ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
เครื่องมือคำนวณวันออนไลน์
หมองูตายเพราะงู ! แฮกเกอร์ใช้ฟีเจอร์ความปลอดภัยบน macOS ส่งมัลแวร์ลง Mac ได้
Sarun_ss777
macOS มักเป็นระบบปฏิบัติการ หรือ OS ที่ได้รับการยอมรับว่า เป็นหนึ่งใน OS ที่มีระบบการป้องกันภัยไซเบอร์ที่แข็งแกร่ง แต่ก็เป็นที่แน่นอนว่า ไม่มีระบบใดที่ไม่สามารถถูกเจาะได้อย่างสมบูรณ์
จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบช่องโหว่บนระบบความปลอดภัยของ macOS จำนวน 3 ตัว ที่แฮกเกอร์สามารถใช้ช่องโหว่เหล่านั้นเพื่อการแทรกซึมมัลแวร์ลงส่งระบบของผู้ใช้งานระบบปฏิบัติการนี้ได้ ซึ่งระบบรักษาความปลอดภัยที่ทางทีมวิจัยได้ทำการตรวจสอบจุดอ่อนในหลากระบบการป้องกันหลัก ๆ ของ macOS ดังนี้
- ชาว macOS ระวัง แฮกเกอร์ใช้เทคนิค ClickFix บนเว็บปลอม หลอกฝังมัลแวร์ขโมยรหัสผ่านลงเครื่อง
- พบร้านปลอมบน TikTok กว่าหมื่นร้าน ถูกใช้เป็นเครื่องมือในการปล่อยมัลแวร์เพื่อขโมยเงินคริปโต
- ผู้ใช้ iPhone และ Android เตรียมได้ใช้ระบบชาร์จไร้สายตัวใหม่ Qi2 25W
- พบแอปพลิเคชันปลอมมากกว่า 250 ตัว แพร่กระจายมัลแวร์บน Android และ iOS
- มัลแวร์ตัวใหม่จากเกาหลีเหนือ มุ่งโจมตีผู้ใช้งาน macOS ผ่านอัปเดต Zoom ปลอม
Keychain
ระบบ Keychain เป็นระบบจัดการรหัสผ่านแบบรวมศูนย์ของ macOS ที่ทาง Apple ได้ทำการพัฒนา และนำระบบนี้เข้ามาใช้ตั้งแต่ปี ค.ศ. 1999 (พ.ศ. 2542) ซึ่งรหัสผ่าน, ใบรับรอง และข้อมูลอ่อนไหวต่าง ๆ ถูกจะถูกเข้ารหัสไว้ด้วยระบบเข้ารหัสแบบ AES-256-GCM โดยไฟล์รหัสผ่านของระบบ Keychain นั้นจะถูกเก็บไว้ในโฟลเดอร์ ~/Library/Keychains/, /Library/Keychains/ และ /Network/Library/Keychains/ ซึ่งไฟล์ทั้งหมดจะถูกป้องกันด้วยรหัสผ่านแม่ (Master Password) และกุญแจใช้งานเฉพาะตัวของแต่ละไฟล์ (Individual Key File) ที่ผู้ที่จะเข้าถึงได้นั้นจะมีเพียงแค่เจ้าของไฟล์ และผู้ดูแลระบบ (Administrator) เท่านั้น
แต่ถึงแม้จะมีระบบการป้องกันที่เรียกได้ว่าค่อนข้างแข็งแกร่ง แต่แฮกเกอร์ก็ยังสามารถใช้เครื่องมือการแฮกอย่าง Chainbreaker เพื่อถอดรหัสไฟล์เก็บรหัสผ่านที่อยู่ในรูปแบบไฟล์นามสกุล .Keychain ได้ ผ่านการใช้คำสั่งอย่างเช่น
bashpython -m chainbreaker -pa test_keychain.keychain -o output
นอกจากนี้ทางทีมวิจัยยังได้เปิดเผยว่า แฮกเกอร์ยังสามารถใช้งาน Security CLI ซึ่งเป็นระบบพื้นฐานตัวหนึ่งของ macOS เพื่อการกระทำดังกล่าว ด้วยการป้อนคำสั่ง
bashsecurity list-keychains
security dump-keychain -a -d
security dump-keychain ~/Library/Keychains/login.keychain-db
ทางทีมวิจัยได้แนะนำว่า ผู้ใช้งานที่ต้องป้องกันตัวเองจากการกระทำดังกล่าว ควรมีการตั้งค่าให้มีการเก็บบันทึกกิจกรรม (Log) ทุกครั้งที่มีการใช้งานคำสั่ง security dump-keychain หรือ security list-keychains รวมทั้งตั้งค่าเครื่องมือรักษาความปลอดภัยปลายทาง (EDR หรือ Endpoint Detection and Response) ให้ตรวจจับการการกระทำดังกล่าวภายใต้หมวด attack.credential-access (T1555.001)
System Integrity Protection (SIP) และ Transparency, Consent, and Control (TCC)
ระบบ System Integrity Protection (SIP) เป็นระบบป้องกันการเข้าถึง และดัดแปลงโฟลเดอร์สำคัญอย่างเช่น /System, /usr (ยกเว้น /usr/local) และ /bin โดยตัวระบบถูกเริ่มต้นใช้งานมาตั้งแต่ macOS รุ่น OS X 10.11 El Capitan ซึ่งการแก้ค่านั้นจะทำได้ก็ต่อเมื่อผ่านการเซ็นจัดการระบบด้วยระบบขั้นตอนการเซ็นแบบเฉพาะของทาง Apple
ทว่า ผู้ดูแลระบบ หรือ Admin นั้นสามารถที่จะปิดระบบดังกล่าวได้ ถ้าใช้งาน macOS บน Recovery Mode ด้วยการใช้คำสั่ง
bashcsrutil disable
csrutil status
แต่เนื่องจากการใช้งานระบบบน Recovery Mode จะไม่ถูกบันทึก Log ตามปกติด้วยเครื่องมือสอดส่องทั่วไป (Standard Monitor) การตรวจสอบจะตรวจได้จาก Log ระบบ (Sydtem Log) หรือผ่านเครื่องมือ EDR ภายใต้หมวด attack.discovery (T1518.001)
และสำหรับฟีเจอร์ Transparency, Consent, and Control (TCC) ซึ่งเป็นฟีเจอร์ป้องกันแอปพลิเคชันไม่ให้สามารถเข้าถึงอุปกรณ์สำคัญบนเครื่องอย่าง กล้อง, ไมโครโฟน, เครื่องมือระบุสถานที่ ได้นั้น จะเป็นการทำงานผ่านทางฐานข้อมูล SQLite databases บนโฟลเดอร์ /Library/Application Support/com.apple.TCC/TCC.db และ บนโฟลเดอร์ส่วนตัวของผู้ใช้งานเอง ซึ่งระบบ TCC นั้นจะเด้งกล่องข้อความ (Pop Up) ขึ้นมาเพื่อขออนุมัติจากเจ้าของเครื่องเสียก่อน แต่ในส่วนนี้แฮกเกอร์สามารถใช้กลเม็ดการหลอกให้คลิ๊กองค์ประกอบที่มองไม่เห็น หรือ Clickjacking เพื่อให้ตัว TCC อนุญาตให้มัลแวร์ได้รับอนุญาตในการเข้าถึงอุปกรณ์สำคัญเหล่านั้นได้
ในการป้องกันนั้นผู้ใช้งานจะต้องตรวจสอบการเขียนที่ผิดปกติบนฐานข้อมูล TCC.db อย่างสม่ำเสมอ รวมไปถึงตรวจสอบว่า มีการให้สิทธิ์ในการเข้าถึงที่ผิดปกติหรือไม่ ? อย่างสม่ำเสมอ
Gatekeeper และ File Quarantine
File Quarantine จะเป็นระบบกักกันไฟล์ต้องสงสัยไว้ต่างหากเพื่อไม่ให้สามารถทำอันตรายต่อระบบได้ โดยตัวระบบจะมีการเขียน Attribution ของไฟล์ที่ถูกดาวน์โหลดมาด้วย com.apple.quarantine เพื่อทำการกักกันไฟล์ดังกล่าว ซึ่งถ้าผู้ใช้งานจะพยายามรันไฟล์ที่ถูกกักกัน ผู้ใช้งานจะได้รับการแจ้งเตือนจากระบบดังกล่าว แต่ระบบการกักกันไฟล์นั้น แฮกเกอร์สามารถที่จะเล็ดลอดผ่าน (Bypass) ได้เพียงดำเนินการให้เกิดการดาวน์โหลดไฟล์ผ่านทาง curl/wget หรืออาจทำการลบ Attribution การกักกันไฟล์ด้วยการใช้คำสั่ง
Bash xattr -d com.apple.quarantine malware.bin
ในการป้องกันการถูกโจมตีดังกล่าวนั้น ผู้ใช้งานต้องตั้งค่าการตรวจจับเพื่อแจ้งเตือนการกระทำดังกล่าวในหมวด attack.defense-evasion (T1553.001) ให้ตรวจจับเมื่อมีการใช้งานคำสั่งดังกล่าว
สำหรับส่วนของ Gatekeeper นั้นจะเป็นการบังคับให้มีการตรวจสอบลายเซ็นรับรองตัวแอปพลิเคชันด้วยการใช้งาน spctl ดังนี้
bashspctl -a -t exec -vvvv /path/to/app
spctl --master-disable
ซึ่งการกระทำดังกล่าวนั้นจะส่งผลให้แอปพลิเคชันที่ไม่ได้รับการรับรอง หรือมีการยืนยันตัวที่ไม่ถูกต้องถูกบล็อกไม่ให้มีการรันบนระบบอย่างอัตโนมัติ แต่ทีมวิจัยพบว่า ระบบป้องกันดังกล่าวกลับสามารถถูกฝ่าได้โดยง่ายด้วยการคลิ๊กขวาบนไฟล์แล้วกด Open ซึ่งผู้ใช้งานระบบอาจถูกแฮกเกอร์หลอกให้กระทำการดังกล่าวได้ด้วยวิธีวิศวกรรมทางสังคม (Social Engineering)
ในการป้องกันนั้น เจ้าของระบบสามารถตั้งค่าตรวจจับบนเครื่องมือ EDR ให้มีการตรวจจับเมื่อมีการพยายามปิดใช้งาน Gatekeeper ได้ภายใต้หมวด attack.defense-evasion (T1562.001)
ที่มา : cyberpress.org
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.