TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมนักวิจัยจาก Cyberbit ผู้ให้บริการแพลต์ฟอร์มด้านการตอบสนองเหตุการณ์ที่ไม่คาดคิดได้ทดลองศึกษาจนพบว่าผู้โจมตีสามารถรันไฟล์อันตรายได้ผ่านทางเทคนิค Component Object Model (COM) Hijacking หรือมักนิยมในการโจมตีแบบ Persistant เพื่อหลีกเลี่ยงการตรวจจับ
Component Object Model (COM) คือระบบใน Windows ที่ทำให้เกิดการ interact ระหว่างส่วนประกอบของซอฟต์แวร์ผ่านไปยังระบบปฏิบัติการ อย่างไรก็ตามผู้ไม่หวังดีสามารถใช้ระบบนี้ใส่โค้ดอันตรายเข้าไป Execute แทนที่ซอฟต์แวร์ที่ถูกต้องผ่านทางการ Hijacking ของการอ้างอิงและความสัมพันธ์ของ COM ได้ โดยวิธีการ Hijacking นั้นจำเป็นต้องเปลี่ยนแปลง Windows Registry เพื่อแทนที่การอ้างอิงถึงส่วนประกอบของซอฟต์แวร์ปกติที่ถูกต้อง ดังนั้นเมื่อส่วนประกอบของซอฟต์แวร์ถูกเรียกใช้ตัวโค้ดของผู้โจมตีจะเข้าไปรันแทนแต่อย่างไรก็ดีผู้โจมตีต้องพยายามไม่ให้ฟังก์ชันต่างๆ เกิดความผิดพลาดจนถูกตรวจจับได้เช่นกัน ด้วยเหตุนี้จึงมักถูกใช้ทำการโจมตีแบบ Persistant ( อ้างอิงจาก attack.mitre.org )
ทางทีม Cyberbit ได้ศึกษาพบว่ามี Registry หลายร้อยตัวมีความเสี่ยงจากเทคนิค COM Hijacking นี้ ซึ่งผู้เขียนมัลแวร์ยุคใหม่ก็นิยมใช้การ inject โค้ดเข้าไปเพื่อทำให้กิจกรรมอันตรายให้ดูเหมือนปกติเสียด้วย โดยนักวิจัยได้พบหลักฐานว่า “ปัญหาคือการเพิ่ม DLL เหล่านี้ไม่ต้องมีการบูตเลย ดังนั้น Key ส่วนใหญ่จะมีผลทันทีเมื่อโปรเซสเป้าหมายเริ่มรัน นอกจากนี้ Key บางตัวไม่ต้องถูกรอเรียก Execution เพราะโปรเซสเป้าหมายนั้นรันอยู่แล้ว เช่น Explorer.exe เป็นต้น” ด้วยช่องโหว่นี้ทางผู้โจมตีจึงสามารถโหลดและรันมัลแวร์ให้หลีกเลี่ยงการตรวจจับได้อย่างง่ายดายโดยไม่ต้องมีการ inject โค้ดที่ซับซ้อน อย่างไรก็ตามต้องมีสิทธิ์ (Privilege) ในการปฏิบัติงานที่ละเอียดอ่อน เช่น การเชื่อมต่ออินเทอร์เน็ต
Meir Brown ผู้อำนวยการของ Cyberbit กล่าวว่า “งานวิจัยนี้ได้เผยถึงปัญหาที่ผลิตภัณฑ์ด้านความมั่นคงปลอดภัยมักมองข้ามไป” พร้อมทั้งเสริมว่า “ความเสี่ยงเกิดขึ้นอย่างกว้างขวางเพราะเราเห็นโปรเซสสำคัญหลายตัวโหลด Object ของ COM โดยที่ไม่มีการตรวจสอบความถูกต้อง นั่นทำให้มีช่องโหว่เกิดขึ้น” สุดท้าย Brown ได้กล่าวถึงการป้องกันว่า “ผมแนะนำว่าให้คอยระวังติดตาม Registry Key ให้ดีอย่างที่เราเขียนไว้ในรายงานว่ามีตัวไหนนิยมเข้าไปโหลด Object COM บ้าง”
ที่มา : https://www.infosecurity-magazine.com/news/registry-keys-vulnerable-with-com/
