หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยพัฒนา AI ให้สามารถตอบคำถาม Text Captcha ได้

ทีมนักวิจัยจากมหาวิทยาลัย Lancaster มหาวิทยาลัย Northwest จากสหราชอาณาจักรฯ และมหาวิทยาลัยปักกิ่งได้ร่วมกันพัฒนา AI ที่สามารถตอบคำถาม Text-based Captcha ได้โดยแม้จะใช้เครื่องคอมพิวเตอร์เดสก์ท็อปก็กินเวลาเพียง 0.05 วินาทีเท่านั้น

Google+ ประกาศปิดตัวเร็วขึ้น 4 เดือน หลังพบบั๊กใหม่ที่เข้าถึงข้อมูลผู้ใช้ 52.5 ล้านรายได้

Google+ ได้ประกาศเลื่อนวันปิดตัวเร็วขึ้นจากเดิม 4 เดือน มาเป็นเดือนเมษายน 2019 แทน หลังพบบั๊กใหม่ในระบบของตนที่ทำให้ข้อมูลส่วนตัวของผู้ใช้งานกว่า 52.5 ล้านรายถูกเข้าถึงได้โดยไม่ได้รับอนุญาต