ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

ตรวจพบมัลแวร์สายพันธุ์ใหม่ ใช้เทคนิคสุดซับซ้อน หลบการตรวจจับจากแอนตี้ไวรัสอย่างพลิ้ว

ตรวจพบมัลแวร์สายพันธุ์ใหม่ ใช้เทคนิคสุดซับซ้อน หลบการตรวจจับจากแอนตี้ไวรัสอย่างพลิ้ว
ภาพจาก : https://www.deviantart.com/dreams-n-nightmares/art/ZERO-STAGE-III-Wallpaper-Beta-307255707
เมื่อ :
|  ผู้เข้าชม : 1,094
เขียนโดย :
0 %E0%B8%95%E0%B8%A3%E0%B8%A7%E0%B8%88%E0%B8%9E%E0%B8%9A%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%AA%E0%B8%B2%E0%B8%A2%E0%B8%9E%E0%B8%B1%E0%B8%99%E0%B8%98%E0%B8%B8%E0%B9%8C%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84%E0%B8%AA%E0%B8%B8%E0%B8%94%E0%B8%8B%E0%B8%B1%E0%B8%9A%E0%B8%8B%E0%B9%89%E0%B8%AD%E0%B8%99+%E0%B8%AB%E0%B8%A5%E0%B8%9A%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%A3%E0%B8%A7%E0%B8%88%E0%B8%88%E0%B8%B1%E0%B8%9A%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%99%E0%B8%95%E0%B8%B5%E0%B9%89%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA%E0%B8%AD%E0%B8%A2%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B8%9E%E0%B8%A5%E0%B8%B4%E0%B9%89%E0%B8%A7
A- A+
แชร์หน้าเว็บนี้ :

เทคนิค Obfuscation หรือ อธิบายอย่างง่าย ๆ นั่นคือการใช้โค้ดแปลกปลอมเพื่อการตีรวนระบบนั้น นับว่าเป็นเทคนิคที่ใช้กันอยู่ทั่วไปในมัลแวร์ต่าง ๆ ซึ่งจะซับซ้อนมากน้อยขึ้นอยู่กับฝีมือของผู้พัฒนา แต่สำหรับข่าวนี้กลับเป็นการใช้เทคนิคที่ผู้เชี่ยวชาญระบุว่า น่าตกใจอย่างมาก

จากรายงานโดยเว็บไซต์ The Hacker News ทางทีมวิจัยด้านความปลอดภัยไซเบอร์จากสถาบันเทคโนโลยี SANS ได้มีการตรวจพบรูปแบบการใช้โค้ดเพื่อตีรวนระบบ (Obfuscation) ของมัลแวร์ที่มีชื่อไฟล์ว่า “crypted.bat” โดยทางทีมวิจัยได้ระบุว่า การตีรวนของมัลแวร์ดังกล่าวนั้นสามารถหลบเลี่ยงการตรวจจับของเครื่องมือแอนตี้ไวรัสชื่อดังจำนวนมากในตลาดได้ ไม่เว้นแต่ VirusTotal ซึ่งเป็นเครื่องมือที่มีชื่อเสียงว่า มีความสามารถในการตรวจจับที่มากที่สุดตัวหนึ่ง โดยรายละเอียดทางเทคนิคของมัลแวร์ที่ยังไม่ถูกระบุชื่อดังกล่าวนั้น สามารถระบุตัวตนได้ด้วยการตรวจสอบ Hash ในรูปแบบ SHA256 โดยมีผลออกมาคือ

บทความเกี่ยวกับ Malware อื่นๆ

453c017e02e6ce747d605081ad78bf210b3d0004a056d1f65dd1f21c9bf13a9a

ไฟล์ดังกล่าวนั้นมีการใช้โค้ดในรูปแบบ UTF-16 เป็นด่านแรกสุดในการทำการตีรวนการตรวจจับของแอนตี้ไวรัส ซึ่งทีมวิจัยว่าโค้ดชุดดังกล่าวนั้นมีความซับซ้อนมาก จนยากแก่การทำวิศวกรรมย้อนกลับ (Reverse Engineering) เพื่อตรวจสอบรูปแบบการทำงานที่แท้จริง

ตรวจพบมัลแวร์สายพันธุ์ใหม่ ใช้เทคนิคสุดซับซ้อน หลบการตรวจจับจากแอนตี้ไวรัสอย่างพลิ้ว
ภาพจาก : https://cybersecuritynews.com/obfuscation-techniques-to-evade-anti-virus-detection/

ไม่เพียงเท่านั้น แฮกเกอร์ยังไม่ได้หยุดด้วยการโค้ดการตีรวนระบบเพียงรูปแบบเดียว แต่ยังมีการนำเอาหลากหลายเทคนิคเข้ามาใช้งาน ไม่ว่าจะเป็นการใช้ "Empty Environment Variables" (ตัวแปรสภาพแวดล้อมที่ไม่มีค่าใด ๆ หรือมีค่าเป็นสตริงว่าง ("")) สอดไส้ไว้ในสคริปท์ของ Batch File เมื่อถูกนำผ่านกระบวนการ (Process) ของระบบปฏิบัติการ Windows แล้ว ตัวระบบของ Windows ก็จะปล่อยผ่านโค้ดชุดดังกล่าวไปโดยที่ไม่ได้รับรู้ถึงจุดประสงค์ที่แท้จริงของมัลแวร์ที่ซ่อนอยู่ภายในโค้ดที่ชวนสับสนชุดดังกล่าว นอกจากนั้นแล้วตัวสคริปท์ยังสามารถสร้างป้าย (Labels) ในรูปแบบที่ผันแปรได้ตามการทำงาน (Dynamic) ทำให้ยากแก่การวิเคราะห์การทำงานโดยทีมวิจัยอีกด้วย

สำหรับการทำงานของมัลแวร์ตัวดังกล่าวนั้น หลังจากที่มันถูกรันขึ้นบนเครื่องของเหยื่อแล้ว มัลแวร์จะทำการวางสภาพแวดล้อมที่คงที่ (Static Environment) ของ Python ลงในระบบพร้อมทั้งตั้งเวลาการทำงานของตัวมัลแวร์เอาไว้ เพื่อให้มัลแวร์สามารถรันตัวเองขึ้นมาได้ทุกครั้งที่มีการเปิดการใช้งานระบบขึ้นมาใหม่ หลังจากนั้นจึงทำการดาวน์โหลดมัลแวร์ตัวจริง (Payload) มาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งจากรายงานนั้นตัวโค้ดที่ดาวน์โหลดมาจากเซิร์ฟเวอร์ก็ถูกป้องกันด้วยเทคนิคโค้ดสำหรับการตีรวนไว้อย่างหนาแน่นเช่นเดียวกัน ซึ่งโค้ดชุดดังกล่าวก็ถูกเขียนขึ้นด้วยภาษา Python เช่นเดียวกับตัวมัลแวร์ชุดแรก

นอกจากนั้นแล้วยังมีการตรวจพบว่า ตัวมัลแวร์ยังมีการใช้งานฟีเจอร์ API Calls เพื่อใช้การโจมตีแบบยิงโค้ดแบบคลาสสิค เพื่อสอดแทรก Process แบบสุ่มที่มีความคล้ายคลึงกับ Process แบบปกติของตัว Windows เช่น  “notepad.exe” หรือ  “svchost.exe” อีกด้วย ซึ่งโค้ดต่าง ๆ ของมัลแวร์นั้นจะถูกยิงผ่าน Process แปลกปลอมเหล่านี้ทำให้มัลแวร์สามารถแฝงตัวว่าเป็นซอฟต์แวร์ที่ใช้งานกันตามปกติ เพื่อแฝงตัวหลบเลี่ยงการตรวจจับอยู่บนระบบ Windows ของเหยื่อ

ถ้าการตีรวน และซ่อนตัวในระบบตามที่อธิบายไปนั้นยังคงแน่นหนาไม่พอ ระบบการติดต่อสื่อสารระหว่างตัวมัลแวร์กับเซิร์ฟเวอร์ควบคุม (C2) ซึ่งทางทีมวิจัยพบว่าตั้งอยู่ที่หมายเลข IP ที่ 15.235.176.64:7000 ยังถูกเข้ารหัสด้วยเทคโนโลยี AES (Advanced Encryption Standard) ด้วยกุญแจถอดรหัสที่ถูกสร้างขึ้นเพื่อการนี้โดยเฉพาะ ทำให้ยากต่อทีมวิจัยและหน่วยรักษาความปลอดภัยที่จะเข้าไปแทรกแซงเพื่อถอดรหัสหรือดักฟังข้อมูลการสื่อสารระหว่างมัลแวร์และเซิร์ฟเวอร์อีกด้วย


ที่มา : cybersecuritynews.com

0 %E0%B8%95%E0%B8%A3%E0%B8%A7%E0%B8%88%E0%B8%9E%E0%B8%9A%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%AA%E0%B8%B2%E0%B8%A2%E0%B8%9E%E0%B8%B1%E0%B8%99%E0%B8%98%E0%B8%B8%E0%B9%8C%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84%E0%B8%AA%E0%B8%B8%E0%B8%94%E0%B8%8B%E0%B8%B1%E0%B8%9A%E0%B8%8B%E0%B9%89%E0%B8%AD%E0%B8%99+%E0%B8%AB%E0%B8%A5%E0%B8%9A%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%A3%E0%B8%A7%E0%B8%88%E0%B8%88%E0%B8%B1%E0%B8%9A%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%99%E0%B8%95%E0%B8%B5%E0%B9%89%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA%E0%B8%AD%E0%B8%A2%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B8%9E%E0%B8%A5%E0%B8%B4%E0%B9%89%E0%B8%A7
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น