พบโทรจัน Bookworm พุ่งเป้าโจมตีประเทศไทย

palo_alto_logo

Palo Alto ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก ค้นพบโทรจันตัวใหม่ที่เกิดขึ้นครั้งแรกในประเทศไทย ซึ่งสามารถแอบขโมยข้อความที่พิมพ์ผ่านคีย์บอร์ดและข้อมูลที่คัดลอกไว้บนคลิปบอร์ดได้ Palo Alto เรียกโทรจันนี้ว่า หนอนหนังสือ (Bookworm) โดยมีเป้าหมายโจมตีหลัก คือ หน่วยงานในประเทศไทย โดยเฉพาะหน่วยงานรัฐบาล

ทำความรู้จักกับ Bookworm

Bookworm ถูกค้นพบเป็นครั้งแรกในระบบเครือข่ายของหน่วยงานรัฐบาล ประทศไทย ซึ่งเป็นโทรจันที่มีลักษณะคล้ายกับ PlugX RAT มัลแวร์ชื่อกระฉ่อนสัญชาติจีนที่ให้การโจมตีแบบ Advanced Persistent Threat (APT) แต่มีโครงสร้างสถาปัตยกรรมที่ต่างกัน คือ เป็นแบบแยกส่วนเป็นองค์ประกอบย่อยๆ แล้วนำมาประกอบกันเป็นมัลแวร์ (Modular Architecture) ซึ่ง Bookworm ถูกออกแบบมาเพื่อตรวจจับข้อความที่ผู้ใช้พิมพ์ลงบนคีย์บอร์ด และขโมยข้อมูลที่คัดลอกไว้บนคลิปบอร์ด นอกจากนี้ Bookworm ยังสามารถโหลดโมดูลเพิ่มเติมจาก C&C Server เพื่อเพิ่มความสามารถในการโจมตีระบบอีกด้วย

ผลการตรวจตรวจสอบ Indicators of Compromise (IoC) ของ Palo Alto พบว่า โทรจันดังกล่าวเริ่มปรากฎโฉมอย่างน้อยก็ตั้งแต่เดือนสิงหาคมที่ผ่านมา

สรุปการทำงานของ Bookworm

แฮ็คเกอร์เริ่มต้นโดยใช้โปรแกรม Smart Installer Maker ในการสร้างไฟล์ Installer ที่แฝงมัลแวร์ขึ้นมา ไฟล์ดังกล่าวจะอยู่ในรูปของไฟล์ Self-Extracting RAR, ไฟล์ Flash Slideshow หรือ Installer เป็นต้น ไฟล์เหล่านี้ เมื่อถูกดับเบิ้ลคลิ๊กเปิดออกมา จะทำการสร้างไฟล์ EXE, ไฟล์ DDL ที่ชื่อว่า “Loader.dll” และไฟล์ “readme.txt” บนเครื่องของเหยื่อทันที ไฟล์เหล่านี้นับว่าเป็นไฟล์ที่โปรแกรมสร้างขึ้นอย่างถูกต้องตามกฏ จึงสามารถรันบนเครื่องของเหยื่อได้โดยไม่ถูกตรวจจับ

palo_alto_bookworm_1

ไฟล์ EXE ที่ถูกสร้างขึ้น เป็นส่วนหนึ่งของแอนตี้ไวรัส Kaspersky (ushata.exe) หรือ Microsoft Security Essentials (MsMpEng.exe) ไฟล์ EXE พวกนี้จะถูกใช้เพื่อโหลดไฟล์ Loader.dll มาติดตั้งลงบนเครื่องของเหยื่อ หลังจากนั้น Loader.dll จะถอดรหัสข้อมูลไฟล์ “readme.txt” เพื่อรัน Shellcode ซึ่งจะถอดรหัสไฟล์ readme.txt ส่วนที่เหลือทั้งหมดออกมาเป็นโทรจัน Bookworm ซึ่งประกอบด้วยไฟล์ DDL หลายๆโมดูล โดยโมดูลหลักที่ทำหน้าที่สั่งการ คือ Leader.dll และโมดูลอื่นๆจะเสมือนเป็น API ให้ Leader.dll เรียกใช้งานได้ โมดูลเหล่านี้จะไม่ถูกเขียนลงดิสก์ แต่จะทำงานอยู่บนเมโมรี่แทนทั้งหมด

palo_alto_bookworm_2

ผลกระทบจาก Bookworm

โมดูลของ Bookworm จะให้บริการ API แก่โมดูลหลัก (Leader.dll) ซึ่งแต่ละโมดูลจะทำหน้าที่แตกต่างกันไป เช่น เข้ารหัสและถอดรหัสข้อมูล รวมทั้งเชื่อมต่อและรับส่งข้อมูลกับ C&C Server หนึ่งในโมดูลสำคัญ คือ KBLogger.dll ซึ่งทำหน้าที่บันทึกข้อมูลการพิมพ์ (Key Logging) ของผู้ใช้และข้อมูลที่คัดลอกอยู่ในคลิปบอร์ดเมื่อมีการกด Ctrl+C หรือ Ctrl+X แล้วเซฟส่งออกกลับไปให้แฮ็คเกอร์

นอกจากนี้ Bookworm ยังมีความสามารถในการดาวน์โหลดโมดูลอื่นๆจาก C&C Server มาติดตั้งบนเครื่องของเหยื่อเพื่อเพิ่มความสามารถของตนเองได้อีกด้วย อย่างไรก็ตาม Palo Alto ยังไม่พบว่ามีโมดูลใดๆถูกดาวน์โหลดมาติดตั้งจนถึงตอนนี้

ป้องกันโดยใช้ระบบ WildFire Threat Intelligence

Palo Alto ตรวจจับและระบุโทรจัน Bookworm ได้เป็นครั้งแรกในประเทศไทยผ่านทาง WildFire Threat Intelligence ระบบป้องกัน Advanced Persistent Threat บนคลาวด์ ซึ่งผู้ที่ใช้งาน Next-generation Firewall ของ Palo Alto อยู่ในขณะนี้สามารถดาวน์โหลด Signature เพื่อป้องกัน Bookworm ได้ทันที

“แฮ็คเกอร์ที่พัฒนา Bookworm นับว่ามีฝีมือฉกาจที่สามารถสร้างมัลแวร์แบบแยกส่วนเป็นองค์ประกอบย่อยๆแล้วนำมาเชื่อมต่อกันเป็นมัลแวร์โดยสมบูรณ์ได้ ถือว่าเป็นวิธีที่มีความยืดหยุ่นสูงและสามารถรันโมดูลอื่นๆโดยตรงจาก C&C Server ได้ ไม่เพียงแค่ Bookworm จะมีศักยภาพสูงเท่านั้น ยังต้องให้การวิเคราะห์ชั้นสูงในการตรวจจับโครงสร้างแบบแยกส่วนองค์ประกอบเหล่านี้อีกด้วย เราเชื่อว่าแฮ็คเกอร์จะต้องพัฒนา Bookworm ให้มีประสิทธิภาพมากกว่านี้ และใช้มันโจมตีเป้าหมายรายอื่นในอนาคตอันใกล้อย่างแน่นอน” — ทีมวิจัยจาก Palo Alto ให้ความเห็น

รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2015/11/bookworm-trojan-a-model-of-modular-architecture/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เชื่อมต่อ ERP ในธุรกิจของคุณอย่างครบวงจร ด้วย Infor LN และ ระบบ Barcode System

Infor ผู้พัฒนาซอฟต์แวร์ ERP LN – ได้รวบรวม Business Solutions เพื่อเชื่อมต่อสายการผลิตและธุรกิจอย่างครบวงจร ตอบโจทย์อุตสาหกรรม ที่ต้องการ New Technology ควบคู่ไปกับการเพิ่มผลผลิต ลดต้นทุน …

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์