นักวิจัยเผยวิธีการที่ Hacker ใช้โจมตี Sony ได้โดยไร้ร่องรอย

หลังจากที่ Sony Pictures Entertainment ได้ถูกโจมตีและขโมยข้อมูลออกมาหลาย Terabytes และเผยแพร่ทางอินเตอร์เน็ตโดยเหมือนจะมีวัตถุประสงค์ทางการเมืองและกลายเป็นหนึ่งในข่าวการโจมตีที่รุนแรงที่สุดในปีนี้นั้น เหล่าผู้เชี่ยวชาญทางด้านความปลอดภัยก็ได้เข้าทำการตรวจสอบต้นตอของเหตุการณ์กันมาอย่างต่อเนื่อง และมีข้อมูลใหม่ๆ เปิดเผยมาโดยตลอด ยกเว้นวิธีการในการโจมตีที่สามารถหลบเลี่ยงการตรวจจับได้นั้นที่ยังคงเป็นปริศนาดำมืดมาโดยตลอด เพราะการโจมตีลักษณะนี้ให้ประสบความสำเร็จได้นั้นจะต้องใช้เวลานานเป็นอย่างมาก ทั้งในการค้นหาและในการโอนข้อมูลปริมาณมหาศาลออกมาจากระบบเครือข่าย แต่ในวันนี้นักวิจัยจาก Damballa ก็ได้ตรวจพบข้อมูลน่าสนใจที่น่าจะเป็นต้นตอของการโจมตีครั้งนี้แล้ว

Credit: ShutterStock.com
Credit: ShutterStock.com

ตรวจพบ Malware ตระกูล Destover ที่ถูกปรับปรุงให้ติดตามได้ยากขึ้น

ที่ผ่านมาการตรวจสอบชี้ว่า Malware ตระกูล Destover ที่มุ่งเน้นการลบไฟล์ข้อมูลต่างๆ ออกจากเครื่องที่ติดไปนั้นน่าจะเป็นหนึ่งในช่องทางที่ถูกใช้เพื่อลบหลักฐานการกระทำต่างๆ ที่เกิดขึ้น แต่สิ่งที่น่าสงสัยก็คือในระหว่างที่มีการโจมตีนั้น ผู้โจมตีหลบเลี่ยงการตรวจจับต่างๆ ไปได้อย่างไร ซึ่งทางนักวิจัยจาก Damballa ก็ได้พบเครื่องมือที่เชื่อว่าจะถูกใช้ร่วมกับ Destover เพื่อหลบเลี่ยงการตรวจจับทั้งหมดนี้ได้แก่ setMFT และ afset นั่นเอง

การทำงานของ setMFT คือการทำ Timestomping ที่ทำการเปลี่ยนแปลง Timestamp ของไฟล์หนึ่งๆ ให้เหมือนกับอีกไฟล์นั่นเอง โดยเมื่อใช้ร่วมกับการเปลี่ยนแปลงชื่อไฟล์แล้วก็ทำให้สามารถซ่อนไฟล์ต่างๆ ให้อยู่ใน Directory ต่างๆ ได้ และไม่สามารถตรวจพบได้โดยง่ายจากการตรวจสอบเวลาที่ใช้ในการสร้างหรือเปลี่ยนแปลงไฟล์ และหลบเลี่ยง Index ในการตรวจสอบ Malicious File ของระบบตรวจจับความปลอดภัยต่างๆ ได้

ในขณะที่ afset นั้นก็มีหน้าที่ในการทำ Timestomping เช่นเดียวกัน แต่จะเพิ่มความสามารถในการลบ Windows Log ที่เกี่ยวข้องออกไป พร้อมการเปลี่ยนแปลง PE Build Time และ Checksum ของไฟล์

ทั้งนี้จากการตรวจสอบของทาง Damballa ที่ตรวจพบความผิดปกติในความสัมพันธ์ระหว่างการสร้างไฟล์และ Log ที่เกิดขึ้น ก็ทำให้เชื่อได้ว่า setMFT และ afset นั้นมีบทบาทหลักๆ ในการหลบซ่อนตัวตนและเครื่องมือต่างๆ ที่ใช้ในการโจมตีของผู้โจมตีหลังจากที่มีการเจาะระบบเข้าไปสำเร็จแล้ว และพยายามจะโจมตีต่อ หรือเรียกว่าขั้นตอนการทำ Foothold นั่นเอง โดยเมื่อการโจมตีประสบผลสำเร็จแล้ว ผู้โจมตีก็ใช้ทั้ง Destover/Shamoon, afset และ setMFT เพื่อกำจัดและกลบเกลื่อนหลักฐานต่างๆ ให้ตรวจสอบย้อนหลังได้ยากขึ้นนั่นเอง

 

ที่มา: https://www.damballa.com/damballa-discovers-new-toolset-linked-to-destover-attackers-arsenal-helps-them-to-broaden-attack-surface/ 

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ข้อมูลลับองค์กรธุรกิจตกอยู่ในความเสี่ยง: แคสเปอร์สกี้รายงานการโจมตีด้วยสปายแวร์เพิ่มขึ้น 18% ในเอเชียตะวันออกเฉียงใต้ [PR]

การโจมตีด้วยสปายแวร์ที่เพิ่มขึ้นทำให้องค์กรธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ตกอยู่ในความเสี่ยงมากขึ้น ตามรายงานของแคสเปอร์สกี้ บริษัทด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัลระดับโลก

เปิดตัว Datadog Code Security MCP ตรวจความปลอดภัยของ Code ที่ AI สร้างได้แบบ Real-Time

Datadog ได้ออกมาประกาศเปิดตัวเครื่องมือใหม่ Datadog Code Security MCP สำหรับใช้ตรวจสอบความปลอดภัยของโค้ดที่ AI เขียนขึ้นมาได้ทันทีโดยไม่ต้องรอ Pull Request หรือ CI Pipeline อีกต่อไป

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand