Breaking News

หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก