ผู้เชี่ยวชาญชี้ Registry Key หลายร้อยตัวเสี่ยงต่อการทำ COM Hijacking

ทีมนักวิจัยจาก Cyberbit ผู้ให้บริการแพลต์ฟอร์มด้านการตอบสนองเหตุการณ์ที่ไม่คาดคิดได้ทดลองศึกษาจนพบว่าผู้โจมตีสามารถรันไฟล์อันตรายได้ผ่านทางเทคนิค Component Object Model (COM) Hijacking หรือมักนิยมในการโจมตีแบบ Persistant เพื่อหลีกเลี่ยงการตรวจจับ

Credit: ShutterStock.com

Component Object Model (COM) คือระบบใน Windows ที่ทำให้เกิดการ interact ระหว่างส่วนประกอบของซอฟต์แวร์ผ่านไปยังระบบปฏิบัติการ อย่างไรก็ตามผู้ไม่หวังดีสามารถใช้ระบบนี้ใส่โค้ดอันตรายเข้าไป Execute แทนที่ซอฟต์แวร์ที่ถูกต้องผ่านทางการ Hijacking ของการอ้างอิงและความสัมพันธ์ของ COM ได้ โดยวิธีการ Hijacking นั้นจำเป็นต้องเปลี่ยนแปลง Windows Registry เพื่อแทนที่การอ้างอิงถึงส่วนประกอบของซอฟต์แวร์ปกติที่ถูกต้อง ดังนั้นเมื่อส่วนประกอบของซอฟต์แวร์ถูกเรียกใช้ตัวโค้ดของผู้โจมตีจะเข้าไปรันแทนแต่อย่างไรก็ดีผู้โจมตีต้องพยายามไม่ให้ฟังก์ชันต่างๆ เกิดความผิดพลาดจนถูกตรวจจับได้เช่นกัน ด้วยเหตุนี้จึงมักถูกใช้ทำการโจมตีแบบ Persistant ( อ้างอิงจาก attack.mitre.org )

ทางทีม Cyberbit ได้ศึกษาพบว่ามี Registry หลายร้อยตัวมีความเสี่ยงจากเทคนิค COM Hijacking นี้ ซึ่งผู้เขียนมัลแวร์ยุคใหม่ก็นิยมใช้การ inject โค้ดเข้าไปเพื่อทำให้กิจกรรมอันตรายให้ดูเหมือนปกติเสียด้วย โดยนักวิจัยได้พบหลักฐานว่า “ปัญหาคือการเพิ่ม DLL เหล่านี้ไม่ต้องมีการบูตเลย ดังนั้น Key ส่วนใหญ่จะมีผลทันทีเมื่อโปรเซสเป้าหมายเริ่มรัน นอกจากนี้ Key บางตัวไม่ต้องถูกรอเรียก Execution เพราะโปรเซสเป้าหมายนั้นรันอยู่แล้ว เช่น Explorer.exe เป็นต้น” ด้วยช่องโหว่นี้ทางผู้โจมตีจึงสามารถโหลดและรันมัลแวร์ให้หลีกเลี่ยงการตรวจจับได้อย่างง่ายดายโดยไม่ต้องมีการ inject โค้ดที่ซับซ้อน อย่างไรก็ตามต้องมีสิทธิ์ (Privilege) ในการปฏิบัติงานที่ละเอียดอ่อน เช่น การเชื่อมต่ออินเทอร์เน็ต

Meir Brown ผู้อำนวยการของ Cyberbit กล่าวว่า “งานวิจัยนี้ได้เผยถึงปัญหาที่ผลิตภัณฑ์ด้านความมั่นคงปลอดภัยมักมองข้ามไป” พร้อมทั้งเสริมว่า “ความเสี่ยงเกิดขึ้นอย่างกว้างขวางเพราะเราเห็นโปรเซสสำคัญหลายตัวโหลด Object ของ COM โดยที่ไม่มีการตรวจสอบความถูกต้อง นั่นทำให้มีช่องโหว่เกิดขึ้น” สุดท้าย Brown ได้กล่าวถึงการป้องกันว่า “ผมแนะนำว่าให้คอยระวังติดตาม Registry Key ให้ดีอย่างที่เราเขียนไว้ในรายงานว่ามีตัวไหนนิยมเข้าไปโหลด Object COM บ้าง

ที่มา : https://www.infosecurity-magazine.com/news/registry-keys-vulnerable-with-com/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ