเป็นซอฟต์แวร์ที่ถูกต้อง (Living off the Land)
  • ใช้เป็น C2 Channel ทดแทน เนื่องจาก Traffic มักไม่ถูกบล็อก

การดำเนินการเมื่อพบ Risky Apps

เมื่อระบบตรวจพบ Risky Apps ผู้ดูแลระบบควร:

  1. ตรวจสอบว่าแอปพลิเคชันถูกติดตั้งโดยผู้ใช้ที่ได้รับอนุญาตหรือไม่
  2. หากเป็น Hacking Tool ที่ไม่ได้รับอนุญาต ให้ลบทันทีและตรวจสอบ IOC อื่นๆ
  3. หากเป็น O&M Tool ที่ไม่ได้รับอนุญาต ให้ตรวจสอบว่ามี Unauthorized Access หรือไม่
  4. กำหนดนโยบายองค์กรว่า Remote Access Tools ใดที่อนุญาตให้ใช้ได้
  5. ใช้ข้อมูลจาก Risky Apps ร่วมกับ Security Alerts เพื่อวิเคราะห์ Attack Chain

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น