Cisco Talos เผยพบแคมเปญแพร่มัลแวร์ใหม่หลบเลี่ยงการตรวจจับด้วยเทคนิค ‘Heaven Gate’

Cisco Talos ได้รายงานพบแคมเปญการนำส่งมัลแวร์ HawkEye Reborn Keylogger และมัลแวร์อื่นๆ ซึ่งความน่าสนใจอยู่ที่มีการใช้ Loader ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus ผ่านการใช้เทคนิคที่ชื่อ ‘Heaven Gate’

เครดิต : BleepingComputer

โดยความน่าสนใจของแคมเปญการโจมตีคือตัว Loader ได้ใช้เทคนิค Heaven Gate หรือการที่ทำให้มัลแวร์แบบ 32 บิตรันบนระบบ 64 บิตได้เพื่อซ่อน API Call โดยการสับเปลี่ยนสภาพแวดล้อม ซึ่งทำให้การ Debug หรือซอฟต์แวร์ Antivirus ตรวจจับได้ยากมากขึ้น นอกจากนี้จากการศึกษาของ Cisco Talos พบว่าเมื่อ Payload อันตรายนั้นถูกแตกออกมาแล้วจะสร้างโปรเซสขึ้นมาชื่อ RegAsm.exe ในสถานะ Suspend จากนั้นจะทำการ Unmap Memory และแทนที่ด้วย Payload อันตรายซึ่งเทคนิคนี้เรียกว่า Process Hollowing ดังนั้นหมายความว่าตัว Payload จะไม่ถูกเขียนลงบนดิสก์ของเครื่องเลย โดยการบรรเทาปัญหายังทำได้ยากเนื่องจากเป็นการใช้ฟีเจอร์ของ OS ปกติในทางที่ผิดและการแก้ไขอาจกระทบฟังก์ชันการทำงานปกติของโปรแกรมอื่นๆ 

สำหรับแคมเปญนี้มีรูปแบบการโจมตีทั่วไปคือส่งอีเมลมาพร้อมกับไฟล์ Word หรือ Excel มาหลอกล่อประกอบกับใช้ช่องโหว่ลอบรันโค้ดทางไกลหรือ CVE-2017-11882 ที่เกิดขึ้นกับ Microsoft Equation Editor  อย่างไรก็ตาม Cisco Talos ชี้ว่าแคมเปญยังคงดำเนินอยู่ โดยผู้สนใจสามารถอ่านเนื้อหาการวิเคราะห์เชิงลึกได้จากบล็อกของ Cisco Talos ครับ

ที่มา : https://www.bleepingcomputer.com/news/security/malware-loader-goes-through-heavens-gate-to-avoid-detection/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel พัฒนาชิปใหม่ ช่วยป้องกันการโจมตีด้วยฮาร์ดแวร์

Intel เผยโครงการพัฒนาชิปใหม่ Tunable Replica Circuit (TRC) ซึ่งออกแบบมาใช้สำหรับป้องกันการโจมตีทางไซเบอร์ที่ใช้ฮาร์ดแวร์เป็นเส้นทางในการโจมตี โดยมีความสามารถในการตรวจจับการโจมตีทั่วไปที่เกิดจาก Hardware-based ได้ และสามารถแจ้งผู้ดูแลระบบในทราบถึงเหตุการณ์ที่เกิด พร้อมกับช่วยป้องกันกันการโจมตีนั้นๆ

Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป