เตือนมัลแวร์ “ไร้ไฟล์” พุ่งเป้าธนาคารและองค์กรทั่วโลก

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชั้นนำของโลก ออกมาแจ้งเตือนถึงการแพร่กระจายตัวของมัลแวร์ “ไร้ไฟล์” ซึ่งเป็นมัลแวร์ระดับสูงที่ยากต่อการตรวจจับ เนื่องจากไม่จำเป็นต้องใช้ไฟล์เป็นสื่อการทำงาน แต่พุ่งโจมตีหน่วยความจำโดยตรง ธนาคารและสถาบันการเงินจาก 40 ประเทศทั่วโลกต่างตกอยู่ในความเสี่ยง

มัลแวร์ไร้ไฟล์เป็นซอฟต์แวร์อันตรายที่ไม่จำเป็นต้องคัดลอกไฟล์หรือโฟลเดอร์ใดๆ ลงบนฮาร์ดไดรฟ์เพื่อเริ่มการทำงาน แต่ Payload ของมัลแวร์จะถูกส่งเข้าไปยังหน่วยความจำของ Process ที่รันโดยตรง แล้วเริ่มทำงานในนั้นแทน จากการที่มัลแวร์รันในหน่วยความจำ ทำให้การทำ Digital Forensics เพื่อค้นหาร่องรอยของมัลแวร์เป็นเรื่องยากมาก เนื่องจากข้อมูลในหน่วยความจำจะหายไปเมื่อระบบมีการรีบูต

การแพร่กระจายตัวของมัลแวร์นี้ถูกค้นพบครั้งแรกโดยทีมรักษาความมั่นคงปลอดภัยของธนาคารแห่งหนึ่ง ที่นั่นพวกเขาค้นพบ Meterpreter Payload (In-memory Component ของ Metasploit) ซ่อนอยู่ในหน่วยความจำกายภาพของ Microsoft Domain Controller หลังจากที่ทำการวิเคราะห์เชิง Digital Forensics ทีมนักวิจัยจาก Kaspersky พบว่าแฮ็คเกอร์ใช้ประโยชน์จาก Windows PowerShell ในการโหลดโค้ด Meterpreter เข้าไปยังหน่วยความจำโดยตรง แทนที่จะทำการเขียนลงบนฮาร์ดดิสก์

เมื่อมัลแวร์รันการทำงาน แฮ็คเกอร์จะใช้ NETSH ของ Microsoft ในการสร้างท่อ Proxy สำหรับติดต่อกับ C&C Server และเข้าควบคุมเครื่องที่ติดมัลแวร์จากระยะไกล ที่สำคัญคือ คำสั่ง PowerShell จะถูกเก็บซ่อนไว้ใน Windows Registry เพื่อลดร่องรอยกิจกรรมที่จะปรากฏบน Log หรือบนฮาร์ดดิสก์หลังรีบูตอุปกรณ์อีกด้วย ทำให้ Digital Forensics ทำได้อย่างยากลำบาก

Kaspersky ระบุว่า เป้าหมายสูงสุดของแฮ็คเกอร์ชัดเจนมากว่าจะเข้าโจมตีคอมพิวเตอร์ที่ใช้ควบคุมระบบ ATM เพื่อให้สามารถขโมยเงินออกมาได้

มัลแวร์ไร้ไฟล์นี้ถูกค้นพบครั้งแรกเมื่อปี 2014 แต่ขณะนั้นยังไม่พบร่องรอยการแพร่กระจายตัวเป็นวงกว้างแต่อย่างใด แต่ล่าสุด Kaspersky พบมัลแวร์ดังกล่าวกำลังแพร่กระจายตัวไปทั่วโลก โดยพุ่งเป้าไปยังธนาคาร ผู้ให้บริการโทรคมนาคม และหน่วยงานรัฐบาลกว่า 140 แห่งจาก 40 ประเทศทั่วโลก ไม่ว่าจะเป็น สหรัฐฯ ฝรั่งเศส เอกวาดอร์ เคนยา สหราชอาณาจักร หรือรัสเซีย

รายละเอียดเพิ่มเติม: https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/

ที่มา: http://thehackernews.com/2017/02/fileless-malware-bank.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ปกป้องข้อมูลและกู้สถานการณ์จาก Ransomware โดยอัตโนมัติ ด้วย IBM FlashSystem Cyber Vault

ทุกวันนี้ การรับมือกับ Ransomware ได้กลายเป็นหนึ่งในหน้าที่พื้นฐานของเหล่าผู้ดูแลระบบ IT ภายในองค์กรไปแล้ว และแน่นอนว่าเหล่าผู้พัฒนาโซลูชันระบบต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการข้อมูล โดยเฉพาะ Enterprise Storage เองต่างก็ได้มีการพัฒนาความสามารถใหม่ๆ ขึ้นมาอย่างต่อเนื่องเพื่อช่วยเหล่าผู้ดูแลระบบ IT ในการรับมือกับภัยคุกคามดังกล่าว

[Video] รู้จักโซลูชัน IBM FlashSystem Cyber Vault: ปกป้องข้อมูลสำคัญของธุรกิจจาก Ransomware แบบอัตโนมัติ

ธุรกิจองค์กรสามารถเลือกใช้ IBM FlashSystem Cyber Vault ในการรับมือกับ Ransomware ในแบบอัตโนมัติได้อย่างเหมาะสมตามความต้องการ ต่อยอดจากการใช้เพียง IBM FlashSystem และ IBM Safeguarded Copy เพื่อปกป้องข้อมูล Snapshot จากการถูกโจมตีเพียงเท่านั้นได้