พบเวิร์ม SMB ตัวใหม่ ใช้เครื่องมือแฮ็คจาก NSA ถึง 7 รายการ

Miroslav Stampar สมาชิกของทีม CERT จากประเทศโครเอเชียและหนึ่งในผู้พัฒนา SQLMap ออกมาเปิดเผยถึง Worm ตัวใหม่ที่แพร่กระจายตัวผ่านทางช่องโหว่ SMB ระหว่างที่เขาทำ Honeypot เพื่อล่อ WannaCry และต้องตกใจเมื่อทราบว่า Worm ดังกล่าวใช้เครื่องมือแฮ็คของ NSA ถึง 7 รายการ ในขณะที่ WannaCry ใช้เพียงแค่ 2

Update on #EternalRocks. Original name is actually “MicroBotMassiveNet” while author’s nick is “tmc” https://t.co/xqoxkNYfM7 pic.twitter.com/6Ico7gcg9u

— Miroslav Stampar (@stamparm) May 19, 2017

Stampar เรียก Worm ดังกล่าวว่า EternalRocks จากชื่อ Product name ที่เขาเห็นบนหน้า Properties ของ Worm ตัวอย่างหนึ่ง จากการวิเคราะห์การทำงานของ Worm นี้พบว่ามีการใช้เครื่องมือแฮ็คของ NSA ในการเจาะเข้าระบบคอมพิวเตอร์ที่เปิดพอร์ต SMB ออนไลน์ ถึง 6 รายการ ได้แก่ EternalBlue, EternalChampion, EternalRomance, EternalSynergy, SBMTouch และ ArchiTouch ซึ่ง 4 เครื่องมือเป็นเครื่องมือสำหรับเจาะช่องโหว่ SMB และ 2 เครื่องมือหลังเป็นเครื่องมือสำหรับดำเนินการสอดแนม (Reconnaissance)

หลังจากที่ Worm สามารถเริ่มแทรกซึมเข้าระบบคอมพิวเตอร์ได้แล้ว มันจะใช้อีกเครื่องมือแฮ็คหนึ่งของ NSA คือ DoublePulsar ในการแพร่กระจายตัวเข้าไปยังคอมพิวเตอร์ที่มีช่องโหว่ ซึ่งเป็นแนวคิดเช่นเดียวกับ WannaCry Ransomware เพียงแค่ WannaCry ใช้เพียง EternalBlue ในการเริ่มโจมตี และ DoublePulsar ในการแพร่กระจายตัวเท่านั้น

ในฐานะมัลแวร์แล้ว EternalRocks นั้นอันตรายน้อยกว่า WannaCry เป็นอย่างมาก เนื่องจากยังไม่มีการส่ง Payload เข้าไปทำอันตรายเครื่องคอมพิวเตอร์ที่มีช่องโหว่ อย่างไรก็ตาม EternalRocks นั้นมีความซับซ้อนมากกว่า กล่าวคือ หลังจากที่ EternalRocks เริ่มแทรกซึมเข้าไปยังเครื่องคอมพิวเตอร์ได้แล้ว จะดำเนินการติดตั้งตัวเอง 2 ขั้นตอน

• ขั้นตอนแรก – EternalRocks แทรกซึมเข้าไปยังคอมพิวเตอร์ ดาวน์โหลด Tor Client และติดต่อกับ C&C Server ที่อยู่ใน Dark Web
• ขั้นตอนที่สอง – หลังจากผ่านไป 24 ชั่วโมง C&C Server ถึงจะทำการตอบสนองกลับ การหน่วงเวลานี้ทำขึ้นเพื่อบายพาสระบบป้องกัน Sandbox และการวิเคราะห์จากนักวิจัยด้านความมั่นคงปลอดภัย ซึ่งส่วนใหญ่มักไม่มีใครรอถึง 24 ชั่วโมงเต็ม จากนั้นจึงเริ่มโหลดส่วนประกอบต่างๆ ของมัลแวร์เข้ามาในชื่อ shadowbrokers.zip ซึ่งแน่นอนว่าประกอบด้วยชุดเครื่องมือแฮ็คช่องโหว่ SMB จาก NSA สุดท้าย EternalRocks จะทำการสแกน IP แบบสุ่ม เพื่อหาเหยื่อรายต่อไป

นอกจากนี้ EternalRocks ยังใช้ไฟล์ที่มีชื่อเดียวกับฟีเจอร์ Worm ของ WannaCry เพื่อลวงให้นักวิจัยด้านความมั่นคงปลอดภัยเข้าใจและจำแนกประเภทผิดอีกด้วย อย่างไรก็ตาม EternalRocks ก็ต่างจาก WannaCry ตรงที่ไม่มีโดเมนที่เป็น Kill Switch สำหรับหยุดการทำงาน

เรียกได้ว่าเป็นเครื่องมืออันตรายที่มีความสามารถในการแพร่กระจายตัวในระดับสูง แฮ็คเกอร์สามารถเสริมอาวุธให้ Worm กลายเป็น Ransowmare, Banking Trojan, RAT หรืออื่นๆ ผ่านทาง Backdoor ที่เชื่อมต่อกับ C&C Server ได้ทันที อย่างไรก็ตาม คาดว่าตอนนี้ Worm ดังกล่าวอยู่ในช่วงทดลอง ซึ่งแฮ็คเกอร์ผู้พัฒนากำลังทดสอบและปรับแต่งการทำงานให้พร้อมใช้งานในอนาคต

แน่นอนว่าวิธีป้องกัน EternalRocks ได้ดีที่สุดคือการอัปเดตแพทช์ล่าสุดบนระบบปฏิบัติการ Windows เพื่ออุดช่องโหว่ที่มัลแวร์ใช้ รวมไปถึงยกเลิกการใช้งาน SMBv1 ที่มีช่องโหว่แล้วหันไปใช้ SMB เวอร์ชันใหม่กว่าแทน

ที่มา: https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/