ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

พบแฮกเกอร์ใช้เครื่องมือใหม่ HeartCrypt ปกป้องมัลแวร์จากแอนตี้ไวรัส

พบแฮกเกอร์ใช้เครื่องมือใหม่ HeartCrypt ปกป้องมัลแวร์จากแอนตี้ไวรัส

เมื่อ :
|  ผู้เข้าชม : 860
เขียนโดย :
0 %E0%B8%9E%E0%B8%9A%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88+HeartCrypt+%E0%B8%9B%E0%B8%81%E0%B8%9B%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%99%E0%B8%95%E0%B8%B5%E0%B9%89%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA
A- A+
แชร์หน้าเว็บนี้ :

สงครามระหว่างแอนตี้ไวรัส และมัลแวร์เรียกได้ว่าเป็นเหมือนแมวจับหนู ขณะที่แอนตี้ไวรัสพยายามที่จะตรวจจับ และทำลายมัลแวร์ให้ได้มากที่สุดนั้นเอง ตัวมัลแวร์ก็พยายามที่จะเลี่ยงการตรวจจับทุกวิถีทางเช่นเดียวกัน

จากรายงานข่าวโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบเครื่องมือสำหรับช่วยป้องกันมัลแวร์จากการถูกตรวจจับโดยแอนตี้ไวรัส ซึ่งเครื่องมือดังกล่าวนั้นเป็นเครื่องมือสำหรับการบรรจุมัลแวร์ลงสู่แพ็คเกจในการส่งเข้าสู่ระบบเป้าหมาย (Packer) โดยเครื่องมือตัวดังกล่าวนั้นได้ถูกวางขายอยู่ในตลาดมืดสำหรับแฮกเกอร์ในรูปแบบ Packer-as-a-Service (PaaS) ซึ่งเครื่องมือตัวนี้มีรายงานว่าถูกพัฒนาขึ้นมาตั้งแต่ในช่วงปี ค.ศ. 2023 (พ.ศ. 2566) และได้ถูกวางจำหน่ายในช่วงเดือนกุมภาพันธ์ที่ผ่านมาในปีนี้ โดยจากรายงานยังพบอีกว่า เครื่องมือตัวนี้ได้ถูกนำไปใช้ในการพรางตัวไฟล์มัลแวร์ลงสู่ระบบ (Payload) มากกว่า 2,000 ไฟล์ ครอบคลุมมัลแวร์ถึง 45 ชนิด โดยมัลแวร์ตระกูลที่พบการใช้งานมากที่สุดคือ LummaStealer, Remcos, และ Rhadamanthys ซึ่งทางผู้พัฒนานั้นได้คิดค่าใช้จ่ายในการใช้งานเครื่องมือนี้เพียง 20 ดอลลาร์สหรัฐต่อ 1 ไฟล์ (ประมาณ 700 บาท)

บทความเกี่ยวกับ Malware อื่นๆ

สำหรับการทำงานของเครื่องมือ HeartCrypt ตัวนี้นั้น มีความสามารถในการช่วยบรรจุโค้ดมัลแวร์ลงสู่ไฟล์สำหรับการรัน (Execution) โดยไฟล์นั้นอาจมาจากซอฟต์แวร์ธรรมดาที่ดูไม่มีพิษมีภัย โดยการจัดการบรรจุโค้ดลงไปในรูปแบบดังกล่าวนั้นเป็นไปเพื่อการตีรวนระบบการตรวจจับของเครื่องเหยื่อเพื่อไม่ให้ตรวจจับมัลแวร์ตัวดังกล่าวได้ (Obfuscation) โดยรายละเอียดการทำงานจะเป็นดังนี้

จัดการในส่วนไฟล์สำหรับรันมัลแวร์ (Payload Execution)

ในส่วนไฟล์ปล่อยมัลแวร์ไฟล์สุดท้าย (Final Payload) เครื่องมือจะช่วยในการเข้ารหัสตัวไฟล์ด้วยเทคนิคแบบ XOR ซึ่งตัวไฟล์นั้นจะถูกถอดรหัส และรันเมื่อเข้าถึงตัวระบบปลายทาง

การสร้างส่วนของ Stub ขึ้นมาภายในโค้ดของไฟล์ (Stub Creation)

ตัวเครื่องมือจะสามารถแทรกโค้ดในรูปแบบ Position-Independent Code ลงไปในส่วน .text ของตัวไฟล์ ทำให้ตัวโค้ดในภาพรวมสามารถรันได้โดยไม่ต้องกำหนดตำแหน่งของหน่วยความจำใด ๆ 

การเข้ายึดครองส่วน Control Flow ของตัวไฟล์ (Control Flow Hijacking)

เครื่องมือจะช่วยให้มัลแวร์เข้ายึดครองส่วน Control Flow (ส่วนควบคุมพฤติกรรมของโปรแกรม) ของตัวไฟล์ที่ถูกนำมาใช้เป็นแพ็คเกจ โดยจะเปลี่ยนส่วนของการรันจากโค้ดปกติของตัวไฟล์ไปยังโค้ดมัลแวร์ที่อยู่ในรูปแบบ PIC แทน

การเพิ่มเติมทรัพยากรสำหรับมัลแวร์ลงไปในตัวแพ็คเกจของไฟล์ (Resource Addition)

เป็นฟีเจอร์ที่ช่วยให้แฮกเกอร์สามารถบรรจุทรัพยากร (Resources) เพิ่มเติมลงไปในตัวไฟล์ Payload ได้ โดยตัวไฟล์มักจะเป็นไฟล์ .BMP ซึ่งตามปกตินั้นคือไฟล์รูปภาพ แต่ในที่นี้ในไฟล์ดังกล่าวจะถูกแทรกโค้ดอันตราย (Malicious Code) ลงไปแทน

การช่วยเหลือการทำงานของมัลแวร์ด้วยเทคนิคการตีรวนระบบรักษาความปลอดภัยบนเครื่องเป้าหมาย (Obfuscation Techniques)

นอกจากนั้นแล้วยังมีระบบที่ช่วยให้แฮกเกอร์สามารถบรรจุสิ่งที่ไม่จำเป็นลงไปในตัวไฟล์ โดยสิ่งที่เพิ่มลงไปนั้นไม่ได้มีเพื่อจุดประสงค์อื่นใดนอกจากตีรวนระบบป้องกัน โดยสามารถสอดแทรกลงไปแบบเคลือบตัวไฟล์ไว้หลายชั้นได้ อย่างเช่น Stack Strings, Dynamic API Resolution, และ Arithmetic Operations เป็นต้น

ระบบต่อต้านการถูกวิเคราะห์โดยผู้เชี่ยวชาญ (Anti-Analysis Techniques)

นอกจากนั้นแล้วเครื่องมือ HeartCrypt ยังมีความสามารถในการช่วยเหลือมัลแวร์ให้เล็ดลอดจากการถูกวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ด้วยระบบ Anti-Sandbox และ Anti-Emulator ที่จะช่วยตรวจจับว่ามัลแวร์กำลังจะถูกรันขึ้นบนระบบจำลองอยู่หรือไม่อีกด้วย ทำให้การทำงานของนักวิเคราะห์ และผู้เชี่ยวชาญต้องลำบากล่าช้ามากขึ้นไปอีก โดยการตรวจสอบนั้น ตัวเครื่องมือจะทำการดึงไฟล์ DLL ที่ไม่มีอยู่จริงขึ้นมาเพื่อทดสอบว่ากำลังถูกรันอยู่บนระบบ Sandbox หรือไม่ ตามมาด้วยใช้ระบบคำนวณเพื่อตรวจสอบว่ากำลังรันอยู่บน Emulator หรือไม่ จบลงด้วยการใช้ไฟล์ DLL จำลอง (Virtual DLL) เพื่อหลบเลี่ยงการทำงานของ Windows Defender Emulator


ที่มา : cybersecuritynews.com

0 %E0%B8%9E%E0%B8%9A%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88+HeartCrypt+%E0%B8%9B%E0%B8%81%E0%B8%9B%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B8%88%E0%B8%B2%E0%B8%81%E0%B9%81%E0%B8%AD%E0%B8%99%E0%B8%95%E0%B8%B5%E0%B9%89%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น