หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

GitHub ประกาศรองรับการตรวจช่องโหว่ในโค้ดภาษา Python แล้ว

GitHub ได้ออกมาประกาศรองรับการตรวจสอบช่องโหว่ที่ปรากฏบนโค้ดภาษา Python เรียบร้อยแล้ว