Cisco Talos เผยพบแคมเปญแพร่มัลแวร์ใหม่หลบเลี่ยงการตรวจจับด้วยเทคนิค ‘Heaven Gate’

Cisco Talos ได้รายงานพบแคมเปญการนำส่งมัลแวร์ HawkEye Reborn Keylogger และมัลแวร์อื่นๆ ซึ่งความน่าสนใจอยู่ที่มีการใช้ Loader ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus ผ่านการใช้เทคนิคที่ชื่อ ‘Heaven Gate’

โดยความน่าสนใจของแคมเปญการโจมตีคือตัว Loader ได้ใช้เทคนิค Heaven Gate หรือการที่ทำให้มัลแวร์แบบ 32 บิตรันบนระบบ 64 บิตได้เพื่อซ่อน API Call โดยการสับเปลี่ยนสภาพแวดล้อม ซึ่งทำให้การ Debug หรือซอฟต์แวร์ Antivirus ตรวจจับได้ยากมากขึ้น นอกจากนี้จากการศึกษาของ Cisco Talos พบว่าเมื่อ Payload อันตรายนั้นถูกแตกออกมาแล้วจะสร้างโปรเซสขึ้นมาชื่อ RegAsm.exe ในสถานะ Suspend จากนั้นจะทำการ Unmap Memory และแทนที่ด้วย Payload อันตรายซึ่งเทคนิคนี้เรียกว่า Process Hollowing ดังนั้นหมายความว่าตัว Payload จะไม่ถูกเขียนลงบนดิสก์ของเครื่องเลย โดยการบรรเทาปัญหายังทำได้ยากเนื่องจากเป็นการใช้ฟีเจอร์ของ OS ปกติในทางที่ผิดและการแก้ไขอาจกระทบฟังก์ชันการทำงานปกติของโปรแกรมอื่นๆ 

สำหรับแคมเปญนี้มีรูปแบบการโจมตีทั่วไปคือส่งอีเมลมาพร้อมกับไฟล์ Word หรือ Excel มาหลอกล่อประกอบกับใช้ช่องโหว่ลอบรันโค้ดทางไกลหรือ CVE-2017-11882 ที่เกิดขึ้นกับ Microsoft Equation Editor  อย่างไรก็ตาม Cisco Talos ชี้ว่าแคมเปญยังคงดำเนินอยู่ โดยผู้สนใจสามารถอ่านเนื้อหาการวิเคราะห์เชิงลึกได้จากบล็อกของ Cisco Talos ครับ

ที่มา : https://www.bleepingcomputer.com/news/security/malware-loader-goes-through-heavens-gate-to-avoid-detection/