Malware Attack

Malware Attack ราคาถูกกำลังแพร่กระจาย และระบาทหนัก ล่าสุดมีการตรวจพบว่าเหล่าแอกเกอร์กำลังอาศัยมัลแวร์ชนิดใหม่ “exploit” ช่องโหว่ในไมโครซอฟท์ออฟฟิศ

Malware Attack

Malware Attack กลายเป็นเครื่องมือในการโจมตีที่หาซื้อง่าย

โดยเมื่อไม่นานมานี้ทางทัมนักวิจัยจากแคสเปอร์สกี้ แลป ได้ออกมาเปิดเผยว่า ปัจจุบันผู้ร้ายไซเบอร์มักจะไม่ใช้เทคนิคโจมตีที่มีราคาแพงหรือซับซ้อนอย่าง ช่องโหว่ zero-day เท่าใดนัก แต่มักใช้วิธีการคุกคามผ่านแคมเปญสังคมออนไลน์ วิศวกรรมสังคม

ในการรุกเข้าหาเหยื่อ ควบคู่ไปกับการใช้เทคนิคร้ายกาจต่างๆ ที่เป็นรู้จักกันอยู่ ผู้ร้ายไซเบอร์เหล่านี้จึงได้ผลลัพธ์สมดั่งใจ คือ แคมเปญร้ายที่บรรดาโซลูชั่นซีเคียวริตี้ที่ใช้กันตามองค์กรธุรกิจทั่วไปนั้นจะตรวจจับได้ยากมาก ซึ่งการเปลี่ยนแปลงระดับวิธีปฏิบัติการ

ของเหล่าแอคเกอร์นี้แสดงให้เห็นว่า โครงสร้างสารสนเทศพื้นฐานโดยทั่วไปของบริษัท องค์กรต่างๆ ทุกวันนี้มีจุดอ่อนมากพอที่แอคเกอร์ทีไม่ต้องเก่งมากก็สามารถหา “ทูลเซ็ต” หรือโปรแกรมการโจมตีแบบสำเร็จรูป ที่สนนราคาไม่เท่าไรมาใช้งานก็สามารถบุกเจาะเข้าไปได้แล้ว

อย่างเช่น Microcin ซึ่งเป็นแคมเปญร้ายที่ถูกตรวจจับได้ และเป็นแคมเปญโจมตีที่ราคาถูกแต่มีอันตรายสูง ซึ่งการตรวจพบในครั้งนี้เกิดขึ้นเมื่อทีม Kaspersky Anti Targeted Attack Platform (KATA) ได้พบไฟล์ RTF ที่ดูน่าสงสัย มี exploit (มัลแวร์ที่อาศัยช่องโหว่ด้านความปลอดภัยตามซอฟท์แวร์ยอดนิยมเพื่อแอบติดตั้งคอมโพเน้นท์ไม่พึงประสงค์เข้าไป)

โดยอาศัยช่องโหว่ในไมโครซอฟท์ออฟฟิศ ซึ่งล่าสุดทางไมโครซอหต์ได้แจ้งว่าได้ทำการแก้แก้ไขช่องโหว่ไปเรียบร้อยแล้ว ซึ่งแม้ทางฝ่ายผู้ผลิตตเองจะออกมารีบแก้ไขแล้ว แต่ก็สะท้อนให้เห็นถึงแนวโน้ม ในการโจมตีของแอคเกอร์ ที่ใช้ exploits เพื่อแพร่กระจายเข้าหาเหยื่อ

Microcin Malware

เนื่องจากเป็นช่องทางกระจายมัลแวร์สู่วงกว้างได้อย่างง่ายดาย โดยไฟล์ RTF นี้ ไม่ได้เป็นของกลุ่มที่ระบาดอยู่ แต่กลับเป็นของแคมเปญที่ทำขึ้นมาโดยเหล่าแอคเกอร์ ที่ตั้งเป้าหมายที่เหยื่ออย่างชัดเจน และมีการทำงานที่ถือว่าซับซ้อนกว่ามาก ไฟล์เอกสารที่ทำหน้าที่เป็นสเปียร์ฟิชชิ่งจะถูกแพร่กระจายผ่านไซต์เฉพาะกลุ่ม เช่น ฟอรั่มเงินกู้ซื้อบ้าน เป็นต้น

โดยเมื่อ exploit ถูกกระตุ้นให้ทำงาน มัลแวร์ที่มีโครงสร้างเป็นโมดูล (modular structure) จะถูกติดตั้งลงบนเครื่องคอมพิวเตอร์ของเหยื่อ โดยใช้วิธีการ injectionเข้ามาที่ไฟล์ iexplorer.exe และตัวออโต้รันในโมดูลนี้ก็จะทำงานผ่าน dll-hijacking ซึ่งเป็นเทคนิคที่เป็นที่รู้จัก และใช้กันแพร่หลาย

และเมื่อโมดูลหลักได้รับการติดตั้งแล้ว โมดูลเสริมบางโมดูลก็จะถูกดาวน์โหลดมาจากคอมมานด์และคอนโทรลเซิร์ฟเวอร์ และจะมีอย่างน้อยหนึ่งโมดูลในนั้นที่ใช้ steganography หรือวิธีการปกปิดข้อมูลที่ซ่อนอยู่ภายในไฟล์ที่ดูก็ไม่น่าจะมีอันตรายอะไร เช่น ภาพ แต่ก็ยังถือเป็นเทคนิคอีกประเภทหนึ่ง ที่ใช้ในการโอนย้ายถ่ายข้อมูลแบบไม่ให้ถูกจับได้

ซึ่งเมื่อวางแพลตฟอร์มที่ประสงค์ร้ายไว้พร้อมแล้ว มัลแวร์จะทำการค้นหาไฟล์ที่มี extensions เช่น .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt และ .rtf จากนั้นเข้ารหัสเก็บไว้ใน archive รอส่งต่อไปให้ผู้ก่อการ นอกจากจะใช้เทคนิคที่รู้กันอยู่แล้วควบคู่ไปกับเทคนิคใหม่ๆ รวมทั้งแบคดอร์ที่รู้กันอยู่แล้วไปด้วย

ซึ่งได้เคยพบเห็นกันในการโจมตีก่อนหน้านี้ และยังพบว่ามีใช้ทูลที่มีความถูกต้องมาประกอบด้วย โดยเป็นทูลที่สร้างขึ้นมาสำหรับทดสอบการเจาะเข้าระบบ (penetration testing) ซึ่งโดยมากมักจะผ่านการตรวจจับของซีเคียวริตี้โซลูชั่นไปได้โดยไม่ชี้ว่าเป็นมัลแวร์

Malware Attack

อเล็กซี่ ชูลมิน นักวิเคราะห์มัลแวร์ระดับสูง แคสเปอร์สกี้ แลป กล่าวว่า หากนำมาทำการศึกษาแยกส่วนแล้วจะพบว่าการโจมตีประเภทนี้ไม่มีความร้ายแรงนัก โดยวงการซีเคียวริตี้ได้บันทึกรายละเอียดข้อมูลเกือบทุกคอมโพเน้นท์ไว้เรียบร้อยแล้ว จึงตรวจจับค่อนข้างง่าย

อย่างไรก็ตาม ดูประหนึ่งว่ามัลแวร์พวกนี้จะมารวมตัวกันเพื่อก่อให้เกิดความยุ่งยากซับซ้อนกว่าเดิมกว่าที่จะตรวจพบการคุกคามได้ ที่สำคัญไปกว่านั้น แคมเปญแบบนี้ไม่ใช่มีอยู่เพียงหนึ่งเดียว เป็นไปได้ว่าตัวก่อการการจารกรรมไซเบอร์บางตัวนั้นได้เปลี่ยนวิธีการเป้าหมายจากการพัฒนาทูลที่ตรวจจับยาก (ว่าเป็นมัลแวร์)

มาสู่วิธีการวางแผนและดำเนินปฏิบัติการที่มีความซับซ้อน ซึ่งอาจจะไม่จำเป็นต้องเกี่ยวข้องกับมัลแวร์ประเภทที่มีความซับซ้อน แต่ก็ยังคงเป็นมัลแวร์ที่เป็นอันตรายอยู่นั่นเอง

และเพื่อเป็นการป้องกันโครงสร้างพื้นฐานไอทีขององค์กรให้พ้นจากการเป็นเป้าหมายการโจมตีของ Microcin ผู้ใช้งานควรติดตั้งซีเคียวริตี้ทูลเพื่อตรวจจับปฏิบัติการไม่พึงประสงค์ แทนที่จะมุ่งตรวจจับแต่เพียงซอฟท์แวร์ไม่พึงประสงค์แต่เพียงเท่านั้น

ส่วนขยาย

* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง 
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** ขอขอบคุณภาพประกอบจาก www.pexels.com

สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่