แฮกเกอร์จะใช้งานไฟล์ Disk Image ปลอมในการนำไปสู่การยิงสคริปท์โหลดมัลแวร์แบบ Fileless ลงหน่วยความจำโดยตรงการโจมตีแบบ Fileless หรือ การโจมตีแบบไร้ไฟล์ คือ การโหลดมัลแวร์ลงไปในหน่วยความจำโดยตรง (In-Memory) ทำให้เครื่องมือตรวจจับมัลแวร์ส่วนใหญ่ไม่สามารถตรวจจับได้นั้น ได้กลายมาเป็นที่นิยมมากขึ้นในปัจจุบัน ทำให้โลกไซเบอร์นั้นเรียกได้ว่ามีอันตรายมากกว่าที่เคยเป็น และนี่ก็เป็นอีกแคมเปญหนึ่งที่ควรระวังอย่างยิ่งเนื่องจากได้มีการนำเอาวิธีการดังกล่าวเข้ามาใช้งานจากรายงานโดยเว็บไซต์ Siliconangle ได้กล่าวถึงการที่ทางทีมวิจัยจากบริษัท Securonix Inc. ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ได้ตรวจพบแคมเปญ Dead#Vax ซึ่งเป็นแคมเปญการปล่อยมัลแวร์ที่มีการประสานกลยุทธ์หลายอย่างเข้าด้วยกันไม่ว่าจะเป็น การใช้วิธีการหลอกลวงแบบการทำวิศวกรรมทางสังคม (Social Engineering), การใช้ไฟล์ Disc Image ในเชิงลบ และการโหลดไฟล์มัลแวร์ (Payload) ลงบนหน่วยความจำโดยตรง ซึ่งทั้งหมดนี้จะนำพาไปสู่การปล่อย Payload ตัวสุดท้ายเป็นมัลแวร์สำหรับการเข้าควบคุมระบบจากระยะไกล (RAT หรือ Remote Access Trojan) ที่มีชื่อว่า AsyncRAT ลงบนเครื่องของเหยื่อซึ่งแคมเปญการโจมตีจะเริ่มต้นจากการส่งอีเมลหลอกลวงเหยื่อแบบ Phishing ที่มีการหลอกลวงเหยื่อให้ไว้วางใจกดลิงก์ที่แฮกเกอร์ส่งมาให้ ซึ่งลิงก์ดังกล่าวนั้นจะนำไปสู่การดาวน์โหลดไฟล์จำลองฮาร์ดดิสก์ (Virtual Hard Disk) ที่ถูกโฮสต์ไว้บนระบบของ InterPlanetary File System (IPFS) โดยการใช้ไฟล์ในรูปแบบดังกล่าวนั้นจะช่วยให้ไฟล์มัลแวร์สามารถเล็ดลอดระบบการกลั่นกรองอีเมล (Email Gateway) ไปได้อย่างง่ายดาย ซึ่งหลังจากที่เหยื่อได้ดาวน์โหลด และทำการเชื่อมต่อไฟล์จำลองดังกล่าวกับระบบ (Mount) ตัวไฟล์ Image ดังกล่าวก็จะมีสภาพเหมือนกับไดร์ฟบนเครื่อง (Local Drive) ทำให้สามารถเล็ดลอดระบบป้องกันแบบ Mark-of-the-Web (MOTW หรือฟีเจอร์ป้องกันไฟล์ที่ดาวน์โหลดมาจากแหล่งที่ไม่น่าเชื่อถือ)หลังจากที่เหยื่อได้ทำการเปิดไดร์ฟจำลองดังกล่าวขึ้นมา ก็จะนำไปสู่ห่วงโซ่ของการฝังตัวของมัลแวร์ (Infection Chain) ที่ทุกขั้นตอนนั้นมีการออกแบบไว้อย่างดีเพื่อให้ดูไม่มีพิษมีภัย และตรวจจับได้ยาก ในขณะที่สคริปท์ต่าง ๆ ที่อยู่ภายในพยายามที่จะประกอบโค้ดขึ้นเป็น Payload (Reconstruction) ทีละตัวขึ้นมาอย่างเงียบ ๆ โดยเริ่มต้นจากสคริปท์ของ Windows ในรูปแบบไฟล์ Batch (.Bat) ที่มีการใช้ตรรกะการประมวลผลด้วยตนเอง (Self-Parsing Logic) ด้วยการอ่านไฟล์ที่เกี่ยวข้องเพื่อถอดรหัส (Decryption) ออกมาด้วยตนเอง ในขณะที่สคริปท์ PowerShell ใช้การตีรวนระบบแบบหลายชั้น (Multi-Layers Obfuscation) เพื่อก่อกวนระบบตรวจจับ ด้วยวิธีการต่าง ๆ เช่น การใช้โค้ดแบบ Unicode สร้างมลพิษ (Unicode Pollution), การเข้ารหัสแบบ Base64, การสลับตัวอักษร (Character Shifting) เพื่อซ่อนค่าสตริงที่สำคัญเป็นต้นและในขั้นตอนท้ายสุด ตัวมัลแวร์นกต่อ (Loader) ก็จะใช้เครื่องมือที่อยู่บน Windows (Native Windows Application) เช่น OpenProcess, VirtualAllocEx, และ CreateRemoteThread เพื่อทำการยิง (Inject) Shellcode ที่ถูกเข้ารหัสแบบ x64 เข้าไปยัง Process ที่มีความน่าเชื่อถือ เช่น OneDrive.exe หรือ RuntimeBroker.exe ซึ่งถือว่าเป็นการยิงโค้ดลงบนหน่วยความจำโดยตรงโดยไม่ทิ้งร่องรอยไว้บนฮาร์ดดิสก์ทำให้สามารถถูกตรวจจับได้ยาก หลังจากนั้นโค้ดดังกล่าวก็จะถูกถอดรหัสออกมาเป็นมัลแวร์ AsyncRAT ในท้ายที่สุดสำหรับมัลแวร์ AsyncRAT นั้น เป็นมัลแวร์ที่มีความสามารถที่หลากหลาย ไม่ว่าจะเป็นการขโมยรหัสผ่านต่าง ๆ, ความสามารถในการสอดแนมเครื่องของเหยื่อ, ความสามารถในการลักลอบขโมยข้อมูล (Data Exfiltration) และการปล่อยมัลแวร์ตัวอื่น ๆ ลงมาบนเครื่องของเหยื่อ➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
ผู้เชี่ยวชาญเตือนผู้ใช้ Windows ให้ระวังแคมเปญ Dead#Vax โจมตีระบบด้วยมัลแวร์แบบ Fileless
by
Tags: