ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
เพชรตัดเพชร ! แฮกเกอร์ใช้ Windows Defender ฝ่าการตรวจจับจาก EDR ลอบเข้าระบบ!
Sarun_ss777
แฮกเกอร์ และระบบการตรวจจับนั้นเรียกได้ว่าเป็นแมวกับหนู โดยระบบตรวจจับก็ต้องพยายามตรวจจับภัยให้ได้ ขณะที่แฮกเกอร์ต้องใช้ทุกความพยายามในการหลบเลี่ยง แต่จะเป็นอย่างไร ? ถ้าแฮกเกอร์ทำการย้อนศรเสียเอง?
จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบเทคนิคในการหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยอุปกรณ์ปลายทาง หรือ EDR (Endpoint Detection and Response) ด้วยการใช้ประโยชน์จากเครื่องมือรักษาความปลอดภัยที่มากับตัว Windows เอง อย่าง Windows Defender ซึ่งการโจมตีดังกล่าวนั้นจะเน้นไปที่กลุ่มผู้ใช้งานในระดับองค์กรเป็นหลัก
- ไมโครซอฟท์อ้าง! ฟีเจอร์ Auto HDR คือสาเหตุที่ทำให้เกมส์ค้างระหว่างเล่นบน Windows 11 24H2
- คอมพิวเตอร์ที่ติดตั้งซอฟท์แวร์ปรับปรุงเสียงจาก Dirac จะอัปเดตขึ้นเป็น Windows 11 24H2 ไม่ได้ จากปัญหาระบบเสียง
- พบมัลแวร์ใช้ประโยชน์จาก Windows UI Automation เลี่ยงการถูกตรวจจับโดย EDR
- พบช่องโหว่ความปลอดภัยใหม่บน Windows Remote Desktop ที่ให้แฮกเกอร์ทำ RCE ได้
- ระวัง ! แอปประชุมทางไกลปลอม พร้อมเข้าขโมยรหัสผ่าน และปล่อยมัลแวร์ใส่เครื่อง
โดยเทคนิคดังกล่าวนั้นจะเป็นการใช้ประโยชน์จาก Windows Defender Application Control (WDAC) ซึ่งเป็นระบบที่ใช้ในการบล็อกแอปพลิเคชันรวมถึงโค้ดที่เป็นอันตรายผ่านทาง Windows Defender โดยระบบดังกล่าวนั้นเริ่มมีให้ใช้งานบน Windows 10 และ Windows Server 2016 เป็นต้นมา ซึ่งการใช้งานช่องโหว่ในส่วนของ WDAC นั้นจะเป็นไปตามขั้นตอนดังนี้
เปลี่ยนแปลงนโยบาย (Policy Placement)
แฮกเกอร์จะทำการเปลี่ยนแปลงนโยบาย (Policy) ที่อยู่บนเครื่องมือดังกล่าวเพื่อทำการปิดเครื่องมือรักษาความปลอดภัยอย่าง EDR และอนุญาตให้มีการรันเครื่องมือของแฮกเกอร์เองได้ ผ่านทางการเปลี่ยนแปลงการตั้งค่านโยบายที่อยู่บนโฟลเดอร์ C:WindowsSystem32CodeIntegrity บนเครื่องเป้าหมาย
ทำการรีบูท
เนื่องจากนโยบายของ WDAC จะทำงานหลังจากที่รีบูทเท่านั้น ดังนั้น แฮกเกอร์จะทำการสั่งรีบูทเครื่องเป้าหมายเพื่อให้เข้าเงื่อนไขการที่เครื่องมือรักษาความปลอดภัยที่แฮกเกอร์ใส่ลงไปในรายชื่อ จะถูกบล็อกโดยตัว WDAC
ภาพจาก : https://cybersecuritynews.com/attack-weaponizes-windows-defender/
เครื่องมือ EDR ถูกบล็อกโดยสมบูรณ์
หลังจากที่แฮกเกอร์ทำการรีบูทเครื่องเรียบร้อยแล้ว ตัวนโยบายของ WDAC จะทำงานโดยสมบูรณ์ ทำให้เครื่องมือ EDR และเครื่องมือรักษาความปลอดภัยอื่น ๆ ที่แฮกเกอร์กำหนดไว้ในส่วนของนโยบายถูกบล็อกโดย WDAC ทั้งหมด ทำให้แฮกเกอร์สามารถรันเครื่องมือของตนเองได้ตามที่ต้องการ
ภาพจาก : https://cybersecuritynews.com/attack-weaponizes-windows-defender/
แต่การที่แฮกเกอร์จะสามารถเข้าปรับแต่งดังกล่าวได้นั้น แฮกเกอร์จะต้องมีสิทธิ์ในการปรับแต่งในระดับผู้ดูแล (Administrator) รวมไปถึงจะต้องมีสิทธิ์ในการเข้าปรับแต่งโฟลเดอร์ CodeIntegrity อีกด้วย และเนื่องจากการโจมตีดังกล่าวนั้นมุ่งเน้นไปที่กลุ่มผู้ใช้งานระดับองค์กร ดังนั้น ทางแหล่งข่าวจึงได้มีการแนะนำให้ทำการป้องกันการเข้าถึงโฟลเดอร์ดังกล่าวบนเครื่องต่าง ๆ ที่อยู่ในองค์กร รวมไปถึงแนะนำให้องค์กรดำเนินนโยบายความปลอดภัยไซเบอร์ในรูปแบบของการให้สิทธิ์การเข้าถึงที่น้อยที่สุด (Least Privillege) สำหรับผู้ใช้งานแต่ละราย เป็นต้น
ที่มา : cybersecuritynews.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.