Breaking News

หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …

สนามบิน Bristol ถูก Ransomware โจมตี ทำจอแสดงข้อมูลการบินดับ

สนามบิน Bristol สหราชอาณาจักร ออกมาเปิดเผยถึงเหตุการณ์หน้าจอแสดงข้อมูลเที่ยวบินดับเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีสาเหตุมาจากการถูก Ransomware โจมตี