Cisco Talos เผยพบแคมเปญแพร่มัลแวร์ใหม่หลบเลี่ยงการตรวจจับด้วยเทคนิค ‘Heaven Gate’

Cisco Talos ได้รายงานพบแคมเปญการนำส่งมัลแวร์ HawkEye Reborn Keylogger และมัลแวร์อื่นๆ ซึ่งความน่าสนใจอยู่ที่มีการใช้ Loader ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus ผ่านการใช้เทคนิคที่ชื่อ ‘Heaven Gate’

เครดิต : BleepingComputer

โดยความน่าสนใจของแคมเปญการโจมตีคือตัว Loader ได้ใช้เทคนิค Heaven Gate หรือการที่ทำให้มัลแวร์แบบ 32 บิตรันบนระบบ 64 บิตได้เพื่อซ่อน API Call โดยการสับเปลี่ยนสภาพแวดล้อม ซึ่งทำให้การ Debug หรือซอฟต์แวร์ Antivirus ตรวจจับได้ยากมากขึ้น นอกจากนี้จากการศึกษาของ Cisco Talos พบว่าเมื่อ Payload อันตรายนั้นถูกแตกออกมาแล้วจะสร้างโปรเซสขึ้นมาชื่อ RegAsm.exe ในสถานะ Suspend จากนั้นจะทำการ Unmap Memory และแทนที่ด้วย Payload อันตรายซึ่งเทคนิคนี้เรียกว่า Process Hollowing ดังนั้นหมายความว่าตัว Payload จะไม่ถูกเขียนลงบนดิสก์ของเครื่องเลย โดยการบรรเทาปัญหายังทำได้ยากเนื่องจากเป็นการใช้ฟีเจอร์ของ OS ปกติในทางที่ผิดและการแก้ไขอาจกระทบฟังก์ชันการทำงานปกติของโปรแกรมอื่นๆ 

สำหรับแคมเปญนี้มีรูปแบบการโจมตีทั่วไปคือส่งอีเมลมาพร้อมกับไฟล์ Word หรือ Excel มาหลอกล่อประกอบกับใช้ช่องโหว่ลอบรันโค้ดทางไกลหรือ CVE-2017-11882 ที่เกิดขึ้นกับ Microsoft Equation Editor  อย่างไรก็ตาม Cisco Talos ชี้ว่าแคมเปญยังคงดำเนินอยู่ โดยผู้สนใจสามารถอ่านเนื้อหาการวิเคราะห์เชิงลึกได้จากบล็อกของ Cisco Talos ครับ

ที่มา : https://www.bleepingcomputer.com/news/security/malware-loader-goes-through-heavens-gate-to-avoid-detection/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

3 ประเด็นสำคัญด้าน Cloud Security ที่ทุกธุรกิจองค์กรต้องใส่ใจ โดย Radware

ในปี 2019 ที่ผ่านมานี้ เราได้เห็นเหตุการณ์ด้าน Cybersecurity ที่เกี่ยวข้องกับระบบ Cloud มากมาย ทาง Radware เองก็ได้ออกมาสรุปถึง 3 ประเด็นหลักที่เหล่าธุรกิจองค์กรควรให้ความสำคัญเพื่อปกป้องระบบ Cloud ที่ตนเองใช้งานอยู่ดังนี้

นิวออร์ลีนส์ประกาศ “ภาวะฉุกเฉิน” หลังถูก Ransomware โจมตี

LaToya Cantrell นายกเทศมนตรีแห่งเมืองนิวออร์ลีนส์ รัฐลุยเซียนา สหรัฐฯ สั่งปิดระบบคอมพิวเตอร์ของเมืองและประกาศ “ภาวะฉุกเฉิน” เมื่อวันศุกร์ที่ 13 ธันวาคมที่ผ่านมา หลังถูก Ransomware โจมตี