Cyber Kill Chain — 7 ขั้นตอนของการขโมยรถยุคดิจิทัล#

ปี 2011 — บริษัท Lockheed Martin (ผู้ผลิตอาวุธยักษ์ใหญ่ของสหรัฐ) เผยแพร่ paper ที่เปลี่ยนวงการ. ตอนนั้นบริษัทเจอ APT (Advanced Persistent Threat) — แฮกเกอร์ระดับรัฐที่เข้ามาในระบบ + อยู่ในระบบเป็นปีๆ โดยไม่ถูกตรวจพบ. ทีม security ของ Lockheed สังเกตว่า — แม้ APT จะมาจากหลายประเทศ / ใช้ malware ต่างกัน — ขั้นตอนการโจมตี มันคล้ายกันเสมอ

เขาเลยตั้งชื่อว่า Cyber Kill Chain — ดัดแปลงจาก military doctrine ที่ใช้ในกองทัพ (F2T2EA — Find / Fix / Track / Target / Engage / Assess). Kill Chain ในความหมายทหารคือ “ห่วงโซ่ที่ต้องครบทุกข้อต่อ ถึงจะยิงเป้าหมายโดน” — ถ้าตัด ข้อใดข้อหนึ่ง ห่วงโซ่ก็พัง

Lockheed map ใหม่เป็น 7 ขั้นตอนสำหรับ cyber attack — และนี่คือ framework แรกที่ทำให้วงการ defender เห็นภาพ “วิธีคิดของโจร” เป็นขั้นเป็นตอน

ลองนึกภาพ ขโมยรถ ในชีวิตจริงครับ. ขโมยรถมือโปรไม่ได้เดินไปยังลานจอดแล้วทุบกระจกแรกที่เจอ. มันมีขั้นตอนของมัน

ขั้นที่ 1 — สำรวจรถในย่าน ดูว่ารถรุ่นไหน, จอดที่ไหน, เจ้าของกลับมาเมื่อไหร่, มีกล้องไหม. นี่คือ Reconnaissance (การสำรวจ)

ในโลกไซเบอร์ — โจรจะ เก็บข้อมูล ของเป้าหมายก่อน. ดูเว็บไซต์บริษัท / ค้น LinkedIn หาชื่อพนักงาน / ดู IP range / scan port ที่เปิด / หา technology stack ที่บริษัทใช้ (ดูจาก job postings — “หาคน Java + AWS + Splunk”). บางครั้งใช้เครื่องมืออัตโนมัติอย่าง Shodan (search engine สำหรับอุปกรณ์ที่ต่อเน็ตทุกตัว — มากกว่า Google) เพื่อหา server ของบริษัทที่ลืม patch

ขั้นที่ 2 — เตรียมเครื่องมือ ขโมยรถจะหา master key / decoder / OBD device — เครื่องมือที่ตรงกับรุ่นรถ. นี่คือ Weaponization (การประกอบอาวุธ)

ในไซเบอร์ — โจรจะ ประกอบ payload — เช่น เอา exploit (โค้ดที่ใช้ช่องโหว่) มารวมกับ malware แล้วฝังในไฟล์ PDF / Word ที่ดูปกติ. หรือสร้างเว็บปลอมที่หน้าเหมือน Microsoft 365 login. ขั้นนี้โจรยัง ไม่ได้ส่งอะไร — แค่ “เตรียมของ”

ขั้นที่ 3 — เดินเข้าไปแกะรถ ขโมยรถจะเลือกเวลาที่ลานจอดเงียบ + เจ้าของไม่อยู่. นี่คือ Delivery (การส่งของ)

ในไซเบอร์ — ส่ง payload ที่เตรียมไว้ ไปถึงเป้าหมาย. ส่วนใหญ่ผ่าน 3 ช่องทาง:

• Email phishing — แนบไฟล์ติด malware
• Watering hole — ฝัง malware ในเว็บที่เป้าหมายเข้าบ่อย (เช่น forum ของวิศวกรในอุตสาหกรรมที่บริษัทอยู่)
• USB drop — ทิ้ง flash drive ติด malware ในลานจอดรถบริษัท

ขั้นที่ 4 — แกะกุญแจรถ ตอนที่ master key ใส่เข้าไปแล้วทำงาน. นี่คือ Exploitation (การใช้ช่องโหว่)

ในไซเบอร์ — เมื่อ payload ถึงเป้าหมาย + เป้าหมาย “trigger” (เปิดไฟล์ / คลิก link) — exploit ทำงาน. ใช้ช่องโหว่ของ software ที่ยังไม่ patch — บางครั้ง zero-day (ช่องโหว่ที่ยังไม่มีใครรู้นอกจากโจร). ตอนนี้โจรได้ เข้าเครื่องของเหยื่อ แล้ว — แต่ยังไม่ persistent

ขั้นที่ 5 — ติดเครื่องเอาให้ขับได้ ขโมยจะ hotwire / reprogram ECU ให้รถสตาร์ทได้ทุกครั้ง. นี่คือ Installation (การติดตั้ง)

ในไซเบอร์ — โจร ติดตั้ง backdoor / RAT (Remote Access Trojan) ในเครื่องเหยื่อ — เพื่อให้กลับเข้ามาได้แม้เครื่อง reboot. บางครั้งสร้าง user account ใหม่ที่ดูปกติ (เช่น “svc_backup_2024”) เพื่อ blend in กับ admin accounts. ขั้นนี้เรียกว่า persistence (การฝังตัว)

ขั้นที่ 6 — เชื่อมต่อหลังบ้านกับฐาน ขโมยรถบางทีจะให้รถส่งสัญญาณกลับฐานเพื่อรอคำสั่ง. นี่คือ Command & Control (C2 — การควบคุมจากระยะไกล)

ในไซเบอร์ — malware ในเครื่องเหยื่อจะ ติดต่อ server ของโจร เพื่อรอคำสั่ง. โจรอาจให้รอ 30 วัน / 6 เดือน — แล้วค่อยสั่งทำงาน. C2 channel ส่วนใหญ่หลบ detection โดยเลียนแบบ traffic ปกติ — เช่น ใช้ HTTPS ที่ผ่าน proxy ของบริษัทได้ง่าย, ใช้ DNS tunneling (ฝังข้อมูลใน DNS query), หรือใช้ Slack / Discord / GitHub เป็น C2 (ไม่มีบริษัทไหนบล็อก GitHub)

ขั้นที่ 7 — ขับหนีไป + ขายซาก ขโมยรถจะขับรถไปยังจุดปลายทาง — บางทีถอดอะไหล่ขาย / บางทีส่งออกประเทศ. นี่คือ Actions on Objectives (การทำตามเป้าหมาย)

ในไซเบอร์ — ขั้นนี้คือ end goal ของโจร — ต่างกันตาม motive:

• Ransomware gang — เข้ารหัสไฟล์ทั้งบริษัท + เรียกค่าไถ่
• Cybercrime — ขโมย credit card / customer data ไปขายใน dark web
• Nation-state — exfiltrate (ขโมยออก) เอกสารลับ / IP / R&D blueprints
• Hacktivist — แก้หน้าเว็บ / leak ข้อมูลเพื่อสร้างกระแส
• Insider — โอนเงินออก / ขายข้อมูลให้คู่แข่ง

มุมผู้บริหาร: Kill Chain สอนหลักสำคัญที่ผู้บริหารต้องเข้าใจ — โจรไม่ได้เข้ามาแล้วเสร็จในนาทีเดียว. มันใช้เวลา. Median dwell time (เวลาเฉลี่ยที่โจรอยู่ในระบบก่อนถูกตรวจพบ) ในปี 2024 จากรายงาน Mandiant M-Trends คือ 10 วัน สำหรับ global average — แต่ในเอเชียแปซิฟิกยังสูงกว่า 20+ วัน. ก่อนปี 2019 เคยสูงถึง 101 วัน. นั่นแปลว่า — บริษัทมี โอกาสตรวจจับได้ในทุกขั้นของ Kill Chain ก่อนถึงขั้นที่ 7. ทุกๆ จุดของห่วงโซ่ที่เราตัดได้ — โจรพัง. ถ้าคุณตรวจจับที่ขั้น 3 (Delivery) — โจรยังไม่เข้าเครื่อง. ถ้าตรวจที่ขั้น 5 (Installation) — โจรเข้าแล้วแต่ยังไม่เอาอะไรไป. investment ใน detection คือ investment ในเวลา — เวลาที่คุณตัดห่วงโซ่ก่อนข้อสุดท้าย

ข้อจำกัดของ Kill Chain — และทำไม Diamond Model ถึงเข้ามาเสริม#

Kill Chain เป็น framework คลาสสิคของวงการ — ใช้กันทั่วโลกตั้งแต่ปี 2011. แต่หลังจากใช้มา 5-6 ปี — นักวิจัย defender เริ่มเจอข้อจำกัด

ข้อที่ 1 — Linear เกินไป. Kill Chain มอง attack เป็น เส้นตรง 7 ขั้นเรียง — แต่ attack จริงไม่เป็นเส้นตรง. โจรอาจวนกลับไป recon ใหม่ระหว่างทาง / อาจข้ามขั้น / อาจทำหลายขั้นพร้อมกัน

ข้อที่ 2 — Perimeter-focused. Kill Chain ออกแบบในยุคที่บริษัทยังมี perimeter ชัด — มี firewall ขอบเขต. แต่ในยุค cloud / remote work / SaaS — perimeter ละลายไปแล้ว. โจรไม่ต้องผ่าน “ขั้น delivery” เพราะอาจมี credentials ที่ขโมยมาจาก dark web อยู่แล้ว — login ตรงเลย

ข้อที่ 3 — Insider threat handled ไม่ดี. ถ้าโจรเป็น insider — มันข้าม Reconnaissance + Delivery + Exploitation + Installation ได้ทั้งหมด เพราะมี access อยู่แล้ว. Kill Chain เหลือแต่ขั้น Actions

ข้อที่ 4 — Lateral movement ไม่ได้พูดถึง. Kill Chain หยุดที่ “entry point ตัวแรก” — แต่ attack จริงคือโจรมักเข้าเครื่องแรก แล้ว เคลื่อนไปเครื่องอื่นๆ ภายในเครือข่ายเป็นสัปดาห์ ก่อนถึง crown jewel จริง

ในปี 2013 — กลุ่มนักวิจัยจาก Center for Cyber Intelligence Analysis and Threat Research (CCIATR) เลยเสนอ framework เสริม — Diamond Model of Intrusion Analysis ครับ. ไม่ใช่มาแทน Kill Chain — แต่มาเสริมในมิติที่ Kill Chain ครอบไม่ถึง

ลองนึกภาพ เพชร 4 มุม ครับ. ทุกครั้งที่เกิด security incident — มี 4 องค์ประกอบเสมอ

มุมที่ 1 — Adversary (ผู้โจมตี) ใครเป็นคนทำ. APT29 ของรัสเซีย? Lazarus Group ของเกาหลีเหนือ? Conti ransomware gang? พนักงานในที่ลาออกแล้วโกรธ? เป็นใคร / แรงจูงใจคืออะไร

มุมที่ 2 — Capability (ความสามารถ) ใช้อะไรโจมตี. Malware ตัวไหน? Tool ที่ใช้? CVE (ช่องโหว่) ที่ exploit? เทคนิคไหน?

มุมที่ 3 — Infrastructure (โครงสร้างพื้นฐานของโจร) โจมตีจากไหน. C2 server อยู่ที่ไหน? IP address? Domain ที่จดสำหรับ phishing? บัญชี crypto wallet ที่รับค่าไถ่?

มุมที่ 4 — Victim (เหยื่อ) เป้าหมายคือใคร. บริษัทธนาคารไทย? โรงพยาบาล? หน่วยงานรัฐ? บริษัทพลังงาน? อุตสาหกรรมไหน?

ลองนึกตำรวจสืบสวนคดี ขโมยรถ ในเมืองครับ. ตำรวจไม่ได้สนใจแค่ “รถถูกขโมย” — ตำรวจจะถาม

• โจรคือใคร (Adversary — แก๊งไหน?)
• ใช้เครื่องมืออะไร (Capability — master key รุ่นไหน?)
• มาจากที่ไหน (Infrastructure — รถมาจากย่านไหน?)
• เลือกใคร (Victim — รถยี่ห้อไหน?)

4 มุมนี้ — ตำรวจ link 4 มุมเข้าด้วยกัน เพื่อสร้าง profile ของแก๊ง. แก๊ง A ใช้ master key Toyota + มาจากย่านเหนือ + ขโมย Honda Civic 2018-2020. แก๊ง B ใช้ relay device + มาจากย่านใต้ + ขโมย BMW. การ map 4 มุมนี้ทำให้ตำรวจรู้ว่าเคสไหน “เป็นเคสเดียวกัน” หรือ “เคสคนละแก๊ง”

ในไซเบอร์ — Diamond Model ช่วยให้ defender เชื่อม dot ระหว่างเคสที่ดูคนละเคสได้. เห็น indicator ของแก๊งเดียวกันในหลายบริษัท. สร้าง threat intelligence ที่ใช้ได้จริง

Pivoting เป็นเทคนิคหลักของ Diamond Model — ถ้ารู้ มุมหนึ่ง สามารถ pivot ไปหา มุมอื่น ได้. เช่น รู้ว่า IP ของ C2 อันนี้ (Infrastructure) — ค้นหาเคสอื่นที่ใช้ IP เดียวกัน → เจอ malware ตัวเดียวกัน (Capability) → ค้นหาเคสอื่นที่ใช้ malware ตัวเดียวกัน → เจอเหยื่อรายอื่น (Victim) → รวมข้อมูลทั้งหมดได้ profile ของ Adversary

มุมผู้บริหาร: Diamond Model สำคัญสำหรับ threat intelligence team + incident response team. มันบอกว่า — ตอน respond incident — อย่าหยุดแค่ “blocked the malware”. ต้อง map ทั้ง 4 มุม. เพราะถ้าคุณ block แค่ Capability (malware sample) แต่ไม่ได้ดู Infrastructure (IP / domain) — โจรจะมาอีกครั้งด้วย malware ตัวใหม่ผ่าน infrastructure เดิม. investment ที่บริษัทใหญ่ทำ = subscribe threat intelligence feed (เช่น Mandiant / Recorded Future / CrowdStrike) ที่ map ทั้ง 4 มุมของกลุ่ม APT หลักๆ ทั่วโลก — ทำให้ SOC ของบริษัทรู้ก่อนว่า “indicator เหล่านี้คือ APT29” — แทนที่จะตามหลัง 6 เดือน

MITRE ATT&CK — Google Maps ของวงการ security#

ปี 2013 — องค์กรไม่แสวงหากำไรของสหรัฐชื่อ MITRE Corporation (ออกเสียง “ไมเตอร์”) เริ่มทำโครงการที่จะเปลี่ยนวงการ. พวกเขาสังเกตว่า — แม้ Kill Chain + Diamond Model จะให้ภาพรวมที่ดี — แต่ขาด รายละเอียดเชิงปฏิบัติ

Kill Chain บอกว่ามี “ขั้น Exploitation” — แต่ไม่บอกว่า เทคนิคจริงๆ ที่โจรใช้มีอะไรบ้าง. Diamond Model บอกให้ดู “Capability” — แต่ไม่บอกว่า capability หลักๆ ของวงการมีกี่แบบ

MITRE เลยทำงานที่ใหญ่มาก — เก็บข้อมูล attack จริงทั่วโลก + จัดหมวดหมู่เป็น matrix ที่อ่านได้. ผลคือ MITRE ATT&CK Framework (ออกเสียง “อะแทคก์”) — ย่อมาจาก Adversarial Tactics, Techniques, and Common Knowledge (กลยุทธ์ / เทคนิค / ความรู้ทั่วไปของฝ่ายโจร)

ลองนึกภาพ Google Maps ของกรุงเทพครับ. ก่อน Google Maps — เรามีแผนที่กระดาษ + ภาพรวมเมือง — แต่ไม่รู้ ทุกซอย / ทุกถนน / ทุกตึก. Google Maps คือการ map ทุกซอย + ตั้งชื่อมาตรฐาน + อัปเดตตลอด + ใช้ร่วมกันได้ทั่วโลก

MITRE ATT&CK คือ Google Maps ของวงการ security ครับ. มัน map ทุก tactic + technique + procedure ที่โจรใช้จริง. ใช้ภาษาเดียวกันทั่วโลก. อัปเดต รายไตรมาส. ใช้ฟรีและเปิดสาธารณะที่ attack.mitre.org

โครงสร้างของ ATT&CK มี 3 ชั้น — และทั้ง 3 ย่อมาเป็น TTP

Tactic (กลยุทธ์) — “WHY” ของโจร — โจรอยากได้อะไร?. ปัจจุบัน (ปี 2026) ATT&CK Enterprise มี 14 tactics หลัก:

1. Reconnaissance — สำรวจเป้าหมาย
2. Resource Development — เตรียมเครื่องมือ
3. Initial Access — เข้าครั้งแรก
4. Execution — run code ในเครื่องเหยื่อ
5. Persistence — ฝังตัวให้กลับเข้าได้
6. Privilege Escalation — เพิ่มสิทธิ์ (จาก user → admin)
7. Defense Evasion — หลบ detection
8. Credential Access — ขโมยรหัสผ่าน / token
9. Discovery — สำรวจในเครือข่ายเหยื่อ
10. Lateral Movement — เคลื่อนจากเครื่องหนึ่งไปอีกเครื่อง
11. Collection — รวบรวมข้อมูลที่จะขโมย
12. Command and Control — ติดต่อฐาน
13. Exfiltration — ขนของออกจากบริษัท
14. Impact — ทำลาย / encrypt / disrupt

จะเห็นว่า — 14 tactics นี้ครอบคลุมกว่า Kill Chain 7 ขั้น. เพราะมี Lateral Movement + Privilege Escalation + Defense Evasion ที่ Kill Chain ไม่ได้แยกออกมา

Technique (เทคนิค) — “HOW” — โจรทำยังไง?. แต่ละ tactic มีหลาย technique. ตัวอย่าง:

• Tactic: Initial Access มี technique เช่น
  • T1566 — Phishing
  • T1190 — Exploit Public-Facing Application (ใช้ช่องโหว่ของ web app)
  • T1078 — Valid Accounts (login ด้วย credentials ที่ขโมยมา)
  • T1195 — Supply Chain Compromise (เข้าผ่าน software/hardware vendor)

แต่ละ technique มี ID ที่ขึ้นต้นด้วย “T” + เลข 4 หลัก (T1xxx). บริษัททั่วโลกใช้ ID นี้คุยกัน

Sub-technique — แบ่งย่อยของ technique. เช่น

• T1566.001 — Spearphishing Attachment (phishing แบบแนบไฟล์)
• T1566.002 — Spearphishing Link
• T1566.003 — Spearphishing via Service (ผ่าน LinkedIn / Twitter DM)

Procedure (วิธีดำเนินการจริง) — “WHAT exactly” — กลุ่ม APT แต่ละกลุ่มใช้ technique นี้ยังไง?. เช่น APT29 ใช้ T1566.001 โดยส่ง .DOCX ที่ฝัง macro / Conti gang ใช้ T1566 โดยส่ง email ที่เลียนแบบ invoice

รวมกัน — TTP (Tactics, Techniques, Procedures) — เป็นภาษาที่ทั้งวงการใช้คุยกัน. SOC ของบริษัทไทยกับบริษัทอเมริกาคุยเรื่อง APT29 ใน “ภาษา T1566.001” เดียวกันได้

นอกจาก Enterprise matrix หลัก — MITRE ยังมี matrix อีกหลายอันสำหรับ context ต่างๆ:

• ATT&CK for Mobile — เน้น Android / iOS
• ATT&CK for ICS — เน้น Industrial Control Systems (โรงไฟฟ้า / โรงงาน)
• ATT&CK for Cloud — เน้น AWS / Azure / GCP

ตัวอย่าง T1078 (Valid Accounts) แบ่งเป็น sub:

• T1078.001 — Default Accounts (admin/admin ที่ลืม disable)
• T1078.002 — Domain Accounts (ขโมยจาก AD)
• T1078.003 — Local Accounts
• T1078.004 — Cloud Accounts

มุมผู้บริหาร: ATT&CK ไม่ใช่ของที่เฉพาะ technical team อ่าน. board / executive ต้องเข้าใจระดับ tactic อย่างน้อย — เพราะมันคือ “vocabulary มาตรฐาน” ที่ใช้คุยกับ CISO / SOC team / external auditor / cyber insurance / threat intelligence vendor. ตอน CISO บอกว่า “เราเพิ่ม coverage ใน Lateral Movement tactic” — คุณต้องรู้ว่ามันคือ tactic ลำดับที่ 10 ใน 14 + ทำไมสำคัญ + กลุ่ม APT ไหนใช้บ่อย. ลองคิดเปรียบเทียบกับ ICD-10 ในวงการแพทย์ — รหัสมาตรฐานของโรคทั่วโลก. หมอจีนกับหมอไทยคุยเรื่อง “E11.9 — Type 2 Diabetes without complications” เข้าใจเหมือนกันแม้ภาษาต่างกัน. ATT&CK คือ ICD-10 ของวงการ security

SolarWinds + Conti — เคสจริงที่ map เป็น ATT&CK ได้ทั้งสาย#

ก่อนเข้าหัวข้อสุดท้าย (defender ใช้ ATT&CK ยังไง) — ผมอยากให้คุณเห็น ภาพจริง ก่อนของการ map attack เป็น ATT&CK techniques. ลองดู 2 เคสที่เปลี่ยนวงการ

เคสที่ 1 — SolarWinds 2020 (APT29 / NOBELIUM / Cozy Bear) ครับ

ใน EP.02 เราคุยเรื่อง SolarWinds ผ่านมุม “ทำไมเรื่องนี้สำคัญ”. วันนี้ขอ revisit ผ่านมุม ATT&CK — เพื่อให้เห็นว่า attack ระดับ nation-state map เป็น technique ทุกขั้นได้ยังไง

ตอนปลายปี 2020 — บริษัท SolarWinds (ขาย IT management software ชื่อ Orion ใช้กับลูกค้า 18,000+ องค์กรทั่วโลก รวม Microsoft / DHS / Pentagon) พบว่ามี code แปลกใน Orion build process. ผลตรวจพบว่า — APT29 ของรัสเซีย (กลุ่ม cyber ของ SVR — หน่วยข่าวกรองรัสเซีย) เข้าระบบ build ของ SolarWinds ตั้งแต่ ปลายปี 2019 — ใช้เวลา เกือบปี ฝัง backdoor ในไฟล์ update ที่ออกถึงลูกค้าทั่วโลก

ลำดับ ATT&CK ของเคสนี้:

• T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain — โจรเข้าระบบ build ของ vendor (SolarWinds) แล้วฝัง backdoor ในไฟล์ที่ส่งถึงลูกค้า. นี่คือ Initial Access ที่ลูกค้าทุกรายของ SolarWinds เจอ — โดยที่ลูกค้าไม่ได้ทำอะไรผิด
• T1554 — Compromise Client Software Binary — แก้ไฟล์ DLL ของ Orion ตัวจริงให้มี backdoor (เรียกว่า SUNBURST)
• T1071 — Application Layer Protocol — backdoor ติดต่อ C2 ผ่าน HTTPS เลียนแบบ traffic ปกติของ Orion
• T1078 — Valid Accounts — หลังเข้าระบบลูกค้าได้ — ขโมย credentials + ใช้ login ที่ดูปกติ
• T1550.001 — Use Alternate Authentication Material: Application Access Token — ขโมย SAML signing key ของ AD FS แล้วสร้าง token ปลอมเข้า cloud service (เรียกว่า Golden SAML attack)
• T1078.004 — Valid Accounts: Cloud Accounts — เข้าถึง Microsoft 365 + Azure AD ของเหยื่อด้วย token ปลอม
• T1530 — Data from Cloud Storage — ดึง email + เอกสารจาก Microsoft 365
• T1567 — Exfiltration Over Web Service — ขน data ออกผ่าน cloud service ที่ดูปกติ

จะเห็นว่า — APT29 ครอบ 9 tactics ใน Kill Chain. การ map เป็น ATT&CK ทำให้ defender ทุกบริษัททั่วโลก:

1. ตรวจสอบ logs ของตัวเอง ว่ามี indicator ของ T1554 / T1550.001 / T1078.004 ไหม
2. สร้าง detection rule ใหม่ ที่จับ Golden SAML
3. patch + harden จุดที่ APT29 ใช้

หลายบริษัทใหญ่ (รวม Microsoft) เผยแพร่ detection rule ของตัวเองเป็น open source โดย map เป็น ATT&CK ID — บริษัทไทยก็เอามาใช้ได้ฟรี

เคสที่ 2 — Conti Playbook Leak 2022

Conti เป็น ransomware gang ของรัสเซียที่โตที่สุดในช่วงปี 2020-2022 — ปล้นเงินรวมกว่า $180 ล้าน USD จากเหยื่อทั่วโลก. กุมภาพันธ์ 2022 — หลังรัสเซียบุกยูเครน — Conti ประกาศสนับสนุนรัสเซีย. ทำให้สมาชิกฝั่งยูเครน โกรธจัด — leak playbook ของแก๊งทั้งหมด ออกสาธารณะ

ใน playbook ที่ leak — มีคู่มือสำหรับ “operator ใหม่” — เป็น step-by-step ที่บอกว่า ตอนเข้าระบบเหยื่อแล้วทำยังไงบ้าง. ผ่านการวิเคราะห์ของนักวิจัย — สรุปได้ว่า playbook ครอบ techniques ของ ATT&CK ดังนี้:

• T1566 — Phishing — เริ่มจากอีเมล spam ที่มี macro ใน Office doc
• T1059.001 — Command and Scripting Interpreter: PowerShell — รัน PowerShell ที่ download Cobalt Strike (เครื่องมือ pen test ที่โจรใช้ผิดวัตถุประสงค์)
• T1003.001 — OS Credential Dumping: LSASS Memory — dump password hashes จาก memory ของ Windows
• T1021.002 — Remote Services: SMB/Windows Admin Shares — เคลื่อนข้ามเครื่องผ่าน Windows shares
• T1018 — Remote System Discovery — scan เครือข่ายภายในเพื่อหา DC / file server
• T1486 — Data Encrypted for Impact — encrypt ไฟล์ทั้งบริษัท + เรียกค่าไถ่

playbook ของ Conti ที่ leak ทำให้วงการเห็น มุมที่หาดูยาก — ภายในของแก๊ง ransomware. เกือบทุกแก๊ง ransomware รัสเซียใช้ pattern คล้ายกัน — ทำให้ defender ทั่วโลก ตั้งกล้องจุดเดียวกัน ก็จับได้หลายแก๊ง

มุมผู้บริหาร: Lesson ของ 2 เคสนี้ — attack ที่ดูใหญ่ + ซับซ้อน เมื่อ map ลง ATT&CK แล้วเห็นเป็น 8-10 techniques ที่ส่วนใหญ่ detect ได้ ถ้ามี logging + detection rule ที่ตรงจุด. ปัญหาไม่ใช่ “ตรวจจับไม่ได้” — ปัญหาคือ “ไม่ได้ติดตั้ง detection ในจุดนั้น” หรือ “alert ออกแต่ไม่มีคนดู”. เคสที่บริษัทไทยเจอส่วนใหญ่ไม่ใช่ nation-state — แต่เป็น Conti pattern (phishing → PowerShell → credentials dump → lateral → encrypt) ที่มี Sigma rule ฟรีบน GitHub พร้อมใช้

Defender ใช้ ATT&CK ทำงานยังไง — 4 วิธีหลัก#

ครับ — เรารู้แล้วว่า ATT&CK คือ Google Maps. แต่ Google Maps จะมีประโยชน์ได้ ต้อง ใช้เป็น. defender ระดับโลกใช้ ATT&CK ทำ 4 อย่างหลักๆ — และนี่คือสิ่งที่ทำให้บริษัทที่ใช้ ATT&CK ต่างจากบริษัทที่ไม่ใช้

วิธีที่ 1 — Map detection ของตัวเองเข้า ATT&CK

ทุกบริษัทที่มี SOC + SIEM (เดี๋ยวคุยลึกใน EP.43) มี detection rules อยู่แล้ว — กฎที่ระบบใช้ตรวจจับเหตุการณ์น่าสงสัย. ปัญหาคือ — บริษัทส่วนใหญ่ ไม่รู้ว่ารวมกันแล้ว coverage ตัวเองอยู่ตรงไหน

ลองนึกภาพ — บริษัทมี detection rule 200 กฎ. กฎที่ 1 = “alert เมื่อมี PowerShell encoded command”, กฎที่ 2 = “alert เมื่อมี login failed > 10 ครั้งใน 1 นาที”, กฎที่ 3 = … — ดูเหมือนเยอะ. แต่ถ้า map เป็น ATT&CK techniques — อาจเป็นว่า 200 กฎนี้ครอบแค่ 5 techniques จาก 200+ techniques ทั้งหมด — เพราะมีหลายกฎที่ซ้ำซ้อนใน technique เดียวกัน

การ map detection เข้า ATT&CK ทำให้บริษัทเห็นว่า — coverage จริงๆ ของตัวเองอยู่ตรงไหน + ยังขาดอะไร

วิธีที่ 2 — Heat-map gap analysis

ATT&CK matrix แสดงเป็น grid ที่ row = tactic + column = technique. เมื่อ map detection coverage เข้า matrix นี้ — defender ระบายสี:

• เขียว — มี detection ที่ตรง technique นี้ + เคยทดสอบแล้วจริงว่าใช้ได้
• เหลือง — มี detection แต่ยังไม่ได้ทดสอบ / coverage บางส่วน
• แดง — ไม่มี detection เลย — bottom

ผลคือ heat-map ของ coverage ที่บริษัทเห็น ทันที ว่าจุดอ่อนของตัวเองอยู่ตรงไหน

บางบริษัทเห็นว่า — “เราตรวจ Initial Access + Execution ได้ดี แต่ Lateral Movement + Exfiltration เป็นสีแดงทั้งสาย” — แสดงว่า ถ้าโจรเข้ามาแล้ว — เราหยุดไม่ได้

ทุก quarter — บริษัทใหญ่จะ re-run heat-map เพื่อดู progress + วาง roadmap ลด red zone

MITRE เองออกเครื่องมือฟรี ชื่อ ATT&CK Navigator (เปิดที่ mitre-attack.github.io/attack-navigator/) — ใช้สร้าง heat-map online ได้ฟรี + share ทีมได้

วิธีที่ 3 — Threat hunting จาก ATT&CK

หัวข้อนี้เราจะลงลึกใน EP.44. แต่หลักการคือ — แทนที่จะรอ alert จาก detection rule — threat hunter จะ active ไปหา ในระบบโดยตั้งสมมติฐาน

ATT&CK ให้ hunter “vocabulary ของ hypothesis”. เช่น hunter ตั้ง hypothesis ว่า “ถ้ามี APT29 ในระบบเรา — มันน่าจะใช้ T1550.001 (Golden SAML) เพราะเป็น signature ของกลุ่ม”. hunter เลย query log ของ AD FS + Microsoft 365 sign-in logs หา indicator ของ T1550.001. ถ้าเจออะไรน่าสงสัย — investigate ลึก. ถ้าไม่เจอ — ตั้ง hypothesis ใหม่

ATT&CK เป็น map ของ “ที่ที่ควรไปหา” — แทนที่จะเดินสุ่ม

วิธีที่ 4 — Adversary emulation (red team จำลองเป็น APT จริง)

หัวข้อนี้ลึกใน EP.45. แต่หลักการคือ — บริษัทใหญ่จ้าง red team มาจำลองเป็นโจรจริง + ทดสอบว่า defense ของตัวเองรับได้ไหม

ATT&CK บอกว่า — “ถ้าจะจำลองเป็น APT29 — ต้องใช้ techniques ไหนบ้าง”. red team จะตาม APT group profile ใน ATT&CK (เช่น Group G0016 = APT29) ที่ระบุ techniques ที่กลุ่มนี้ใช้จริง — แล้ว execute ตามนั้นในระบบของ client เพื่อทดสอบว่า detection ทำงานไหม

มีเครื่องมือ open source ชื่อ CALDERA (จาก MITRE ทำเอง) + Atomic Red Team (จาก Red Canary) ที่มี script จำลอง technique เกือบทั้งหมด — บริษัททั่วโลกใช้ ทดสอบ defense ของตัวเองเป็นประจำ

มุมผู้บริหาร: บริษัทไทยขนาดกลาง — เริ่มจาก map detection เข้า ATT&CK + heat-map gap analysis ก่อนเรื่องอื่นทั้งหมด. คนเดิมในทีม SOC ทำได้ใน 1-2 สัปดาห์ — ไม่ต้องจ้าง vendor ใหม่. ผลคือเห็น coverage ชัดเจน + คุยกับ board ได้ + guide investment ปีถัดไป. Threat hunting + red team รอไว้ก่อน — คุ้มเฉพาะบริษัทที่ SOC mature แล้ว

สรุป — ก่อน defend ต้องเข้าใจวิธีคิดของโจรก่อน#

ครับ — EP.39 พาคุณเข้าใจ 3 framework ที่เปลี่ยนวงการ security:

• Cyber Kill Chain (Lockheed Martin 2011) — 7 ขั้นตอนของการปล้นรถยุคดิจิทัล. ให้ defender เห็น attack เป็นห่วงโซ่ที่ตัดได้
• Diamond Model (CCIATR 2013) — 4 มุมของทุก attack (Adversary / Capability / Infrastructure / Victim). ให้ threat intelligence team เชื่อม dot ระหว่างเคสได้
• MITRE ATT&CK (2013-ปัจจุบัน) — Google Maps ของวงการ. 14 tactics × 200+ techniques × หลายร้อย sub-techniques. ภาษามาตรฐานที่ทั้งโลกใช้

และ 4 วิธีที่ defender ใช้ ATT&CK จริง — map detection / heat-map gap / threat hunting / adversary emulation

แต่ลึกที่สุด — ในมุมของผู้บริหาร — EP นี้สอน mindset shift ที่สำคัญที่สุด

ตลอด Part 0-4 (38 EPs) เราคุยเรื่อง defense เป็นหลัก. ตึก / กำแพง / ป้อมยาม / ตำรวจตรวจการ. แต่ defense ที่ดี ไม่ได้เริ่มจากการสร้างกำแพง — defense ที่ดีเริ่มจาก เข้าใจวิธีคิดของโจรก่อน

ลองนึกถึงตำรวจไทยที่ปราบยาเสพติด. ตำรวจที่จับยาได้บ่อย ไม่ใช่ตำรวจที่ “ลาดตระเวนรอบเมืองตลอด 24 ชั่วโมง”. เป็นตำรวจที่ เข้าใจ supply chain ของยา — รู้ว่าของมาจากไหน / ส่งผ่านใคร / ขายที่ไหน — แล้วตั้งกล้อง + agent ตรงจุดเปลี่ยนของห่วงโซ่. ตำรวจที่ดี คิดเหมือนโจร — ก่อนจับโจร

ในไซเบอร์ก็เหมือนกัน. บริษัทที่ป้องกันได้ดี — ไม่ใช่บริษัทที่ “ซื้อ firewall แพงที่สุดในตลาด”. เป็นบริษัทที่ มี SOC ที่เข้าใจ ATT&CK — รู้ว่ากลุ่ม APT ที่อาจสนใจอุตสาหกรรมตัวเองคือกลุ่มไหน + techniques ไหนที่กลุ่มนั้นใช้ + จุดไหนที่ตัวเองมี coverage / จุดไหนที่ยังขาด