Virus — เห็บที่ต้องเกาะของจริง#

Virus (ไวรัสคอมพิวเตอร์) = malware ที่ ต้องมี host file เพื่อจะอยู่และขยายพันธุ์ครับ. ลองนึกภาพ เห็บ ในธรรมชาติ — เห็บอยู่เองในอากาศไม่ได้. ต้องเกาะกับ หมา / วัว / คน — ดูดเลือด / วางไข่ — แล้วเมื่อ host ไปเจอ host อื่น เห็บก็ย้ายข้าม

Virus คอมเหมือนกันเลย. ตัว virus คือ โค้ดผิดปกติ ที่ฝังในไฟล์ปกติ — เช่น report.docx / setup.exe / presentation.pptx. เมื่อ user เปิดไฟล์ — โค้ด virus ทำงาน. หนึ่งในงานหลักคือ — ก้อปตัวเองไปฝังในไฟล์อื่นๆ ในเครื่อง. แล้วถ้าผู้ใช้เอาไฟล์นั้นไป แชร์ ทาง USB / email / cloud drive — host ใหม่ก็จะติด

ประเด็นสำคัญของ virus — ต้องมี user action (เปิดไฟล์) ถึงจะ trigger. ถ้าไฟล์อยู่ในเครื่อง แต่ไม่มีใครเปิด — virus ไม่ทำงาน. นี่คือเหตุที่ virus สมัยใหม่หลายตัว — มากับ macro ใน Office document — เพราะ Office มี macro ที่ run code อัตโนมัติเมื่อเปิดไฟล์

มุมผู้บริหาร — Virus ตัวอย่างจริงที่ยังเจอบ่อย: Emotet (ดูครอบครัวที่ 3 + เคสจริงข้างล่าง) เริ่มจากการเป็น virus ที่ฝังใน Word document ที่ส่งทาง email. Locky (2016) เป็น ransomware ที่ส่งทาง macro ใน .docm file. บริษัทไทยที่ขึ้นข่าวบ่อย — เจอ Emotet variant ทาง email ที่ปลอมเป็นใบ invoice / ใบ statement. มาตรการง่ายที่สุด — Disable macro ใน Office โดย default + อนุญาต macro เฉพาะไฟล์ที่ digitally signed จากภายในบริษัท

Worm — หนอนที่เลื้อยเอง#

Worm (หนอน) = malware ที่ ขยายพันธุ์เองได้ — ไม่ต้องมี host file + ไม่ต้องมี user action

ความต่างกับ virus — ใหญ่มากครับ. Virus = เห็บ ต้องเกาะของอื่น. Worm = หนอน เลื้อยเองได้ในเครือข่าย — ไม่ต้องรอใครเปิดไฟล์

ลองนึกฉาก. Worm ตัวหนึ่งเข้าเครื่องของบริษัท. ทันทีที่เข้า — มัน scan network ของบริษัทหา เครื่องอื่นที่มีช่องโหว่เดียวกัน — แล้ว exploit เพื่อกระจายต่อ. ใน 10 นาที — worm อาจจะกระจายไปได้ หลายพันเครื่อง โดยไม่มีใครคลิกอะไรเลย

นี่คือเหตุที่ worm เป็น malware ที่ น่ากลัวที่สุดในแง่ scale — การระบาดเร็วระดับโลก

เคสคลาสสิกของวงการ ที่ผู้บริหารควรจำ — Morris Worm (1988) — worm ตัวแรกของอินเทอร์เน็ต — ทำให้ 10% ของอินเทอร์เน็ตในยุคนั้น (~6,000 เครื่อง) หยุดทำงาน. ILOVEYOU (2000) — กระจายทาง email ทั่วโลกใน 5 ชั่วโมง ทำลายไฟล์ 10 ล้านเครื่อง. Conficker (2008-2009) — ติด 9-15 ล้านเครื่องทั่วโลก. WannaCry (2017) — เราจะคุยเป็นเคสจริงข้างล่าง — กระจาย 200,000+ เครื่องใน 150 ประเทศใน 1 วัน

มุมผู้บริหาร — Worm สอนเรื่อง patch management: Worm ทำงานได้ก็ต่อเมื่อมี ช่องโหว่ที่ยังไม่ patch. WannaCry ใช้ช่องโหว่ EternalBlue ที่ Microsoft ออก patch (MS17-010) ไปแล้ว 2 เดือนก่อน worm จะระบาด. บริษัทที่ patch ตามเวลา — ไม่โดน. บริษัทที่ไม่ patch — โดนหมด. ข้อสรุปง่ายๆ — patch management ไม่ใช่งาน IT รุ่นเล็ก. มันคืองาน risk management ระดับ board. ในบริษัทที่ผู้บริหารคุม patch SLA (เช่น “critical CVE ต้อง patch ภายใน 7 วัน”) — ลด exposure ลงได้มากกว่าครึ่ง

Trojan — ม้าโทรจัน#

Trojan (ม้าโทรจัน) = malware ที่ ปลอมตัวเป็นซอฟต์แวร์ที่ดู legitimate — แต่ภายในมีโค้ดร้ายซ่อนไว้ครับ

ที่มาของคำนี้คือเรื่องในตำนานกรีก — ม้าไม้แห่งทรอย — กองทัพกรีกแกล้งให้ทรอยเอาเข้าเมืองเพราะคิดว่าเป็นของขวัญ. ตกกลางคืน — ทหารที่ซ่อนในม้าคลานออกมา เปิดประตูเมืองให้กองทัพข้างนอกเข้า

Trojan คอมทำงานเหมือนกัน. โจร package malware ไว้ใน app ที่ดูปกติ — เช่น

• Cracked software (“activator”, “keygen” สำหรับ Adobe / Microsoft / Windows)
• Game mod ที่อ้างว่าให้เปรียบในเกม
• Free utility บน website แปลกๆ
• Fake update ของ browser / Flash / Adobe Reader

User download + install ด้วย ความตั้งใจ เพราะคิดว่าได้ของฟรี / ของดี — แต่ในขณะที่ตัว app ทำงานตามคำโฆษณา — โค้ดร้ายข้างใน ก็ทำงานเช่นกัน — อาจจะ download malware ตัวอื่นเพิ่ม / เปิด backdoor ให้โจรเข้าทีหลัง / ขโมย credentials

Trojan ต่างจาก virus + worm ตรงไหน?

• Virus = ฝังในไฟล์อื่น — ต้อง user เปิดไฟล์นั้น
• Worm = เลื้อยเองในเครือข่าย — ไม่ต้องการ user
• Trojan = ปลอมตัวเป็น app ที่ user อยาก install เอง — ต้องการ user action แต่เป็นการ install เต็มใจ

มุมผู้บริหาร — Trojan + Shadow IT: เคสที่บริษัทไทยติดบ่อย — พนักงานหา PDF editor ฟรี / Screen recorder ฟรี / VPN ฟรี บน Google — ดาวน์โหลด install ลงเครื่องบริษัท. App ทำงานได้ตามโฆษณา — แต่มี Trojan ข้างใน. นี่คือสาเหตุที่ EDR (Endpoint Detection & Response) + Application Whitelisting + policy ห้าม install software ส่วนตัว ถึงสำคัญ. ในบริษัทขนาดกลางที่ทำ Application allowlisting อย่างจริงจัง — ลด malware incident ได้ 60-80% ตามรายงานของ MITRE D3FEND

RAT — Remote Access Trojan: ผีที่นั่งหลังเครื่อง#

RAT = Remote Access Trojan (มัลแวร์ควบคุมเครื่องจากระยะไกล) — เป็น trojan ที่งานเฉพาะคือ เปิดช่องให้โจรควบคุมเครื่องจากระยะไกลครับ

ลองนึกภาพ. โจร install RAT ในเครื่องของเหยื่อ. RAT เปิด TCP connection กลับไปหาเซิร์ฟเวอร์ของโจร (เรียกว่า C2 = Command and Control). พอ connect แล้ว — โจรในห้องที่อีกซีกโลกหนึ่ง มองหน้าจอเหยื่อได้ real-time / กดเมาส์ได้ / พิมพ์ keyboard ได้ / เปิด webcam ได้ / เปิด microphone ฟังเสียงได้ / browse ไฟล์ในเครื่องได้

เหมือนมีผีนั่งหลังเครื่องของเหยื่อ — เห็นทุกอย่างที่เหยื่อทำ + ทำได้ทุกอย่างที่เหยื่อทำได้

RAT ที่วงการพูดถึงบ่อย — DarkComet / njRAT / Poison Ivy / Remcos / AsyncRAT. หลายตัวขายในตลาดมืดราคาแค่หลักร้อย USD — ทำให้ script kiddie ทุกคนเข้าถึงได้

มุมผู้บริหาร — RAT + APT: RAT ไม่ใช่แค่เครื่องมือของแฮกเกอร์เด็กแว้น. Nation-state APT (Advanced Persistent Threat — กลุ่มแฮกเกอร์ระดับรัฐ) ก็ใช้ — แต่เป็นรุ่น custom ที่ตรวจจับยากกว่ามาก. เช่น PlugX (ของ APT จีน), Sunburst ใน SolarWinds (ของ APT รัสเซีย). มาตรการ — Network Detection & Response (NDR) ที่ดูพฤติกรรม traffic outbound + EDR ที่ detect behaviour ผิดปกติ (เช่น Word เปิด PowerShell + connect ออก network) + Egress filtering ที่ block traffic ไป IP/domain แปลกๆ

Rootkit — ผีในรากต้นไม้#

Rootkit (มัลแวร์ที่ฝังในระบบลึก) = malware ที่ออกแบบมาให้ ฝังตัวในระดับ root / kernel ของระบบปฏิบัติการ — ระดับลึกที่ antivirus + EDR แทบจะมองไม่เห็น

ลองนึกภาพ. ในต้นไม้ — ใบ + กิ่ง + ลำต้น = ส่วนที่เห็นได้. ราก = ส่วนที่อยู่ใต้ดิน มองไม่เห็น แต่เป็นที่ที่ต้นไม้ดูดน้ำ + เลี้ยงทั้งต้น. ถ้ามี ผีฝังอยู่ที่ราก — มันควบคุมต้นไม้ทั้งต้นได้ — แต่คนที่เดินผ่านจะไม่มีทางรู้

Rootkit ทำงานในระดับเดียวกันกับ OS — ในระดับ kernel (แกนกลางของ OS ที่จัดการ memory / process / driver). พอฝังตัวที่ระดับนี้ — rootkit สามารถ โกหก กับ tool ตรวจสอบทั้งหลาย — เช่น

• ซ่อน process ของตัวเองจาก Task Manager
• ซ่อน file ของตัวเองจาก File Explorer
• ซ่อน network connection จาก netstat
• ดักจับ API call ของ OS — เปลี่ยนคำตอบให้ดูปกติ

ผลลัพธ์ — antivirus / EDR ที่รันใน user mode มองไม่เห็น เพราะ rootkit อยู่ระดับลึกกว่า

Rootkit ที่วงการศึกษา — Sony BMG rootkit (2005) — ค่ายเพลง Sony ฝัง rootkit ใน music CD เพื่อกัน piracy — ทำให้ user 22 ล้านคนติด rootkit โดยไม่รู้ตัว. Stoned Bootkit / TDL-4 / ZeroAccess

มุมผู้บริหาร — ทำไม rootkit ถึงทำให้ “rebuild from scratch” เป็น standard: เมื่อเจอ rootkit ในเครื่อง — แม้ antivirus จะ “clean” แล้วบอกว่าเรียบร้อย — มาตรฐานของวงการ คือ wipe เครื่อง + reinstall OS ใหม่ (เรียกว่า “nuke from orbit”). เพราะไม่มีใครรับประกันได้ว่า rootkit ถูกลบหมดจริง. นี่คือเหตุที่บริษัทจริงจัง — มี gold image ของแต่ละ workstation type — เพื่อให้ rebuild เร็ว. EDR ระดับ premium เช่น CrowdStrike / SentinelOne / Microsoft Defender for Endpoint — claim ว่าตรวจ rootkit ได้บางส่วน — แต่ไม่ใช่ทุกตัว

Bootkit — ฝังที่ลึกกว่า OS#

Bootkit (มัลแวร์ที่ฝังใน boot sector) = rootkit รุ่นพิเศษที่ฝังอยู่ใน boot loader / firmware / UEFI / MBR — คือส่วนที่ run ก่อน OS เริ่มทำงาน

นี่คือลึกกว่า rootkit อีกระดับ. ลองนึกภาพ — rootkit = ผีในรากต้นไม้ที่อยู่ใต้ดิน. Bootkit = ผีในเมล็ดก่อนปลูก — มันอยู่ก่อนต้นไม้จะโต. ทุกครั้งที่คอม boot — bootkit run ก่อน OS — โหลด malware ของตัวเองเข้า memory ก่อน ที่ antivirus จะมีโอกาส start

ผลลัพธ์ — bootkit รอดจากการ format hard drive + reinstall OS. เพราะมันไม่ได้อยู่ในระดับไฟล์ — มันอยู่ใน firmware / boot record

Bootkit ที่วงการศึกษา — LoJax (2018) — bootkit ตัวแรกที่ใช้ในการโจมตีจริงโดย APT28 (Fancy Bear ของรัสเซีย) — ฝังใน UEFI firmware. BlackLotus (2023) — bypass Secure Boot ของ Windows 11. MoonBounce (2022) — APT41 ของจีน

มุมผู้บริหาร — Bootkit + Hardware-level defense: Bootkit แก้ด้วย Secure Boot + UEFI password + Measured Boot + TPM + firmware update routine. ในระดับ enterprise — ต้องมี policy ว่า firmware update เป็น part ของ patch management. บริษัทส่วนใหญ่ patch OS ทุกเดือน — แต่ firmware อาจไม่เคย update เลยตั้งแต่ซื้อเครื่องมา 5 ปี. นี่คือช่องที่ APT ใช้

Software Integrity Mechanisms — 5 ชั้นป้องกันที่ OS สร้างไว้ให้#

อ่านมาถึงตรงนี้คุณอาจสงสัย — rootkit/bootkit ฝังลึกขนาดนั้นได้ยังไง? OS ไม่มีกำแพงกั้นเลยเหรอ?

มีครับ มีถึง 5 ชั้นเลย และทั้ง 5 ชั้นนี้แหละคือสิ่งที่ rootkit ตั้งใจจะข้ามให้ได้ทุกตัว. เข้าใจ 5 ชั้นนี้แล้วจะเห็นทันทีว่าทำไม malware ที่ “ลึก” ถึงน่ากลัวกว่า malware ทั่วไป

ลองนึกภาพ OS เป็นอาคารราชการที่มีระบบรักษาความปลอดภัยซ้อนกัน 5 ชั้น. คนทั่วไป (user application) เดินได้เฉพาะโถงหน้า ถ้าจะเข้าห้องเก็บเอกสารลับ (kernel) ต้องผ่านด่านทีละชั้น

ชั้นที่ 1: Supervisor / Kernel mode (Ring 0 vs Ring 3)

CPU แบ่ง mode การทำงานเป็น 2 ระดับใหญ่ คือ Kernel mode (Ring 0) สำหรับ OS มีสิทธิ์เต็มทำได้ทุกอย่าง กับ User mode (Ring 3) สำหรับโปรแกรมทั่วไปสิทธิ์จำกัด. ลองนึกว่าพนักงานบัญชี (user app) เดินเข้าห้องบัญชีได้ แต่เดินเข้าห้อง server กลาง (kernel) ไม่ได้ เพราะบัตรไม่ถึง

ชั้นที่ 2: User vs Privileged isolation (System Call Interface)

user application ห้ามแตะ kernel memory ตรงๆ. ถ้าจะขอบริการจาก OS เช่นอ่านไฟล์หรือเปิด network connection ต้องเรียกผ่าน system call เหมือนยื่นใบคำร้องผ่านเคาน์เตอร์เท่านั้น ห้ามเดินเข้าไปเอง

ชั้นที่ 3: Memory protection (Virtual Memory + MMU)

OS กับ hardware ที่เรียกว่า MMU (Memory Management Unit) จัดการให้แต่ละ process เห็น memory เป็น virtual address ของตัวเอง. แต่ละ page ใน memory จะติด tag ว่าอ่านได้อย่างเดียว/รันได้/เขียนได้ ถ้า process พยายามรันโค้ดใน page ที่ tag ว่า “data เท่านั้น” CPU ขัดทันที. นี่คือฐานของ DEP (Data Execution Prevention)

ชั้นที่ 4: Process isolation (Address Space Separation)

process A ห้ามอ่านหรือเขียน memory ของ process B. ถ้าต้องการสื่อสารกันต้องผ่าน IPC (Inter-Process Communication) ที่ OS ควบคุมไว้. ลองนึกว่าแต่ละ process อยู่คนละห้อง ประตูล็อก ถ้าจะคุยกันต้องส่งจดหมายผ่าน OS เป็นพนักงานส่งของกลางอีกที

ชั้นที่ 5: Least Privilege Principle (POLP)

หลักการที่บอกว่า process ใดควรรันด้วยสิทธิ์ต่ำสุดเท่าที่งานนั้นต้องการ. browser ไม่จำเป็นต้องรันเป็น Administrator, text editor ไม่ต้องเป็น root. ยิ่งสิทธิ์น้อย ถ้าโปรแกรมโดน hack ความเสียหายก็จะน้อยลงตามไปด้วย

Modern enforcement: OS ปัจจุบันบังคับ 5 ชั้นนี้ด้วยอะไร

Known bypass: ทำไม rootkit ยังเข้าได้ทั้งที่มี 5 ชั้น

• เซ็น driver ปลอม หรือ CA โดนขโมย driver ที่มี signature ถูกต้องเข้า Ring 0 ได้ตามปกติ (เช่น Stuxnet ใช้ certificate ที่ขโมยมาจาก Realtek + JMicron)
• kernel exploit (CVE ที่ยังไม่ patch) เป็น bug ใน kernel เอง โจรใช้ยกระดับสิทธิ์จาก Ring 3 ไป Ring 0 (เรียกว่า privilege escalation)
• boot ก่อน OS bootkit ฝังตั้งแต่ก่อน Secure Boot ทำงาน 5 ชั้นข้างบนยังไม่เริ่มบังคับใช้
• side-channel attacks เช่น Spectre / Meltdown ปี 2018 เป็น bug ในระดับ CPU ที่ทำให้ user process อ่าน kernel memory ได้ กระแทกชั้นที่ 3 ตรงๆ
• social engineering user click “Yes” ที่ UAC prompt ชั้นที่ 5 พังเพราะมนุษย์เอง

มุมผู้บริหาร — ทำไม IS auditor ต้องรู้ 5 ชั้นนี้: CISA exam ออกข้อสอบทำนอง “control ใดป้องกัน user application ไม่ให้แตะ kernel memory โดยตรง” คำตอบคือ memory protection / supervisor mode separation. รู้ 5 ชั้นนี้แล้วตอบได้ทุกแบบ. ในแง่ปฏิบัติเวลา auditor ตรวจ workstation ของบริษัท checklist ที่ต้องดูคือ ASLR เปิดอยู่ไหม / DEP เปิดอยู่ไหม / Secure Boot เปิดอยู่ไหม / firmware update routine มีไหม / user ทั่วไปรันเป็น Administrator หรือไม่ (POLP). ผิดหมดทุกข้อ = บริษัทเปิดประตูทิ้งไว้ให้ rootkit/bootkit ทุกตระกูลในตลาด

Ransomware — โจรจับของไปเรียกค่าไถ่#

Ransomware (มัลแวร์เรียกค่าไถ่) = malware ที่ เข้ารหัสไฟล์ ของเหยื่อ — แล้วเรียกค่าไถ่เพื่อแลกกับ decryption keyครับ

ลองนึกฉากในเมืองจริงครับ. โจรเข้าบ้าน — ไม่ขโมยของ — แต่เอา ของมีค่าทั้งหมด ใส่ตู้เซฟตัวเองที่ลั่นแล้ว — แล้วเขียนโน้ตทิ้งไว้ว่า “จ่าย 500,000 บาทภายใน 72 ชั่วโมง — ผมจะเอากุญแจตู้เซฟไปให้”. ของคุณยังอยู่ในบ้าน — แต่เปิดไม่ได้

Ransomware คอมก็เหมือนกัน. มัน ไม่ส่งไฟล์ออกไป (ในแบบดั้งเดิม) — มันแค่ encrypt ไฟล์ทั้งหมดในเครื่อง (Documents / spreadsheets / database / file share) ด้วย AES + RSA (ดู EP.20-21). กุญแจ decrypt อยู่ที่โจร. ตัวเหยื่อมีไฟล์อยู่ครบ — แต่เปิดไม่ได้

วิวัฒนาการของ ransomware — สำคัญที่ผู้บริหารต้องเข้าใจ:

1. Generation 1 (2013-2017) — CryptoLocker / WannaCry — encrypt อย่างเดียว + เรียกค่าไถ่ Bitcoin
2. Generation 2 (2019-2020) — Double Extortion — encrypt + ขโมยไฟล์ออกไปก่อน — ถ้าไม่จ่ายค่าไถ่ — ปล่อยไฟล์ลง darknet
3. Generation 3 (2021-2022) — Triple Extortion — encrypt + ขโมย + DDoS เว็บบริษัท + โทรหาลูกค้าของเหยื่อ
4. Generation 4 (2023-2026) — Quadruple Extortion — เพิ่ม report ไป SEC / กฎหมาย privacy (GDPR/PDPA) ของประเทศ + กดดันให้บริษัทต้องเปิดเผย

Ransomware-as-a-Service (RaaS) — โมเดลที่ทำให้วงการเปลี่ยน. กลุ่มหลัก สร้าง ransomware + infrastructure + negotiation team — แล้ว affiliate (โจรรายย่อย) เช่าใช้แลกกับ revenue share (ทั่วไป 60-80% ให้ affiliate). กลุ่มหลักที่ดังของวงการ — REvil / LockBit / Conti / BlackCat / Cl0p / RansomHub

มุมผู้บริหาร: Verizon DBIR 2024 — ransomware เกี่ยวข้องกับ breach 32% + median cost ในการ recover 2.73 ล้าน USD ต่อ incident. Ransomware = board-level risk แล้ว. คำถามเดียวที่บอกได้ว่าบริษัทคุณพร้อมหรือไม่ — “backup ของเรา test recovery จริงครั้งล่าสุดเมื่อไหร่ + ทำ 3-2-1 + immutable + offline copy ครบไหม?” ถ้าตอบไม่ได้ทันที = สิ่งแรกที่ต้องลงทุนปีนี้

Cryptominer — ขุดคริปโตแอบ#

Cryptominer / Cryptojacking (มัลแวร์ขุดคริปโตแบบแอบ) = malware ที่ใช้ CPU / GPU ของเหยื่อ ในการ mine cryptocurrency (ส่วนใหญ่ Monero — เพราะ private + mine ได้ด้วย CPU ทั่วไป) — แล้วส่งเหรียญที่ขุดได้ไปยังกระเป๋าของโจร

ความต่างจาก ransomware — เนียนกว่ามาก. Ransomware ดังเปรี้ยงเดียวเรียกค่าไถ่ — เหยื่อรู้ตัวทันที. Cryptominer ทำงานเงียบๆ — บางเครื่องโดน 6 เดือนก็ยังไม่รู้. อาการเดียวที่อาจสังเกตได้คือ เครื่องช้าลง / พัดลมหมุนตลอด / ค่าไฟแพงขึ้น

โมเดลธุรกิจของโจร — scale. ถ้าโจรติด cryptominer ใน 10,000 เครื่อง ของหลายๆ บริษัทพร้อมกัน — รายได้สะสมหลักหลายล้าน USD ต่อปี โดยที่เหยื่อไม่มีใครรู้สึกถึงผลกระทบรุนแรงพอที่จะ alert

เคสในข่าว — Tesla Kubernetes cluster (2018) — Tesla มี Kubernetes cluster ที่ AWS ที่ไม่มี password — โจรเข้าไป deploy cryptominer ขุด Monero. Capital One / European Central Bank / NHS UK ก็เคยโดน

มุมผู้บริหาร — Cryptominer = “leading indicator” ของ security posture: ถ้าบริษัทเจอ cryptominer ในระบบ — ข้อสรุปที่สำคัญไม่ใช่ “เสียค่าไฟ” — แต่คือ “โจรเข้าถึงระบบเราได้แล้ว — และครั้งนี้แค่ขุดคริปโต. ครั้งหน้าอาจจะเป็น ransomware / data theft”. Cryptominer = signal ว่ามี configuration weakness / unpatched server / exposed credential ที่ต้องแก้ทันที. Cloud-specific risk — exposed Kubernetes / IAM credential รั่ว / S3 bucket public — เป็นต้นเหตุของ cryptojacking ใน cloud ส่วนใหญ่

Banking Trojan — โจรขโมยเงินจากธนาคาร#

Banking Trojan (มัลแวร์ขโมยเงินผ่าน banking) = malware ที่ออกแบบมาเฉพาะเพื่อ ขโมย credential ของ online banking หรือ inject ข้อความใน browser เมื่อเหยื่อเข้าเว็บธนาคาร

เทคนิคหลัก — Man-in-the-Browser (MitB). ลองนึกฉาก. เหยื่อล็อกอินเข้า online banking ของธนาคารตามปกติ. หน้าเว็บโหลดมาเหมือนเดิม — มี URL ถูก / SSL certificate ถูก / ทุกอย่างดูปกติ. แต่ banking trojan ที่ฝังอยู่ใน browser ของเหยื่อ — แก้เนื้อหาหน้าเว็บ ก่อนแสดงผล. หน้าเว็บอาจขอ “กรุณายืนยัน OTP เพิ่มเติม” (ปลอม) หรือเมื่อเหยื่อโอนเงินไปบัญชี A — trojan แอบเปลี่ยนเป็นบัญชี B (ของโจร) ในขณะส่ง request — แต่หน้าจอแสดงว่าโอนไป A

Banking trojan ที่ดังของวงการ — Zeus (2007) — เป็นต้นแบบของทั้งวงการ. SpyEye / Citadel / Dridex / TrickBot / QakBot / Emotet — หลายตัวเริ่มเป็น banking trojan แล้วพัฒนาเป็น loader (ดู Emotet ในเคสจริงข้างล่าง)

มุมผู้บริหาร — Banking trojan + Corporate banking: Banking trojan รุ่นใหม่ไม่ได้เน้น consumer แล้ว — เพราะ consumer มี 2FA + transaction limit. Target ปัจจุบันคือ corporate banking ของบริษัทขนาดกลาง — เพราะธุรกรรมหลักล้าน USD ต่อรายการ + การควบคุมไม่ tight เท่า. มาตรการสำหรับธุรกิจ — Dedicated workstation สำหรับ banking (ใช้เครื่องเดียวเฉพาะ — ไม่ใช้ email / browse web อื่น) + Hardware token (เช่น YubiKey) + Out-of-band verification (โทรยืนยัน) สำหรับธุรกรรมเกินเกณฑ์ + Dual approval

Spyware + Adware — สายลับ + นักโฆษณา#

Spyware (สปายแวร์ / สายลับ) = คำใหญ่ที่หมายถึง malware ใดๆ ที่เก็บข้อมูลของเหยื่อโดยไม่ได้รับอนุญาต. Adware (โฆษณามัลแวร์) = malware ที่ส่งโฆษณาเข้าหน้าจอเหยื่อตลอดเวลา (รุ่นเบาของ spyware)

ในยุค 2000-2010 — Adware + Spyware เป็นปัญหาใหญ่ของผู้ใช้ทั่วไป — toolbar แปลกๆ ในเบราว์เซอร์ / pop-up โฆษณา / browser hijacker ที่เปลี่ยน homepage. ปัจจุบัน — ปัญหาเบา แต่ยังมี

มุมผู้บริหาร — Adware ใน mobile app: 80% ของ malware บน Android = adware/spyware ที่ฝังใน app บน Google Play Store. แต่ละปี Google ลบ app ที่เป็น spyware ออก หลายพัน app. มาตรการสำหรับองค์กร — MDM (EP.35) ที่ block app นอก allowlist + ตรวจสอบ permission ของ app ที่อนุมัติ + ใช้ Android Enterprise / Apple Business Manager

Scareware — โจรขู่ให้เราเรียกโจร#

Scareware (มัลแวร์ขู่ให้กลัว) = popup หรือ banner ที่เด้งขึ้นมาบอกว่า “เครื่องคุณติด virus 47 ตัว — กดดาวน์โหลด antivirus ตัวนี้ทันที” — ทั้งที่จริงเครื่องเหยื่อ ไม่ได้ติดอะไรเลย. ตัว “antivirus” ที่หลอกให้ดาวน์โหลด — คือ malware ตัวจริง ที่เพิ่งจะติด

ลองนึกฉาก. เหยื่อกำลังท่องเว็บอ่านข่าวปกติ. จู่ๆ — popup เต็มจอ เด้งขึ้นมา. หน้าตาเหมือน Windows Defender ของจริง — มีโลโก้ Microsoft / มีเสียงเตือนดังลั่น / ตัวเลข “Threat detected: 47” สีแดงกระพริบ / countdown 5 นาที. ปุ่ม close โดน disable. กดอะไรก็ไม่ออก. เหลือทางเดียว — กด “Download Protection Now”

นี่คือ scareware — โจร ใช้ความกลัว เป็นเครื่องมือหลอก (social engineering vector) ให้เหยื่อ เรียกโจรเข้าบ้านเอง

เทคนิคที่ scareware ใช้:

• JavaScript popup ใน browser ที่ทำหน้าจอเต็มจอ + เลียน UI ของ OS
• Browser-locker — ขัดขวางไม่ให้ปิด tab หรือ browser ได้ (loop ของ confirm dialog)
• Fake Windows Defender alert / Fake macOS alert (“Your Mac is infected. Call Apple Support: 1-800-…”)
• เลขโทรศัพท์ปลอม ที่เหยื่อโทรไปจะเจอคนที่อ้างเป็น “Microsoft Support” — แล้วหลอกให้ลง remote access tool

ทำไม scareware อันตรายกว่าที่คิด — มันเป็น gateway ไปยัง malware ที่ร้ายแรงกว่า. เหยื่อที่กดดาวน์โหลด “fake antivirus” จะติด trojan / RAT / ransomware ตัวจริง. เคสที่วงการเจอบ่อย — fake antivirus ที่ขายเป็น “MacKeeper” / “SystemDoctor” / “Windows Defender Pro” — ภายในเป็น loader ที่ดึง ransomware เข้ามาภายใน 24 ชั่วโมง

มุมผู้บริหาร — Scareware + พนักงานวัยทำงาน + ผู้สูงอายุ: Scareware target หลัก = ผู้ใช้ที่ไม่ technical — พนักงานทั่วไป + ผู้บริหารระดับสูงที่ไม่ค่อย hands-on กับคอม + ครอบครัวของพนักงาน. ในบริษัท — มาตรการคือ web filter ที่ block known scareware domain + browser hardening (block popup โดย default + disable JavaScript ใน untrusted site) + security awareness training ที่สอนตรงๆ ว่า “Windows ของจริงไม่มี popup ขนาดเต็มจอที่ขายของ — ทุก popup แบบนี้ = ปลอมหมด”. สำหรับครอบครัว — บอกพ่อแม่ / ลูกตรงๆ ว่า ถ้าเจอ popup แบบนี้ — ปิด browser ด้วย Task Manager (Ctrl+Shift+Esc) ไม่ใช่กดอะไรในหน้าจอ

Keylogger — บันทึกทุกการกด#

Keylogger (มัลแวร์บันทึก keyboard) = malware ที่บันทึก ทุก keystroke ที่เหยื่อพิมพ์ — แล้วส่งไปยัง C2 ของโจร

ผลกระทบที่ชัดเจน — โจรได้ password ทุกตัวที่เหยื่อพิมพ์ + เลขบัตรเครดิต + เนื้อหา email + ข้อความใน chat. ลองนึกภาพว่ามีคนนั่งข้างคุณตลอดเวลา จดทุกตัวอักษรที่คุณพิมพ์ — นั่นคือ keylogger

Keylogger มี 2 รูปแบบ — software (โปรแกรมที่ install) + hardware (อุปกรณ์เล็กๆ เสียบระหว่าง keyboard กับ PC). Hardware keylogger ตรวจยากกว่า — เพราะไม่มีโปรแกรม

มุมผู้บริหาร — Keylogger + MFA: Keylogger ทำให้ password อย่างเดียวไม่พอเพื่อ secure account. แม้ password 32 ตัวอักษรซับซ้อน — ถ้าโจรอ่านได้ตอนพิมพ์ — ก็ไม่มีค่า. นี่คือเหตุที่ MFA (EP.13) สำคัญ — ปัจจัยที่ 2 (token / phone) ไม่ผ่าน keyboard. Hardware key เช่น YubiKey / FIDO2 — ปลอดภัยกว่า OTP ทาง SMS เพราะ phishing attack ก็ขโมยไม่ได้

Stalkerware — โปรแกรมตามจี้#

Stalkerware (มัลแวร์สอดแนมบุคคล) = spyware ที่ออกแบบมาให้ คนใกล้ตัว (คู่ครอง / พ่อแม่ / นายจ้าง) ติดตามเหยื่อ — มักขายเป็น “app เพื่อความปลอดภัย” หรือ “parental control”

App เหล่านี้ — เมื่อ install ในเครื่องของเหยื่อ — จะ ซ่อนไอคอน ไม่ให้เห็นใน home screen — แล้ว stream ตำแหน่ง GPS / ข้อความ SMS / call log / รูปใน gallery / chat ใน social app ไปให้คนที่ติดตั้ง

Stalkerware เป็นปัญหาทางสังคม — มัน enable การล่วงละเมิดทางครอบครัว / domestic abuse. มี Coalition Against Stalkerware ที่รวมตัวบริษัท antivirus + NGO เพื่อแก้ปัญหา

มุมผู้บริหาร — Stalkerware + BYOD: ในบริษัทที่อนุญาต BYOD — มี risk เฉพาะ ที่พนักงานอาจมี stalkerware ในเครื่องตัวเองโดยไม่รู้ — และเครื่องนั้นเข้าระบบของบริษัท. นี่คือเหตุผลเสริมที่ MDM + Containerization (แบ่ง personal กับ work profile บนเครื่องเดียว) สำคัญ

Pegasus — Nation-state grade spyware#

Pegasus = spyware ระดับ nation-state ของบริษัท NSO Group (อิสราเอล) — ขายให้รัฐบาลทั่วโลก. เป็น spyware ที่วงการพิจารณาเป็น ตัวที่อันตรายที่สุดที่ใช้กับโทรศัพท์

ความต่างของ Pegasus กับ spyware ทั่วไป — มหาศาล. Zero-click installation — ไม่ต้องให้เหยื่อกดอะไรเลย. แค่ส่ง iMessage ที่มี payload พิเศษมา — โทรศัพท์ติดทันทีโดยที่หน้าจอไม่แสดงอะไร. หลัง install — Pegasus เข้าถึง:

• รูป / video / chat ทุก app (รวม Signal / WhatsApp / Telegram แม้จะ encrypted)
• Email / SMS / call log / contact
• GPS location real-time
• เปิด microphone ฟังเสียงในห้องเงียบๆ
• เปิด camera ดูภาพ
• ทุกอย่างที่มือถือทำได้ — Pegasus ทำได้

เคสในข่าวที่ดังที่สุด — Jamal Khashoggi (2018) — นักข่าวซาอุดิอาระเบียที่ Washington Post — ถูกฆ่าในสถานกงสุลตุรกี. Citizen Lab + Forbidden Stories รายงานว่า Pegasus ถูก install ในโทรศัพท์ของ คนใกล้ตัว Khashoggi ก่อนเขาเสียชีวิต — รัฐบาลซาอุดิอาระเบียใช้ Pegasus ติดตามตำแหน่งของเขา. Pegasus Project (2021) — รายงานจาก consortium ของนักข่าว — list 50,000+ เบอร์โทรของนักข่าว / นักกิจกรรม / นักการเมืองที่อาจถูก target

มุมผู้บริหาร — Pegasus + ความเข้าใจของ executive risk: สำหรับธุรกิจไทยทั่วไป — Pegasus ไม่ใช่ threat ตรง. แต่สำหรับ executive ในบริษัทที่ทำธุรกิจกับ government / defense / pharma / energy ที่มี geopolitical exposure — เป็น threat ที่ต้องคุย. มาตรการ — Apple Lockdown Mode (iOS 16+) ที่ปิด attack surface ส่วนใหญ่ที่ Pegasus ใช้ + แยกโทรศัพท์ส่วนตัวกับ work + รู้ว่า encrypted messenger ไม่ได้แปลว่า safe ถ้าโทรศัพท์ถูก compromise

Wiper — ทำลายล้างอย่างเดียว#

Wiper (มัลแวร์ลบล้างข้อมูล) = malware ที่ ทำลายข้อมูล ของเหยื่อโดยไม่มีทางกู้คืน — และ ไม่เรียกค่าไถ่ครับ

ลองนึกฉาก — โจรเข้าบ้านคุณ — ไม่ขโมยอะไร — เผาบ้านทิ้งแล้วเดินออกไป. ไม่มี note / ไม่มีเรียกค่าไถ่. นี่คือ wiper

ใครใช้ wiper? — Nation-state actors เป็นหลัก. เพราะการทำลายล้างของบริษัท / โครงสร้างพื้นฐานของประเทศเป้าหมาย — เป็น strategic objective ของรัฐ ไม่ใช่ business objective ของอาชญากร

Wiper ที่วงการศึกษา — Shamoon (2012) — โจมตี Saudi Aramco — ลบ data จาก 30,000 workstation ใน 1 วัน — บริษัทต้องไป ซื้อ HDD จากร้าน Best Buy ทั่วโลก เพื่อ rebuild. NotPetya (2017) — เคสจริงข้างล่าง. HermeticWiper / IsaacWiper / WhisperGate / AcidRain — ใช้ในสงคราม Russia-Ukraine 2022

มุมผู้บริหาร — Wiper + Business Continuity: Wiper สอนบทเรียนสำคัญ — backup ที่ test recovery จริง คือ control เดียวที่ป้องกัน wiper ได้. EDR / antivirus / firewall — ทุกตัว reactive — ถ้า wiper เข้าได้แล้ว — data หาย. Immutable backup (backup ที่ไม่สามารถถูก overwrite หรือ delete แม้โดย admin) + offline backup (ที่ไม่ติดต่อ network) + regular restore test (เดือนละครั้ง — restore จริงไม่ใช่อ่าน log) — เป็น 3 ขาที่ต้องครบ

Logic Bomb — ระเบิดเวลา#

Logic Bomb (ระเบิดตรรกะ) = โค้ดร้ายที่ฝังในระบบ — แต่ ไม่ทำงานทันที — รอ เงื่อนไข trigger ที่กำหนดไว้ล่วงหน้าครับ

เงื่อนไขอาจเป็น:

• เวลา — เช่น “วันที่ 1 มกราคม 2030 เวลา 9:00 AM”
• เหตุการณ์ — เช่น “ถ้าชื่อ user ‘admin_jorn’ ถูกลบจาก Active Directory” (= ถ้าผมโดนไล่ออก)
• เครื่องเฉพาะ — เช่น “ถ้า hostname ขึ้นต้นด้วย ‘finance-srv’”

นี่คือ malware ที่ insider ใช้บ่อย. ลองนึกภาพ developer ที่กลัวจะโดนไล่ออก — ฝัง logic bomb ใน production code: “ถ้า account ของฉันถูก disable ใน AD → ลบ database ทั้งหมด”

เคสจริง — Roger Duronio (UBS 2002) — IT admin ของ UBS PaineWebber ฝัง logic bomb ก่อนลาออก — ทำลายไฟล์ใน 2,000 server เมื่อเขาออกจากบริษัท — UBS เสียหายประมาณ 3.1 ล้าน USD. Duronio ถูกตัดสินคุก 8 ปี

มุมผู้บริหาร — Logic Bomb + Insider Threat: Logic bomb เป็น โอกาสเดียว ของ insider threat ที่ technical control แก้ไม่ได้ทั้งหมด — เพราะ insider มีสิทธิ์เขียนโค้ด + access system. มาตรการ — (1) Code review ที่มี second pair of eyes, (2) Separation of duties (คนเขียน code ไม่ deploy เอง), (3) Behavioural monitoring ของ admin ที่กำลังจะออก, (4) Offboarding ที่ตัด access ทันทีในวันสุดท้าย — ไม่ใช่ “เดี๋ยวค่อยตัดอาทิตย์หน้า”

Backdoor — ประตูหลังลับ#

Backdoor (ประตูหลัง) = ช่องทางเข้าระบบที่ bypass authentication ปกติ — ฝังไว้โดยโจร (หรือบางครั้งโดยตัว vendor เอง) เพื่อให้กลับเข้ามาได้ในอนาคต

Backdoor มีหลายรูปแบบ — (1) Hidden account (account ที่ admin ไม่รู้ว่ามี), (2) Hidden service ที่ฟัง port แปลกๆ, (3) Hardcoded credential ที่ vendor ฝังไว้ใน firmware เพื่อ support — แต่ไม่ลบออก, (4) Modified authentication ที่ accept “magic password” บางตัวเสมอ

เคสที่วงการศึกษา — Juniper ScreenOS backdoor (2015) — มี hardcoded password ใน firmware ที่ accept “ANY traffic” จาก hardcoded IP. ใครฝัง? ยังไม่มีคำตอบที่ public — แต่หลายฝ่ายสงสัยว่า nation-state. Cisco ASA / SonicWall / Fortinet — เคยมีเคสที่ vendor พบ backdoor ใน firmware ของตัวเอง

มุมผู้บริหาร — Supply Chain + Backdoor: Backdoor ใน vendor product = ทำไม supply chain security สำคัญ. ในยุค 2025-2026 — บริษัทไทยต้อง — (1) มี SBOM (Software Bill of Materials — list ของ component ที่ใช้ใน product) ของ software ทุกตัวที่ใช้, (2) Vendor security questionnaire ก่อน procurement, (3) Configuration baseline ที่ปิด default account / port / service ที่ไม่ใช้

Fileless Malware — Living-off-the-Land#

Fileless Malware (มัลแวร์ที่ไม่ใช้ไฟล์) = malware ที่ทำงาน โดยไม่เขียนไฟล์ลง disk — ทำงานใน memory + ใช้ tool ที่มีอยู่ใน OS อยู่แล้ว (PowerShell / WMI / certutil / mshta) ในการดำเนินการ

แนวคิดนี้เรียกว่า Living-off-the-Land (LotL — อยู่บนแผ่นดินที่มี) — ใช้ของที่มีอยู่ในเครื่องเหยื่อแทนการเอาเครื่องมือใหม่เข้าไป — ทำให้ antivirus ที่ตรวจ “ไฟล์ที่ผิดปกติ” ตรวจไม่เจอ — เพราะ ไม่มีไฟล์ใหม่ + tool ที่ใช้คือ PowerShell ที่เป็นของ Windows อยู่แล้ว

ตัวอย่าง — โจรใช้ macro ใน Word document run PowerShell command ที่ download payload เข้ามาใน memory โดยตรง (ไม่ save เป็นไฟล์) — payload ทำงานใน memory — เสร็จงาน — ไม่เหลือร่องรอย

มุมผู้บริหาร — Fileless + EDR ที่ดู behaviour: Antivirus แบบ signature-based ตรวจ fileless ไม่ได้. ต้องใช้ EDR ที่ดู behaviour — เช่น “Word เปิด PowerShell + PowerShell เรียก download cradle + connect ออก network” = pattern ผิดปกติ. PowerShell logging + script block logging + Windows AMSI ก็เป็น control พื้นฐานที่ทุกบริษัทใหญ่ต้องเปิด. หลายบริษัทไทย ไม่เคยเปิด — และไม่รู้ด้วย

3 จุดเป้าหมายของ malware — ที่ defender ต้องคุมให้ครบ#

ก่อนจะคุยเครื่องมือป้องกัน — ต้องเข้าใจก่อนว่า malware เล็งที่ตรงไหนในเครื่อง. มี 3 จุดเป้าหมายหลัก:

1. Executables — ไฟล์ที่รันได้ — .exe / .dll / .sh / .bat / .ps1 / .scr. นี่คือเป้าหมายที่ malware ส่วนใหญ่เล็ง — เพราะการรันโค้ดได้ = ควบคุมเครื่องได้. Virus / Trojan / RAT ส่วนใหญ่ฝังตัวที่นี่

2. Boot sector / Firmware — MBR / UEFI / BIOS — ส่วนที่รันก่อน OS. Bootkit + rootkit รุ่นลึกเล็งที่นี่ — เพราะรอดจาก reinstall OS. ป้องกันยากกว่ามาก เพราะ antivirus ที่รันใน OS ตรวจไม่ถึง

3. Data files — ไฟล์ข้อมูลปกติที่ดูไม่อันตราย — แต่ภายในมี executable content:

• Office macro ใน .docm / .xlsm / .pptm
• PDF JavaScript — PDF รัน JavaScript ได้ในตัว
• Steganography — ฝังโค้ดร้ายใน metadata ของรูปภาพ .jpg / .png
• Container script — .zip / .iso / .img ที่ภายในมี executable

defender ที่คุมแค่ executable แต่ลืม 2 จุดนี้ — เปิดประตูทิ้งไว้ครึ่งหนึ่งของบ้าน

4 ชนิดของ antimalware engine — แต่ละแบบเก่งคนละอย่าง#

Antimalware (หรือเรียกง่ายๆ ว่า antivirus) ไม่ใช่ของชนิดเดียว — มันคือ 4 engine ที่ทำงานต่างวิธีกัน — และเครื่องมือสมัยใหม่ผสมทั้ง 4 + เพิ่ม AI ด้านบนอีกชั้น:

1. Signature-based scanner — เก็บ ลายนิ้วมือ (hash / pattern) ของ malware ที่รู้จัก — match กับไฟล์ในเครื่อง. เร็ว + แม่นกับของที่รู้จัก — แต่ จับ zero-day ไม่ได้ เพราะยังไม่มี signature

2. Heuristic scanner — ดู pattern ของโค้ด — ถ้าโค้ดมีโครงสร้างคล้าย malware (เช่นมี loop encrypt ไฟล์ + เปลี่ยน registry + connect network) ก็ flag. จับ variant ของ malware เก่าได้ — แต่ false positive เยอะกว่า

3. Activity monitor / Behavior-based — ดู พฤติกรรม ของ process ตอน runtime. ไม่สนว่าโค้ดหน้าตายังไง — สนว่ามันทำอะไร. ถ้า Word เปิด PowerShell + PowerShell connect network + เริ่ม encrypt ไฟล์ — block. เก่งกับ fileless + LotL — แต่ ต้องการ baseline ของพฤติกรรมปกติ

4. CRC checker / Integrity monitor — เก็บ checksum ของไฟล์สำคัญตอนสะอาด — เช็คเป็นระยะว่าไฟล์ถูกแก้ไหม. ถ้าโดนแก้ = แจ้งเตือน. นี่คือพื้นฐานของ FIM (File Integrity Monitoring) — เครื่องมือดังของวงการคือ Tripwire / OSSEC / Wazuh

EDR รุ่นใหม่ในปี 2026 = combo ของทั้ง 4 engine ข้างบน + Machine Learning model ที่ train จาก malware sample หลายร้อยล้านตัว + Cloud reputation ที่เช็ค hash ของไฟล์กับ database ส่วนกลาง (VirusTotal / vendor cloud) แบบ real-time. นี่คือเหตุที่ EDR เก่งกว่า “antivirus” ของ 10 ปีก่อนแบบเทียบไม่ได้

Malware Wall — กำแพง 3 ชั้นที่ gateway#

อีกมุมหนึ่งของฝั่งป้องกันคือ scan ก่อน malware จะถึงเครื่อง user แทนที่จะรอให้ malware เข้าเครื่องแล้วค่อยตรวจ ก็สแกนที่ ทางเข้า ของเครือข่ายเลย แนวคิดนี้เรียก Malware Wall มี 3 ชั้นที่บริษัทใหญ่ใช้กัน:

1. SMTP gateway — สแกน email ก่อนเข้า mailbox ของพนักงาน — เปิด attachment ใน sandbox + ดู URL ใน email body + เช็คกับ threat intel database. เครื่องมือดัง — Proofpoint / Mimecast / Microsoft Defender for Office 365. ในยุค 2026 — เกือบ 100% ของบริษัทกลาง-ใหญ่ใช้ secure email gateway แบบนี้

2. HTTP/HTTPS gateway (Secure Web Gateway / Web filter) — สแกน traffic เว็บ — block ดาวน์โหลด .exe จากเว็บไม่รู้จัก + block URL ในหมวด malicious / phishing / gambling / adult (ตาม policy บริษัท) + decrypt HTTPS เพื่อสแกน content (SSL inspection). เครื่องมือดัง — Zscaler / Netskope / Palo Alto / Cisco Umbrella

3. FTP gateway — สแกนไฟล์ที่ transfer ผ่าน FTP. ดูเหมือน legacy — แต่ในอุตสาหกรรม OT/ICS (โรงงาน / โรงไฟฟ้า / ระบบขนส่ง) — FTP ยังเป็น protocol หลักของการ exchange config + firmware. ละเลยไม่ได้

Plus ของยุคใหม่ — CASB (Cloud Access Security Broker) — สแกนการ upload/download ไป cloud (Google Drive / OneDrive / Dropbox / Box / Salesforce). เพราะในยุคที่ทุกบริษัทใช้ SaaS — malware ไม่ผ่าน SMTP/HTTP ของบริษัทเสมอไป — มันอาจมาผ่าน file share ใน cloud โดยตรง. เครื่องมือดัง — Netskope CASB / Microsoft Defender for Cloud Apps / Palo Alto Prisma SaaS

17 ข้อใน Malware Management Policy — มุม Governance#

เครื่องมือเทคนิคทั้งหมดข้างบนจะใช้ผลได้จริง ก็ต่อเมื่อมี policy + governance กำกับครับ ที่ ISACA สอบบ่อยใน Domain 5 คือ อะไรคือ policy ที่ครบของ malware defense ลองดู checklist 17 ข้อนี้ เป็นภาพรวมที่ auditor ใช้เช็คว่าบริษัทคุม malware ครอบคลุมหรือไม่:

1. Anti-malware software policy — ระบุชัดว่าใช้ vendor ไหน + เป็น mandatory ทุกเครื่อง
2. Anti-malware update frequency — signature update ทุกวันอย่างน้อย — engine update ตาม vendor schedule
3. Email attachment policy — block executable แนบ email + sandbox attachment ที่น่าสงสัย
4. Software installation policy — whitelist app ที่อนุญาต + admin approval สำหรับ install นอก list
5. USB / removable media policy — block default + มีกระบวนการขออนุญาตเฉพาะกรณี
6. Web filtering policy — block category ที่เสี่ยง (malware / phishing / piracy / adult)
7. Patch management policy — critical CVE patch ภายใน 7 วัน — important ภายใน 30 วัน
8. Vulnerability scanning policy — scan ทุกไตรมาส + หลังการเปลี่ยนแปลงใหญ่
9. Security awareness training — อบรมประจำปี + phishing simulation
10. Incident response policy — กำหนดนิยาม “malware incident” + escalation tree
11. Backup policy — 3-2-1 rule + offline copy + immutable + ทดสอบ restore
12. Network segmentation policy — จำกัด lateral movement ระหว่าง zone
13. Privileged access policy — admin account แยก + MFA + Just-in-Time access
14. Software inventory policy — CMDB ทันสมัย + ติดตาม EOL (End-of-Life)
15. Vendor risk policy — ประเมิน security ของซอฟต์แวร์จาก third party ก่อน procurement
16. BYOD / mobile policy — บังคับ MDM/MAM กับเครื่องที่เข้าระบบบริษัท
17. Penetration testing policy — pen test ประจำปี + หลังการเปลี่ยนแปลงสำคัญ

มุมผู้บริหาร — Policy คือสิ่งที่ทำให้ control ยั่งยืน: เครื่องมือ EDR / SIEM / firewall ระดับ enterprise มูลค่ารวมหลายสิบล้านบาท แต่ถ้าไม่มี policy ที่บังคับใช้จริง control ก็จะค่อยๆ ถูก bypass จากภายใน (พนักงานขอ exception / IT ขี้เกียจ patch / ผู้บริหารปิด MFA เพราะรำคาญ) ใน CISA exam คำถามทำนอง “control ที่ดีที่สุดในการป้องกัน malware” คำตอบมักไม่ใช่ “antivirus” แต่เป็น “policy + awareness training + technical control ที่บังคับใช้ครบ 3 ขา” auditor ที่ตรวจแค่ technical ไม่ตรวจ policy = ตรวจครึ่งงาน

เคส 1 — WannaCry (พฤษภาคม 2017) — worm + ransomware#

สรุปเหตุการณ์ — 12 พฤษภาคม 2017 ครับ. ransomware ตัวใหม่ชื่อ WannaCry เริ่มกระจาย. ใน 1 วัน — ติด 200,000+ เครื่อง ใน 150 ประเทศ. NHS UK (ระบบสาธารณสุขอังกฤษ) — โรงพยาบาลทั่วประเทศต้องยกเลิกการรักษาคนไข้ — รถพยาบาลถูก divert ไป hospital อื่น. Renault / Nissan / FedEx / Telefónica / Deutsche Bahn — ทั่วโลกกระทบ

ทำไมเร็วขนาดนั้น — เพราะ WannaCry เป็น worm + ransomware รวมกัน. ส่วน worm ใช้ช่องโหว่ EternalBlue (CVE-2017-0144) ใน SMB protocol ของ Windows — เลื้อยใน network ของบริษัทได้เอง โดยไม่ต้องให้ใครคลิก. ทุกเครื่องที่ติด — ก็เป็นจุด launch ใหม่ของ worm

Plot twist — Microsoft ออก patch MS17-010 ไปแล้วเมื่อมีนาคม 2017 — 2 เดือนก่อน WannaCry. บริษัทที่ patch ไม่โดน. บริษัทที่ใช้ Windows XP (ไม่มี patch officially) + บริษัทที่ละเลย patch — โดนหมด

ใครปล่อย? — North Korea (Lazarus Group) ตามรายงานของ FBI + UK NCSC

บทเรียน:

1. Patch management ไม่ใช่งาน IT routine — เป็น risk management ระดับ board
2. Network segmentation สำคัญ — ถ้า SMB ไม่เปิดข้าม segment — worm กระจายไม่ได้
3. Legacy Windows = liability — บริษัทที่ยังใช้ XP / Windows 7 ในปี 2026 — ต้องมีแผน migrate

เคส 2 — NotPetya (มิถุนายน 2017) — Wiper ปลอม Ransomware#

สรุปเหตุการณ์ — 27 มิถุนายน 2017 — 6 สัปดาห์หลัง WannaCry. มัลแวร์ใหม่ที่ดูเหมือน Petya ransomware (เลยถูกเรียก NotPetya เพราะคล้ายแต่ไม่ใช่). กระจายในยูเครนก่อน — ผ่าน supply chain attack ที่ตัว update ของ M.E.Doc (ซอฟต์แวร์ accounting ที่บริษัทยูเครนทุกบริษัทใช้)

ใน 24 ชั่วโมง — กระจายทั่วโลก. Maersk (ขนส่งทางเรือใหญ่ที่สุดในโลก) — 49,000 laptop + 4,000 server หยุดทำงาน — ระบบ container terminal ทั่วโลกล่ม — เสียหาย 300 ล้าน USD. Merck (เภสัช) — 870 ล้าน USD. FedEx (TNT) — 400 ล้าน USD. Mondelez (ขนม Oreo) — 100 ล้าน USD. Total damage ทั่วโลก — 10 พันล้าน USD — แพงที่สุดในประวัติศาสตร์ cyber attack ในตอนนั้น

Plot twist — NotPetya ดูเหมือนเรียก ransom — แต่ decryption key ไม่มีอยู่จริง. แม้จะจ่ายค่าไถ่ — โจรก็ decrypt ไม่ได้. NotPetya ไม่ใช่ ransomware — มันเป็น wiper ที่ปลอมตัวเป็น ransomware

ใครปล่อย? — Russian GRU (Sandworm) ตามรายงานของ US/UK government. เป้าหมายจริงคือ ทำลายเศรษฐกิจยูเครน — บริษัทอื่นทั่วโลกที่โดนเป็น collateral damage

บทเรียน:

1. Supply chain attack น่ากลัวกว่าการโจมตี direct — เพราะ trusted software update bypass control ส่วนใหญ่
2. Wiper ปลอม ransomware = ทำให้ IR response ทำผิดทิศ — ที่จริงต้องโฟกัส recovery จาก backup ไม่ใช่ negotiate
3. Cyber insurance complications — หลายบริษัทเครมไม่ได้ เพราะ insurer อ้าง “war exclusion” (สงครามระหว่างรัฐ — ไม่ครอบคลุม). Mondelez ฟ้องชนะหลังศาล 6 ปี — เป็น case law สำคัญ

เคส 3 — Stuxnet (2010) — State-grade Cyber Weapon#

สรุปเหตุการณ์ — ปี 2010 — นักวิจัย security เจอ malware ตัวประหลาดในเครื่องของบริษัทอิหร่าน. ขนาดใหญ่ผิดปกติ (500 KB) + complexity สูงผิดปกติ + ใช้ zero-day 4 ตัวพร้อมกัน (ปกติเจอ 1 zero-day ก็ดังในวงการแล้ว) + ฝัง stolen digital certificate จาก Realtek + JMicron

เป้าหมาย — โรงงาน enrichment uranium ของอิหร่านที่ Natanz. Stuxnet ออกแบบมาเฉพาะเพื่อ — ค้นหา Siemens S7-300 PLC ที่ควบคุม centrifuge ที่หมุนเสริม uranium. เมื่อเจอ — ปรับ frequency ของ centrifuge สลับช้าและเร็วผิดปกติ — ทำให้ centrifuge พังกายภาพ — ในขณะที่ส่ง telemetry ปลอมไปยัง operator เพื่อให้ดูเหมือนทุกอย่างปกติ

ผลกระทบจริง — Stuxnet ทำลาย centrifuge ~1,000 ตัว (จากทั้งหมด 9,000) ในระยะเวลา 2 ปี — delay โครงการนิวเคลียร์อิหร่านได้หลายปี

ใครปล่อย? — สหรัฐ + อิสราเอลร่วมกัน (Operation Olympic Games) — ยืนยันโดยนักข่าวที่ได้ source จากภายในรัฐบาล US

บทเรียน:

1. Cyber weapon ระดับรัฐมีจริง + ใช้กับโครงสร้างพื้นฐานจริง ตั้งแต่ 2010
2. Air-gapped network ก็ติดได้ — Stuxnet ข้าม air gap ผ่าน USB drive ของพนักงาน
3. OT/ICS security (EP.36) ไม่ใช่ option — เป็น national security issue
4. Defenders ทุกประเทศ ตอนนี้รู้แล้วว่า attack pattern แบบนี้เป็นไปได้ — เป็นเหตุที่ industrial control security ขึ้น priority หลัง 2010

เคส 4 — Emotet (2014-2021) — Banker ที่กลายเป็น Loader#

สรุปเหตุการณ์ — Emotet เริ่มในปี 2014 เป็น banking trojan ธรรมดา. ปี 2017-2018 — กลุ่มที่อยู่เบื้องหลังเปลี่ยน business model — แทนที่จะขโมยเงินเอง — Emotet กลายเป็น “loader as a service” — ติดเครื่องเหยื่อก่อน — แล้วขาย access ให้ ransomware gang อื่นๆ มา deploy ransomware ของพวกเขา (เช่น TrickBot → Ryuk → Conti chain)

ปี 2020-2021 — Emotet เป็น botnet ที่ใหญ่ที่สุดในโลก — ติดเครื่องเหยื่อเป็นล้าน — รายได้ของกลุ่มประเมินที่ 2.5 พันล้าน USD ในรอบ 7 ปี

มกราคม 2021 — Operation Ladybird — Europol + 8 ประเทศ (US/UK/DE/NL/FR/LT/CA/UA) ร่วมกันยึด infrastructure ของ Emotet พร้อมกัน — เป็น takedown ที่ใหญ่ที่สุดในประวัติศาสตร์ของวงการ. เมษายน 2021 — Emotet หายไปจาก map

พฤศจิกายน 2021 — Emotet กลับมา. กลุ่มสร้าง infrastructure ใหม่ภายใน 10 เดือน. ยังคงทำงานอยู่ปี 2024-2025

บทเรียน:

1. Malware economy จัด layered มาก — initial access broker / loader / ransomware affiliate — แต่ละชั้นมี business model ของตัวเอง
2. Law enforcement takedown ทำได้ — แต่ resilient. ต้อง sustained effort ไม่ใช่ one-shot
3. Public-private partnership เป็น key. Europol + Microsoft + vendor security ร่วมมือถึง takedown ได้

เคส 5 — Pegasus + Khashoggi (2018-2021)#

สรุปเหตุการณ์ — ตุลาคม 2018 — Jamal Khashoggi นักข่าวซาอุดิอาระเบียที่เขียน column ใน Washington Post — เข้าสถานกงสุลซาอุฯ ในอิสตันบูล — เสียชีวิตในสถานกงสุล (อัยการตุรกีระบุว่าเป็นการสังหารโดยทีมที่ส่งมาจาก Riyadh)

Citizen Lab + Forbidden Stories รายงาน (Pegasus Project, 2021) ว่า — Pegasus ของ NSO Group ถูกพบใน trace บนโทรศัพท์ของ Omar Abdulaziz (เพื่อน activist ของ Khashoggi) ก่อนเหตุการณ์, และพบ trace บนโทรศัพท์ของ Hatice Cengiz (คู่หมั้นของ Khashoggi) หลังเหตุการณ์. ความเชื่อมโยงโดยตรงระหว่าง Pegasus กับการเสียชีวิตของ Khashoggi ยังไม่เคยถูกพิสูจน์ในชั้นศาล — NSO Group ปฏิเสธอย่างต่อเนื่องว่าซอฟต์แวร์ของบริษัทไม่ได้ถูกใช้กับ Khashoggi

ในเวทีกฎหมาย — Apple + Meta + WhatsApp ฟ้องร้อง NSO ในสหรัฐ. กระทรวงพาณิชย์สหรัฐใส่ NSO ใน Entity List ปี 2021 (= ห้ามบริษัท US ทำธุรกิจกับ NSO)

บทเรียน:

1. Mobile = primary target สำหรับ nation-state — ไม่ใช่ desktop. โทรศัพท์มี mic / camera / GPS / contact ที่ desktop ไม่มี
2. Commercial spyware market มีจริง + ทำกำไรหลายร้อยล้าน USD ต่อปี
3. Geopolitical risk ของ executive + journalist + activist — เป็นเรื่องจริงในปี 2026
4. Mitigation ระดับ user — Apple Lockdown Mode + restart โทรศัพท์ทุกวัน (ทำให้ persistent malware หลายตัวหลุด) + ใช้ encrypted messenger ที่ verify identity

เคส 6 — Mirai (2016) — IoT Botnet#

สรุปเหตุการณ์ — ตุลาคม 2016. มี DDoS attack ขนาดยักษ์ที่ Dyn (DNS provider ใหญ่ของอเมริกา) — ทำให้ Twitter / Reddit / Netflix / Spotify / GitHub ล่มทั้งทวีปอเมริกา 6 ชั่วโมง. ขนาดของ attack — 1.2 Tbps — ใหญ่ที่สุดในประวัติศาสตร์ในตอนนั้น

ที่มาของ traffic — กล้องวงจรปิด + DVR + router ของผู้ใช้ตามบ้านทั่วโลก 600,000 อุปกรณ์ ที่ติด malware Mirai

Mirai ทำงานง่ายมาก — scan internet หา IoT device ที่ใช้ default username/password (admin/admin, root/root, support/support) — ติดเข้าไป — ใช้ IoT device เป็นปืน DDoS

ผู้สร้าง Mirai = 3 นักศึกษาวัย 21 ปี ที่ทำ Mirai เพื่อ DDoS server เกม Minecraft คู่แข่ง เพื่อขายบริการ DDoS protection — แล้วเผยแพร่ source code ใน hacker forum. หลังจากนั้น — Mirai variant เกิดเป็น 1,000+ ตัว

บทเรียน:

1. IoT security (EP.36) เป็นเรื่องจริง + scale ใหญ่
2. Default credential เป็น initial access ที่ใช้ได้ทั่วทั้งโลก — ทุก vendor ต้องเปลี่ยน default credential per-device ปี 2026 ยังเป็นมาตรการที่หลายประเทศบังคับ (California IoT law 2020 / UK Product Security 2024)
3. Consumer device ของบ้าน = ปืนที่บริษัทใหญ่ถูกใช้ DDoS — แม้บริษัทจะไม่มีอะไรเกี่ยวกับเครื่องเหล่านั้น

สิ่งที่ผู้นำต้องจำ#

ข้อแรก — “Antivirus” ในปี 2026 ไม่พอแล้ว — ต้องคิดเป็น Detection + Response

ผู้บริหารในวงการธุรกิจไทยส่วนหนึ่ง ยังคิดว่า “เรามี antivirus แล้ว” = “secure”. แต่ภาพรวมของ malware ใน EP นี้บอกชัดว่า antivirus แบบ signature ตรวจไม่เจอ:

• Fileless malware (ไม่มีไฟล์ให้สแกน)
• Zero-day exploit (signature ยังไม่ทันถูกสร้าง)
• Polymorphic malware (ตัวเอง mutate ทุกครั้งที่กระจาย)
• Living-off-the-Land (ใช้ PowerShell / WMI ที่เป็นของ OS เอง)
• Rootkit / Bootkit (อยู่ระดับลึกกว่า antivirus)

Standard ของวงการปี 2026 = EDR (Endpoint Detection & Response) + 24/7 SOC monitoring (หรือ MDR ถ้า outsource) + Network Detection (NDR) + SIEM

เรื่องนี้เราจะเจาะลึกใน EP.43 ของซีรีส์ — แต่ผู้บริหารต้องเริ่มเข้าใจตอนนี้ว่า “AV เก่าไม่พอ”

Budget rule of thumb สำหรับบริษัทไทยขนาดกลาง — security budget = 5-10% ของ IT budget (สำหรับองค์กรที่มี data sensitive). EDR + 24/7 monitoring (in-house หรือ MSSP) = หนึ่งใน priority สูงสุด

ข้อสอง — Backup + IR Plan + Tabletop exercise = 3 ขาที่ทำให้รอด — ไม่ใช่ป้องกัน 100%

EP นี้สอนบทเรียนใหญ่ — ไม่มีบริษัทไหนป้องกัน 100% ได้. Maersk / FedEx / Merck / NHS บริษัทระดับโลกที่มี security budget มหาศาล ยังโดน NotPetya / WannaCry. คำถามที่สำคัญที่สุดของผู้บริหารปี 2026 ไม่ใช่ “ทำยังไงไม่ให้โดน” แต่เป็น “โดนแล้วฟื้นได้ใน 24 ชั่วโมงหรือ 24 เดือน”

ความแตกต่างของบริษัทที่ฟื้นเร็วกับฟื้นช้า — มี 3 ขา:

1. Backup ที่ทดสอบ recovery จริง — ไม่ใช่ “เรามี backup” — แต่ “เราเคย restore database 5 TB จาก backup สำเร็จในเดือนที่แล้ว”. 3-2-1 rule (3 copy / 2 media / 1 offsite) + immutable backup + offline copy
2. IR plan ที่เป็นเอกสารจริง + ทุกคนรู้บทบาท — ใครเป็น Incident Commander? ใครคุยกับ media? ใครติดต่อกับ law enforcement? ใครติดต่อ insurance? ใครคุยกับลูกค้า? ใครคุยกับ regulator? — มีเอกสารที่ระบุชัด + update ทุก 6 เดือน
3. Tabletop exercise — ซ้อมจริง ปีละ 2 ครั้งเป็นอย่างน้อย. สมมติ scenario (“วันจันทร์เช้า ransomware ติดทั้งบริษัท — ทุกคนทำอะไร 24 ชั่วโมงแรก”) — แล้ว walk-through ในห้องประชุม. ทุกบริษัทที่ผ่าน tabletop ครั้งแรก — เจอ gap หลัก 5-10 ข้อทุกครั้ง

ในเคสที่เห็นในข่าวบ่อย — บริษัทไทยที่มี IR plan + tabletop จริง — ฟื้นจาก major incident ใน 2-7 วัน. บริษัทที่ไม่มี — 2-6 สัปดาห์ + เสียลูกค้าหลายเปอร์เซ็นต์ระยะยาว. ความแตกต่างไม่ได้อยู่ที่เครื่องมือ — อยู่ที่ discipline

เรื่อง IR เราจะเจาะลึกใน EP.46 — แต่ผู้บริหารต้องรู้ตั้งแต่ตอนนี้ว่า IR plan ไม่ใช่เอกสาร 200 หน้าที่ vendor ส่งให้ — เป็น discipline ที่ต้องซ้อมจริง