ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

กลุ่มแรนซัมแวร์ดังพัฒนาเครื่องมือ EDRKillShifter มีความสามารถปิดระบบ EDR ก่อนยิงมัลแวร์ใส่ระบบได้

กลุ่มแรนซัมแวร์ดังพัฒนาเครื่องมือ EDRKillShifter มีความสามารถปิดระบบ EDR ก่อนยิงมัลแวร์ใส่ระบบได้

เมื่อ :
|  ผู้เข้าชม : 1,445
เขียนโดย :
0 %E0%B8%81%E0%B8%A5%E0%B8%B8%E0%B9%88%E0%B8%A1%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%94%E0%B8%B1%E0%B8%87%E0%B8%9E%E0%B8%B1%E0%B8%92%E0%B8%99%E0%B8%B2%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD+EDRKillShifter+%E0%B8%A1%E0%B8%B5%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%AA%E0%B8%B2%E0%B8%A1%E0%B8%B2%E0%B8%A3%E0%B8%96%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A+EDR+%E0%B8%81%E0%B9%88%E0%B8%AD%E0%B8%99%E0%B8%A2%E0%B8%B4%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%AA%E0%B9%88%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A%E0%B9%84%E0%B8%94%E0%B9%89
A- A+
แชร์หน้าเว็บนี้ :

EDR หรือ Endpoint Detection and Response ซึ่งเป็นเครื่องมือในการต่อต้านภัยไซเบอร์ยุคใหม่ที่เหนือกว่าแอนตี้ไวรัส ป้องกันการบุกรุกของแฮกเกอร์ และมัลแวร์สู่อุปกรณ์ปลายทาง EDR หลายตัวมีประสิทธิภาพในการต่อต้านมัลแวร์ประเภทเรียกค่าไถ่ (Ransomware) อีกด้วย แต่ข่าวนี้อาจทำให้ผู้ใช้งาน EDR หลายรายต้องคิดหนัก

จากรายงานโดยเว็บไซต์ SC Media ได้รายงานถึงการตรวจพบพฤติกรรมการโจมตีด้วยแรนซัมแวร์จากแกงค์แรนซัมแวร์ชื่อดังของโลก RansomwareHub ซึ่งนักวิจัยจาก Sophos บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือความปลอดภัยไซเบอร์ ได้ระบุว่า กลุ่มแรนซัมแวร์ดังกล่าวได้ทำการพัฒนาเครื่องมือเพื่อการปิดระบบ EDR ก่อนแพร่กระจายแรนซัมแวร์สู่ระบบของเหยื่อ ซึ่งเครื่องมือดังกล่าวนั้นมีชื่อว่า "EDRKillShifter"

บทความเกี่ยวกับ Cyber Security อื่นๆ

ซึ่งทางทีมงาน Sophos ได้ตรวจพบหลังจากที่เครื่องมือดังกล่าวพยายามทำการปิดระบบ EDR ของทาง Sophos แต่ล้มเหลวในช่วงต้นเดือนสิงหาคมที่ผ่านมา ซึ่งเป็นการค้นพบภายหลังการโจมตีได้ล่วงไปแล้ว (Post-Mortem Analysis) ซึ่งการค้นพบดังกล่าวนั้น ทางทีมงาน Sophos ได้กล่าวว่าครั้งนี้ไม่ใช่ครั้งแรก แต่เคยมีการตรวจพบเครื่องมือปิดการทำงานของ EDR อีกตัวในชื่อ AuKill ซึ่งได้มีขายในตลาดมืดมาตั้งแต่ช่วงปี ค.ศ. 2022 (พ.ศ. 2565) แล้ว ซึ่งทางทีมงาน Sophos เองนั้นในปัจจุบันก็ยังไม่สามารถระบุได้ว่าใคร หรือ กลุ่มใดที่อยู่เบื้องหลังการพัฒนาเครื่องมือเหล่านี้ แต่ที่ยืนยันได้ชัดเจนคือ กลุ่ม RansomwareHub ได้ใช้เครื่องมือเหล่านี้เพื่อเปิดทางในการแพร่กระจายแรนซัมแวร์ของตน

สำหรับการทำงานของเครื่องมือ "EDRKillShifter" นั้น ทางตัวแทนของ Sophos ได้ระบุว่า เครื่องมือดังกล่าวจัดอยู่ในประเภท Bring Your Own Vulnerable Driver (BYOVD) ซึ่งเป็นการติดตั้งไดร์เวอร์ที่ถูกต้องแต่เป็นไดร์เวอร์ที่เปิดช่องโหว่ให้กับตัวระบบเป้าหมายเพื่อการปิดระบบ EDR ที่ปลายทางด้วยการอาศัยข้อบกพร่องที่แฝงตัวอยู่ในตัวไดร์เวอร์นั้น ซึ่งคล้ายคลึงกับที่ทาง Lazarus Group กลุ่มแฮกเกอร์ชื่อดัง ได้ใช้ช่องโหว่ของไดร์เวอร์ของ Dell ในการโจมตีระบบเป้าหมายในช่วง ค.ศ. 2022 (พ.ศ. 2565) ซึ่งการใช้งานเครื่องมือประเภทนี้นั้น ทาง Sophos ได้ระบุว่า เป็นอันตรายที่สูงมากเนื่องจากระบบที่ EDR ไม่สามารถทำงานได้นั้นจะเปิดช่องให้แฮกเกอร์สามารถปล่อยแรนซัมแวร์หรือมัลแวร์อื่น ๆ ได้โดยที่ไม่สามารถถูกตรวจจับหรือโอกาสถูกตรวจจับน้อยมาก

ผู้เชี่ยวชาญจากองค์กร NSA ยังได้อธิบายเพิ่มเติมถึงกรณีดังกล่าวว่า ระบบ EDR นั้นทำงานอยู่ภายใต้บริบทพิเศษภายใต้ระบบปฏิบัติการ (Operating System หรือ OS) ทำให้ตัว EDR นั้นสามารถเข้าสอดส่องตรวจสอบการทำงาน (Process), ไฟล์, และการทำงานของระบบเครือข่ายเกือบทั้งหมดได้ ทำให้โปรแกรมในระดับทั่วไปไม่สามารถขัดขวางการทำงานของตัว EDR แต่ไดร์เวอร์ซึ่งมีสิทธิ์ในการทำงานของระบบที่สูงกว่ามากนั้น สามารถขัดขวางการทำงานของ EDR ได้ ซึ่งนำมาสู่การใช้ประโยชน์โดยแฮกเกอร์ ที่ใช้ช่องโหว่ของตัวไดร์เวอร์เพื่อการโจมตี แทรกซึม ขัดขวางการทำงานของระบบได้

กลุ่มแรนซัมแวร์ดังพัฒนาเครื่องมือ EDRKillShifter มีความสามารถปิดระบบ EDR ก่อนยิงมัลแวร์ใส่ระบบได้
ภาพจาก : https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/

การค้นพบดังกล่าวได้สร้างความหวาดหวั่นในวงกว้างเนื่องจากในช่วงที่ผ่านมานั้นได้มีข่าวที่ทีม RansomHub ใช้วิธีการดังกล่าวในการโจมตีองค์กรมากมายหลายแห่ง เช่น Change Healthcare, Frontier Communications, และ Christie’s auction house เป็นต้น โดยทางทีม Sophos นั้นไม่ได้ระบุวิธีการป้องกันตัวจากเครื่องมือดังกล่าวที่ชัดเจนนัก ณ เวลานี้ แต่ได้ให้คำแนะนำกว้าง ๆ นั่นคือ ทางทีมความปลอดภัยไซเบอร์หรือทีมไอทีขององค์กร จำเป็นจะต้องมีการตรวจสอบควบคุมการติดตั้งไดร์เวอร์ลงสู่ระบบอย่างเข้มงวด เนื่องจากไดร์เวอร์หลายตัวสามารถเปิดช่องโหว่ให้แฮกเกอร์ใช้โจมตีได้


ที่มา : www.scmagazine.com

0 %E0%B8%81%E0%B8%A5%E0%B8%B8%E0%B9%88%E0%B8%A1%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%94%E0%B8%B1%E0%B8%87%E0%B8%9E%E0%B8%B1%E0%B8%92%E0%B8%99%E0%B8%B2%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD+EDRKillShifter+%E0%B8%A1%E0%B8%B5%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%AA%E0%B8%B2%E0%B8%A1%E0%B8%B2%E0%B8%A3%E0%B8%96%E0%B8%9B%E0%B8%B4%E0%B8%94%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A+EDR+%E0%B8%81%E0%B9%88%E0%B8%AD%E0%B8%99%E0%B8%A2%E0%B8%B4%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%AA%E0%B9%88%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A%E0%B9%84%E0%B8%94%E0%B9%89
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น