SUSE by Ingram

นักวิจัยเผยวิธีการที่ Hacker ใช้โจมตี Sony ได้โดยไร้ร่องรอย

หลังจากที่ Sony Pictures Entertainment ได้ถูกโจมตีและขโมยข้อมูลออกมาหลาย Terabytes และเผยแพร่ทางอินเตอร์เน็ตโดยเหมือนจะมีวัตถุประสงค์ทางการเมืองและกลายเป็นหนึ่งในข่าวการโจมตีที่รุนแรงที่สุดในปีนี้นั้น เหล่าผู้เชี่ยวชาญทางด้านความปลอดภัยก็ได้เข้าทำการตรวจสอบต้นตอของเหตุการณ์กันมาอย่างต่อเนื่อง และมีข้อมูลใหม่ๆ เปิดเผยมาโดยตลอด ยกเว้นวิธีการในการโจมตีที่สามารถหลบเลี่ยงการตรวจจับได้นั้นที่ยังคงเป็นปริศนาดำมืดมาโดยตลอด เพราะการโจมตีลักษณะนี้ให้ประสบความสำเร็จได้นั้นจะต้องใช้เวลานานเป็นอย่างมาก ทั้งในการค้นหาและในการโอนข้อมูลปริมาณมหาศาลออกมาจากระบบเครือข่าย แต่ในวันนี้นักวิจัยจาก Damballa ก็ได้ตรวจพบข้อมูลน่าสนใจที่น่าจะเป็นต้นตอของการโจมตีครั้งนี้แล้ว

Credit: ShutterStock.com
Credit: ShutterStock.com

ตรวจพบ Malware ตระกูล Destover ที่ถูกปรับปรุงให้ติดตามได้ยากขึ้น

ที่ผ่านมาการตรวจสอบชี้ว่า Malware ตระกูล Destover ที่มุ่งเน้นการลบไฟล์ข้อมูลต่างๆ ออกจากเครื่องที่ติดไปนั้นน่าจะเป็นหนึ่งในช่องทางที่ถูกใช้เพื่อลบหลักฐานการกระทำต่างๆ ที่เกิดขึ้น แต่สิ่งที่น่าสงสัยก็คือในระหว่างที่มีการโจมตีนั้น ผู้โจมตีหลบเลี่ยงการตรวจจับต่างๆ ไปได้อย่างไร ซึ่งทางนักวิจัยจาก Damballa ก็ได้พบเครื่องมือที่เชื่อว่าจะถูกใช้ร่วมกับ Destover เพื่อหลบเลี่ยงการตรวจจับทั้งหมดนี้ได้แก่ setMFT และ afset นั่นเอง

การทำงานของ setMFT คือการทำ Timestomping ที่ทำการเปลี่ยนแปลง Timestamp ของไฟล์หนึ่งๆ ให้เหมือนกับอีกไฟล์นั่นเอง โดยเมื่อใช้ร่วมกับการเปลี่ยนแปลงชื่อไฟล์แล้วก็ทำให้สามารถซ่อนไฟล์ต่างๆ ให้อยู่ใน Directory ต่างๆ ได้ และไม่สามารถตรวจพบได้โดยง่ายจากการตรวจสอบเวลาที่ใช้ในการสร้างหรือเปลี่ยนแปลงไฟล์ และหลบเลี่ยง Index ในการตรวจสอบ Malicious File ของระบบตรวจจับความปลอดภัยต่างๆ ได้

ในขณะที่ afset นั้นก็มีหน้าที่ในการทำ Timestomping เช่นเดียวกัน แต่จะเพิ่มความสามารถในการลบ Windows Log ที่เกี่ยวข้องออกไป พร้อมการเปลี่ยนแปลง PE Build Time และ Checksum ของไฟล์

ทั้งนี้จากการตรวจสอบของทาง Damballa ที่ตรวจพบความผิดปกติในความสัมพันธ์ระหว่างการสร้างไฟล์และ Log ที่เกิดขึ้น ก็ทำให้เชื่อได้ว่า setMFT และ afset นั้นมีบทบาทหลักๆ ในการหลบซ่อนตัวตนและเครื่องมือต่างๆ ที่ใช้ในการโจมตีของผู้โจมตีหลังจากที่มีการเจาะระบบเข้าไปสำเร็จแล้ว และพยายามจะโจมตีต่อ หรือเรียกว่าขั้นตอนการทำ Foothold นั่นเอง โดยเมื่อการโจมตีประสบผลสำเร็จแล้ว ผู้โจมตีก็ใช้ทั้ง Destover/Shamoon, afset และ setMFT เพื่อกำจัดและกลบเกลื่อนหลักฐานต่างๆ ให้ตรวจสอบย้อนหลังได้ยากขึ้นนั่นเอง

 

ที่มา: https://www.damballa.com/damballa-discovers-new-toolset-linked-to-destover-attackers-arsenal-helps-them-to-broaden-attack-surface/ 

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เปิดบริการ Cyber Insurance สำหรับลูกค้า Google Cloud ประกันลดความเสียหายจาก Cyberattack

Google ได้ประกาศเปิดตัวบริการ Cyber Insurance ประกันลดความเสียหายในกรณีที่ถูกโจมตีที่ออกแบบมาเป็นพิเศษสำหรับผู้ใช้งาน Google Cloud โดยเฉพาะ

[Guest Post] Alibaba Cloud Thailand เชิญชวนทุกท่านมาร่วมเพิ่มพูนความรู้ด้านดิจิทัล เจาะลึกถึงเทคโนโลยีในการทำงานที่เกี่ยวข้องกับ Alibaba Cloud Cloud Native (22 มีนาคม 2564)

Alibaba Cloud Thailand ขอเชิญชวนทุกท่านมาร่วมเพิ่มพูนความรู้ด้านดิจิทัล เจาะลึกถึงเทคโนโลยีในการทำงานที่เกี่ยวข้องกับ Alibaba Cloud Cloud Native เพื่อพัฒนาทักษะที่สามารถนำไปใช้งานได้จริง รวมถึงทำความเข้าใจเกี่ยวกับผลิตภัณฑ์และการใช้งานโซลูชันให้ได้มากที่สุด