หนามยอกเอาหนามบ่ง ! เมื่อเวิร์ม Hopper ถูกนำมาใช้ในการจัดการมัลแวร์ในระบบคอมพิวเตอร์

เชื่อว่าหลาย ๆ คนรู้จัก "เวิร์ม" (Worm) ในฐานะตัวทำลายล้างระบบคอมพิวเตอร์ที่ร้ายแรงพอ ๆ กับไวรัส มัลแวร์ทั้งหลาย เช่น เวิร์ม MyDoom ที่เคยสร้างความเสียหายมูลค่า 52,000 ล้านดอลลาร์สหรัฐ แต่ ณ ขณะนี้ พบว่ามีเวิร์มที่ส่งผลดีต่อระบบคอมพิวเตอร์ด้วยนะ

โดยเวิร์มตัวนี้มีชื่อว่า "ฮอปเปอร์" (Hopper) เป็นเวิร์มที่คอยช่วยแทรกซึมเครือข่าย ระบบบต่าง ๆ เพื่อตรวจจับหาเวิร์มที่เป็นอันตราย โดยเวิร์มอันตรายจะโจมตีด้วยวิธีต่าง ๆ เช่น การปลอมแปลงโทเค็น การเปลี่ยนค่า Configurations ที่ทำให้เกิดช่องโหว่อันตราย, การจัดเก็บข้อมูลรับรองที่ไม่ปลอดภัย ฯลฯ ซึ่งโซลูชันความปลอดภัยทางไซเบอร์มักตรวจพบไม่เจอ หรือไม่ยืดหยุ่นตามคำสั่งที่วางไว้ เพราะโซลูชันเหล่านี้มีจุดอ่อนในการตรวจจับเวิร์มที่กระจายแบบไม่แสวงหาผลประโยชน์

เวิร์ม Hopper สามารถรายงานผู้ใช้ได้ว่าเข้าถึงเครือข่ายใด อย่างไรบ้าง แทรกซึมได้ไกลแค่ไหน พบเห็นสิ่งใดระหว่างทางบ้าง รวมถึงวิธีการปรับปรุงและป้องกันปัญหา ซึ่งผู้ใช้เวิร์ม Hopper อย่างทีมพัฒนาจากบริษัท Cymulate บริษัทรักษาความปลอดภัยระบบคอมพิวเตอร์ ใช้ Hopper เป็นเวิร์มล่องหนกับมัลแวร์ทั่วไปที่เป็นไฟล์เรียกการทำงานขนาดเล็ก ทำหน้าที่ Pay Load เริ่มต้นและรันโปรแกรม Hopper จะทำการในลักษณะที่ไม่ต้องเปลี่ยน Payload และทำการเปิดเส้นทางเพื่อดำเนินการอื่น ๆ ที่ต้องการร่วมด้วย

ความน่าสนใจของเวิร์ม Hopper

เวิร์ม Hopper ยังสามารถตั้งค่าคุณสมบัติตามการควบคุมของผู้ใช้ได้ นี่คือตัวอย่างของการตั้งค่า Hopper ให้เกิดประโยชน์สูงสุดจากทีมพัฒนาของบริษัท Cymulate

• การกำหนดค่า Payload เริ่มต้น (Initial payload configuration)
• การกำหนดค่า Payload ขั้นแรก (First stage payload configuration)
• การกำหนดค่า Beacon ขั้นที่สอง (Second stage beacon configuration) 
• API หรือ วิธีการสื่อสาร แพร่กระจาย และหาช่องโหว่ของเวิร์ม Hopper

แม้เวิร์ม Hopper ตัวเริ่มต้นจะเป็นเพียงโครงขนาดเล็กที่มีความสามารถจำกัด แต่ก็ยังได้สิทธิเข้าถึงส่วนต่าง ๆ ของระบบเท่าที่จำเป็น เพื่อกระจายไปยังเครื่องคอมพิวเตอร์เป้าหมายได้อย่างสะดวก และเวิร์ม Hopper ยังมีจุดเด่น ก็คือ เข้าถึงข้อมูลที่รวบรวมมาได้ และแจกจ่ายให้กับ Hopper อื่น ๆ โดยไม่ต้องทำฐานข้อมูลซ้ำในคอมพิวเตอร์เครื่องอื่น

นอกจากนี้ การแพร่กระจายเวิร์ม Hopper จะมุ่งเน้นในการกำหนดค่าของระบบให้ผิดพลาดมากกว่า เพราะว่าหากทำอะไรที่ดูใหญ่โตกว่านี้ เช่น การหาประโยชน์จากข้อมูลในระบบนั้น ๆ จะเป็นเรื่องถูกตรวจพบได้ยากกว่า และการรันโค้ดที่ผู้ใช้ต้องการจนนำไปสู่การแพร่กระจายเวิร์ม 

ส่วนการทำงานของเวิร์ม Hopper ทีมงานจากบริษัท Cymulate เลือกที่จะให้ Hopper ทำงานบนหน่วยความจำ เพื่อการเรียกระบบโดยตรงแทนการใช้งาน API ที่ช่วยตรวจจับและยกเลิกขั้นตอนการทำงานที่ Hopper มีส่วนเกี่ยวข้อง และเพื่อช่วย Hopper พรางตัว จึงสื่อสารกับผู้ใช้ผ่านเซิร์ฟเวอร์ที่ไม่เป็นอันตราย เช่น โปรแกรม Slack, แพลตฟอร์มเอกสาร Google Sheet ฯลฯ รวมถึงการสื่อสาร Command and Control ผ่านกิจกรรมบังหน้าในรูปแบบการจับเวลาแบบสุ่ม

จะเห็นได้ว่า แม้แต่วงการความปลอดภัยของระบบคอมพิวเตอร์ ก็ต้องใช้วิธี "หนามยอกเอาหนามบ่ง" หรือการนำเวิร์ม Hopper เข้ามาตรวจจับมัลแวร์ที่เป็นปัญหาร่วมด้วย นับว่าเป็นอีกวิธีการที่น่าสนใจทีเดียว