หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบบัญชีนิรนามบน Twitter ในเอเชียตะวันออกเพิ่มสูงขึ้น

Maya Gilliss-Chapman นักลงทุนด้านเทคโนโลยีสัญชาติกัมพูชาที่ปัจจุบันทำงานใน Silicon Valley ได้สังเกตุเห็นถึงจำนวนการขอติดตามบัญชี Twitter ของตนว่าเพิ่มขึ้นสูงเป็นอย่างมากตั้งแต่ต้นเดือนนี้ ซึ่งหลายฝ่ายได้ตั้งข้อสมมติฐานว่าอาจจะเป็นความพยายามเพื่อปลุกปั่นกระแส Social Media บางอย่างที่คล้ายกับเหตุการณ์ที่เกิดขึ้นในสหรัฐอเมริกา โดยกลุ่มประเทศที่มีแนวโน้มการเพิ่มจำนวนในภูมิภาคนี้ เช่น ไทย …

เปิดตัว ForeScout CounterACT 8 รองรับการทำ Network Access Control สำหรับ IoT, Cloud ได้ในตัว

ForeScout ผู้นำด้านเทคโนโลยีระบบ Network Access Control (NAC) สำหรับองค์กร ได้ออกมาประกาศเปิดตัว ForeScout CounterACT 8 รุ่นล่าสุด ที่ได้เพิ่มความสามารถในการติดตามและบริหารจัดการอุปกรณ์ Internet of …