สงครามระหว่างแอนตี้ไวรัส และมัลแวร์เรียกได้ว่าเป็นเหมือนแมวจับหนู ขณะที่แอนตี้ไวรัสพยายามที่จะตรวจจับ และทำลายมัลแวร์ให้ได้มากที่สุดนั้นเอง ตัวมัลแวร์ก็พยายามที่จะเลี่ยงการตรวจจับทุกวิถีทางเช่นเดียวกัน
จากรายงานข่าวโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบเครื่องมือสำหรับช่วยป้องกันมัลแวร์จากการถูกตรวจจับโดยแอนตี้ไวรัส ซึ่งเครื่องมือดังกล่าวนั้นเป็นเครื่องมือสำหรับการบรรจุมัลแวร์ลงสู่แพ็คเกจในการส่งเข้าสู่ระบบเป้าหมาย (Packer) โดยเครื่องมือตัวดังกล่าวนั้นได้ถูกวางขายอยู่ในตลาดมืดสำหรับแฮกเกอร์ในรูปแบบ Packer-as-a-Service (PaaS) ซึ่งเครื่องมือตัวนี้มีรายงานว่าถูกพัฒนาขึ้นมาตั้งแต่ในช่วงปี ค.ศ. 2023 (พ.ศ. 2566) และได้ถูกวางจำหน่ายในช่วงเดือนกุมภาพันธ์ที่ผ่านมาในปีนี้ โดยจากรายงานยังพบอีกว่า เครื่องมือตัวนี้ได้ถูกนำไปใช้ในการพรางตัวไฟล์มัลแวร์ลงสู่ระบบ (Payload) มากกว่า 2,000 ไฟล์ ครอบคลุมมัลแวร์ถึง 45 ชนิด โดยมัลแวร์ตระกูลที่พบการใช้งานมากที่สุดคือ LummaStealer, Remcos, และ Rhadamanthys ซึ่งทางผู้พัฒนานั้นได้คิดค่าใช้จ่ายในการใช้งานเครื่องมือนี้เพียง 20 ดอลลาร์สหรัฐต่อ 1 ไฟล์ (ประมาณ 700 บาท)
สำหรับการทำงานของเครื่องมือ HeartCrypt ตัวนี้นั้น มีความสามารถในการช่วยบรรจุโค้ดมัลแวร์ลงสู่ไฟล์สำหรับการรัน (Execution) โดยไฟล์นั้นอาจมาจากซอฟต์แวร์ธรรมดาที่ดูไม่มีพิษมีภัย โดยการจัดการบรรจุโค้ดลงไปในรูปแบบดังกล่าวนั้นเป็นไปเพื่อการตีรวนระบบการตรวจจับของเครื่องเหยื่อเพื่อไม่ให้ตรวจจับมัลแวร์ตัวดังกล่าวได้ (Obfuscation) โดยรายละเอียดการทำงานจะเป็นดังนี้
ในส่วนไฟล์ปล่อยมัลแวร์ไฟล์สุดท้าย (Final Payload) เครื่องมือจะช่วยในการเข้ารหัสตัวไฟล์ด้วยเทคนิคแบบ XOR ซึ่งตัวไฟล์นั้นจะถูกถอดรหัส และรันเมื่อเข้าถึงตัวระบบปลายทาง
ตัวเครื่องมือจะสามารถแทรกโค้ดในรูปแบบ Position-Independent Code ลงไปในส่วน .text ของตัวไฟล์ ทำให้ตัวโค้ดในภาพรวมสามารถรันได้โดยไม่ต้องกำหนดตำแหน่งของหน่วยความจำใด ๆ
เครื่องมือจะช่วยให้มัลแวร์เข้ายึดครองส่วน Control Flow (ส่วนควบคุมพฤติกรรมของโปรแกรม) ของตัวไฟล์ที่ถูกนำมาใช้เป็นแพ็คเกจ โดยจะเปลี่ยนส่วนของการรันจากโค้ดปกติของตัวไฟล์ไปยังโค้ดมัลแวร์ที่อยู่ในรูปแบบ PIC แทน
เป็นฟีเจอร์ที่ช่วยให้แฮกเกอร์สามารถบรรจุทรัพยากร (Resources) เพิ่มเติมลงไปในตัวไฟล์ Payload ได้ โดยตัวไฟล์มักจะเป็นไฟล์ .BMP ซึ่งตามปกตินั้นคือไฟล์รูปภาพ แต่ในที่นี้ในไฟล์ดังกล่าวจะถูกแทรกโค้ดอันตราย (Malicious Code) ลงไปแทน
นอกจากนั้นแล้วยังมีระบบที่ช่วยให้แฮกเกอร์สามารถบรรจุสิ่งที่ไม่จำเป็นลงไปในตัวไฟล์ โดยสิ่งที่เพิ่มลงไปนั้นไม่ได้มีเพื่อจุดประสงค์อื่นใดนอกจากตีรวนระบบป้องกัน โดยสามารถสอดแทรกลงไปแบบเคลือบตัวไฟล์ไว้หลายชั้นได้ อย่างเช่น Stack Strings, Dynamic API Resolution, และ Arithmetic Operations เป็นต้น
นอกจากนั้นแล้วเครื่องมือ HeartCrypt ยังมีความสามารถในการช่วยเหลือมัลแวร์ให้เล็ดลอดจากการถูกวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ด้วยระบบ Anti-Sandbox และ Anti-Emulator ที่จะช่วยตรวจจับว่ามัลแวร์กำลังจะถูกรันขึ้นบนระบบจำลองอยู่หรือไม่อีกด้วย ทำให้การทำงานของนักวิเคราะห์ และผู้เชี่ยวชาญต้องลำบากล่าช้ามากขึ้นไปอีก โดยการตรวจสอบนั้น ตัวเครื่องมือจะทำการดึงไฟล์ DLL ที่ไม่มีอยู่จริงขึ้นมาเพื่อทดสอบว่ากำลังถูกรันอยู่บนระบบ Sandbox หรือไม่ ตามมาด้วยใช้ระบบคำนวณเพื่อตรวจสอบว่ากำลังรันอยู่บน Emulator หรือไม่ จบลงด้วยการใช้ไฟล์ DLL จำลอง (Virtual DLL) เพื่อหลบเลี่ยงการทำงานของ Windows Defender Emulator
|