นักวิจัยเผยวิธีการที่ Hacker ใช้โจมตี Sony ได้โดยไร้ร่องรอย

หลังจากที่ Sony Pictures Entertainment ได้ถูกโจมตีและขโมยข้อมูลออกมาหลาย Terabytes และเผยแพร่ทางอินเตอร์เน็ตโดยเหมือนจะมีวัตถุประสงค์ทางการเมืองและกลายเป็นหนึ่งในข่าวการโจมตีที่รุนแรงที่สุดในปีนี้นั้น เหล่าผู้เชี่ยวชาญทางด้านความปลอดภัยก็ได้เข้าทำการตรวจสอบต้นตอของเหตุการณ์กันมาอย่างต่อเนื่อง และมีข้อมูลใหม่ๆ เปิดเผยมาโดยตลอด ยกเว้นวิธีการในการโจมตีที่สามารถหลบเลี่ยงการตรวจจับได้นั้นที่ยังคงเป็นปริศนาดำมืดมาโดยตลอด เพราะการโจมตีลักษณะนี้ให้ประสบความสำเร็จได้นั้นจะต้องใช้เวลานานเป็นอย่างมาก ทั้งในการค้นหาและในการโอนข้อมูลปริมาณมหาศาลออกมาจากระบบเครือข่าย แต่ในวันนี้นักวิจัยจาก Damballa ก็ได้ตรวจพบข้อมูลน่าสนใจที่น่าจะเป็นต้นตอของการโจมตีครั้งนี้แล้ว

ตรวจพบ Malware ตระกูล Destover ที่ถูกปรับปรุงให้ติดตามได้ยากขึ้น

ที่ผ่านมาการตรวจสอบชี้ว่า Malware ตระกูล Destover ที่มุ่งเน้นการลบไฟล์ข้อมูลต่างๆ ออกจากเครื่องที่ติดไปนั้นน่าจะเป็นหนึ่งในช่องทางที่ถูกใช้เพื่อลบหลักฐานการกระทำต่างๆ ที่เกิดขึ้น แต่สิ่งที่น่าสงสัยก็คือในระหว่างที่มีการโจมตีนั้น ผู้โจมตีหลบเลี่ยงการตรวจจับต่างๆ ไปได้อย่างไร ซึ่งทางนักวิจัยจาก Damballa ก็ได้พบเครื่องมือที่เชื่อว่าจะถูกใช้ร่วมกับ Destover เพื่อหลบเลี่ยงการตรวจจับทั้งหมดนี้ได้แก่ setMFT และ afset นั่นเอง

การทำงานของ setMFT คือการทำ Timestomping ที่ทำการเปลี่ยนแปลง Timestamp ของไฟล์หนึ่งๆ ให้เหมือนกับอีกไฟล์นั่นเอง โดยเมื่อใช้ร่วมกับการเปลี่ยนแปลงชื่อไฟล์แล้วก็ทำให้สามารถซ่อนไฟล์ต่างๆ ให้อยู่ใน Directory ต่างๆ ได้ และไม่สามารถตรวจพบได้โดยง่ายจากการตรวจสอบเวลาที่ใช้ในการสร้างหรือเปลี่ยนแปลงไฟล์ และหลบเลี่ยง Index ในการตรวจสอบ Malicious File ของระบบตรวจจับความปลอดภัยต่างๆ ได้

ในขณะที่ afset นั้นก็มีหน้าที่ในการทำ Timestomping เช่นเดียวกัน แต่จะเพิ่มความสามารถในการลบ Windows Log ที่เกี่ยวข้องออกไป พร้อมการเปลี่ยนแปลง PE Build Time และ Checksum ของไฟล์

ทั้งนี้จากการตรวจสอบของทาง Damballa ที่ตรวจพบความผิดปกติในความสัมพันธ์ระหว่างการสร้างไฟล์และ Log ที่เกิดขึ้น ก็ทำให้เชื่อได้ว่า setMFT และ afset นั้นมีบทบาทหลักๆ ในการหลบซ่อนตัวตนและเครื่องมือต่างๆ ที่ใช้ในการโจมตีของผู้โจมตีหลังจากที่มีการเจาะระบบเข้าไปสำเร็จแล้ว และพยายามจะโจมตีต่อ หรือเรียกว่าขั้นตอนการทำ Foothold นั่นเอง โดยเมื่อการโจมตีประสบผลสำเร็จแล้ว ผู้โจมตีก็ใช้ทั้ง Destover/Shamoon, afset และ setMFT เพื่อกำจัดและกลบเกลื่อนหลักฐานต่างๆ ให้ตรวจสอบย้อนหลังได้ยากขึ้นนั่นเอง

 

ที่มา: https://www.damballa.com/damballa-discovers-new-toolset-linked-to-destover-attackers-arsenal-helps-them-to-broaden-attack-surface/