พบโทรจัน Bookworm พุ่งเป้าโจมตีประเทศไทย

palo_alto_logo

Palo Alto ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก ค้นพบโทรจันตัวใหม่ที่เกิดขึ้นครั้งแรกในประเทศไทย ซึ่งสามารถแอบขโมยข้อความที่พิมพ์ผ่านคีย์บอร์ดและข้อมูลที่คัดลอกไว้บนคลิปบอร์ดได้ Palo Alto เรียกโทรจันนี้ว่า หนอนหนังสือ (Bookworm) โดยมีเป้าหมายโจมตีหลัก คือ หน่วยงานในประเทศไทย โดยเฉพาะหน่วยงานรัฐบาล

ทำความรู้จักกับ Bookworm

Bookworm ถูกค้นพบเป็นครั้งแรกในระบบเครือข่ายของหน่วยงานรัฐบาล ประทศไทย ซึ่งเป็นโทรจันที่มีลักษณะคล้ายกับ PlugX RAT มัลแวร์ชื่อกระฉ่อนสัญชาติจีนที่ให้การโจมตีแบบ Advanced Persistent Threat (APT) แต่มีโครงสร้างสถาปัตยกรรมที่ต่างกัน คือ เป็นแบบแยกส่วนเป็นองค์ประกอบย่อยๆ แล้วนำมาประกอบกันเป็นมัลแวร์ (Modular Architecture) ซึ่ง Bookworm ถูกออกแบบมาเพื่อตรวจจับข้อความที่ผู้ใช้พิมพ์ลงบนคีย์บอร์ด และขโมยข้อมูลที่คัดลอกไว้บนคลิปบอร์ด นอกจากนี้ Bookworm ยังสามารถโหลดโมดูลเพิ่มเติมจาก C&C Server เพื่อเพิ่มความสามารถในการโจมตีระบบอีกด้วย

ผลการตรวจตรวจสอบ Indicators of Compromise (IoC) ของ Palo Alto พบว่า โทรจันดังกล่าวเริ่มปรากฎโฉมอย่างน้อยก็ตั้งแต่เดือนสิงหาคมที่ผ่านมา

สรุปการทำงานของ Bookworm

แฮ็คเกอร์เริ่มต้นโดยใช้โปรแกรม Smart Installer Maker ในการสร้างไฟล์ Installer ที่แฝงมัลแวร์ขึ้นมา ไฟล์ดังกล่าวจะอยู่ในรูปของไฟล์ Self-Extracting RAR, ไฟล์ Flash Slideshow หรือ Installer เป็นต้น ไฟล์เหล่านี้ เมื่อถูกดับเบิ้ลคลิ๊กเปิดออกมา จะทำการสร้างไฟล์ EXE, ไฟล์ DDL ที่ชื่อว่า “Loader.dll” และไฟล์ “readme.txt” บนเครื่องของเหยื่อทันที ไฟล์เหล่านี้นับว่าเป็นไฟล์ที่โปรแกรมสร้างขึ้นอย่างถูกต้องตามกฏ จึงสามารถรันบนเครื่องของเหยื่อได้โดยไม่ถูกตรวจจับ

palo_alto_bookworm_1

ไฟล์ EXE ที่ถูกสร้างขึ้น เป็นส่วนหนึ่งของแอนตี้ไวรัส Kaspersky (ushata.exe) หรือ Microsoft Security Essentials (MsMpEng.exe) ไฟล์ EXE พวกนี้จะถูกใช้เพื่อโหลดไฟล์ Loader.dll มาติดตั้งลงบนเครื่องของเหยื่อ หลังจากนั้น Loader.dll จะถอดรหัสข้อมูลไฟล์ “readme.txt” เพื่อรัน Shellcode ซึ่งจะถอดรหัสไฟล์ readme.txt ส่วนที่เหลือทั้งหมดออกมาเป็นโทรจัน Bookworm ซึ่งประกอบด้วยไฟล์ DDL หลายๆโมดูล โดยโมดูลหลักที่ทำหน้าที่สั่งการ คือ Leader.dll และโมดูลอื่นๆจะเสมือนเป็น API ให้ Leader.dll เรียกใช้งานได้ โมดูลเหล่านี้จะไม่ถูกเขียนลงดิสก์ แต่จะทำงานอยู่บนเมโมรี่แทนทั้งหมด

palo_alto_bookworm_2

ผลกระทบจาก Bookworm

โมดูลของ Bookworm จะให้บริการ API แก่โมดูลหลัก (Leader.dll) ซึ่งแต่ละโมดูลจะทำหน้าที่แตกต่างกันไป เช่น เข้ารหัสและถอดรหัสข้อมูล รวมทั้งเชื่อมต่อและรับส่งข้อมูลกับ C&C Server หนึ่งในโมดูลสำคัญ คือ KBLogger.dll ซึ่งทำหน้าที่บันทึกข้อมูลการพิมพ์ (Key Logging) ของผู้ใช้และข้อมูลที่คัดลอกอยู่ในคลิปบอร์ดเมื่อมีการกด Ctrl+C หรือ Ctrl+X แล้วเซฟส่งออกกลับไปให้แฮ็คเกอร์

นอกจากนี้ Bookworm ยังมีความสามารถในการดาวน์โหลดโมดูลอื่นๆจาก C&C Server มาติดตั้งบนเครื่องของเหยื่อเพื่อเพิ่มความสามารถของตนเองได้อีกด้วย อย่างไรก็ตาม Palo Alto ยังไม่พบว่ามีโมดูลใดๆถูกดาวน์โหลดมาติดตั้งจนถึงตอนนี้

ป้องกันโดยใช้ระบบ WildFire Threat Intelligence

Palo Alto ตรวจจับและระบุโทรจัน Bookworm ได้เป็นครั้งแรกในประเทศไทยผ่านทาง WildFire Threat Intelligence ระบบป้องกัน Advanced Persistent Threat บนคลาวด์ ซึ่งผู้ที่ใช้งาน Next-generation Firewall ของ Palo Alto อยู่ในขณะนี้สามารถดาวน์โหลด Signature เพื่อป้องกัน Bookworm ได้ทันที

“แฮ็คเกอร์ที่พัฒนา Bookworm นับว่ามีฝีมือฉกาจที่สามารถสร้างมัลแวร์แบบแยกส่วนเป็นองค์ประกอบย่อยๆแล้วนำมาเชื่อมต่อกันเป็นมัลแวร์โดยสมบูรณ์ได้ ถือว่าเป็นวิธีที่มีความยืดหยุ่นสูงและสามารถรันโมดูลอื่นๆโดยตรงจาก C&C Server ได้ ไม่เพียงแค่ Bookworm จะมีศักยภาพสูงเท่านั้น ยังต้องให้การวิเคราะห์ชั้นสูงในการตรวจจับโครงสร้างแบบแยกส่วนองค์ประกอบเหล่านี้อีกด้วย เราเชื่อว่าแฮ็คเกอร์จะต้องพัฒนา Bookworm ให้มีประสิทธิภาพมากกว่านี้ และใช้มันโจมตีเป้าหมายรายอื่นในอนาคตอันใกล้อย่างแน่นอน” — ทีมวิจัยจาก Palo Alto ให้ความเห็น

รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2015/11/bookworm-trojan-a-model-of-modular-architecture/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AMD EPYC™ 3rd Gen สายการผลิตใหม่ “Milan-X” ขุมกำลังทรงประสิทธิภาพและมั่นคงปลอดภัยสำหรับ Data Center

เมื่อเทคโนโลยีต่าง ๆ ในโลกนั้นมีพัฒนาการเติบโตอย่างต่อเนื่อง หนึ่งในสิ่งที่อยู่เบื้องหลังของเทคโนโลยีเหล่านั้นก็คือหน่วยประมวลผล (Processor) อันทรงประสิทธิภาพ เพื่อที่จะทำให้เกิดประสบการณ์การใช้งานที่ไหลลื่น ซึ่ง AMD คือหนึ่งในผู้นำของอุตสาหกรรมนี้ที่ล่าสุดเพิ่งเปิดตัว “Frontier” เครื่อง Supercomputer ความเร็วระดับ 1 …

Bill Gates เผยแพร่ Resume อายุกว่า 48 ปี ผ่านบน LinkedIn

Bill Gates ใช้พื้นที่บน LinkedIn ในการโพสต์ประวัติย่อด้วยวัย 48 ปีของเขาพร้อมคำบรรยายใต้ภาพว่า “ไม่ว่าคุณจะเป็นผู้สำเร็จการศึกษาล่าสุดหรือออกจากมหาวิทยาลัย ฉันมั่นใจว่าประวัติย่อของคุณจะดูดีกว่าของฉันเมื่อ 48 ปีก่อนมาก”