TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

แพร่มัลแวร์สู่ Air-gapped Computer ผ่าน KVM

January 8, 2016 Check Point, Endpoint Security, Products, Security, Threats Update

check_point_logo

Yaniv Balmas และ Lior Oppenheim นักวิจัยด้านมัลแวร์จาก Check Point ผู้ให้บริการโซลูชัน Firewall ชื่อดัง ได้สาธิตการแพร่กระจายมัลแวร์เข้าสู่ระบบคอมพิวเตอร์ผ่านอุปกรณ์ KVM ถึงแม้ว่าคอมพิวเตอร์เหล่านั้นจะไม่ได้เชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายอื่นโดยตรงก็ตาม

ภายในงาน 32c3 ที่เพิ่งจัดเมื่อช่วงสิ้นปีที่ผ่านมา นักวิจัยทั้ง 2 ท่านได้ทำการปรับแต่ง KVM อุปกรณ์ที่ช่วยให้สามารถควบคุมคอมพิวเตอร์หรือเซิฟเวอร์หลายๆเครื่องได้ภายในหน้าจอเดียว เพื่อให้สามารถดาวน์โหลดมัลแวร์จากอินเทอร์เน็ตและแพร่กระจายตัวไปยังเครื่องคอมพิวเตอร์ที่เชื่อมต่ออยู่ได้ โดยที่ผู้ดูแลระบบไม่รู้ตัว

ดาวน์โหลดมัลแวร์มาเก็บไว้ในหน่วยความจำ พร้อมแพร่กระจายสู่เครื่องที่เชื่อมต่อ

KVM ที่ถูกดัดแปลงจะทำการดาวน์โหลดมัลแวร์ผ่านทางคอมพิวเตอร์ที่เชื่อมต่อกับตัวมันและเชื่อมต่อกับอินเทอร์เน็ต มาเก็บไว้ในหน่วยความจำ จากนั้นจะทำการแพร่กระจายมัลแวร์ดังกล่าวไปยังคอมพิวเตอร์เครื่องอื่นๆที่มันเชื่อมต่ออยู่เพื่อแฮ็คหรือขโมยข้อมูล ต่อให้เครื่องคอมพิวเตอร์เหล่านั้นแยกตัวออกมาระบบเครือข่ายแล้วก็ตาม

check_point_kvm-attack_1

“KVM [ที่ถูกดัดแปลง] สามารถเร่ิมทำงานกลางดึกและพิมพ์รหัสผ่านเข้าเครื่องคอมพิวเตอร์ จากนั้นใช้คำสั่ง WGET เพื่อดาวน์โหลดมัลแวร์จากระบบคลาวด์ผ่านคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้ .. นับว่าเป็นการภัยคุกคามที่ชาญฉลาด เนื่องจากเราไม่สามารถทำอะไรเพื่อป้องกันการโจมตีนี้ได้เลย เราสามารถฟอร์แมทฮาร์ดดิสก์ เปลี่ยนคอมพิวเตอร์ แต่ตราบใดที่ KVM ยังเชื่อมต่ออยู่ ทุกคืนเราก็ยังถูกโจมตีอยู่ดี” — Balmas อธิบายการทำงานของ KVM ในเซสชัน How to turn your KVM into a raging key-logging monster

แฮ็คเกอร์จำเป็นต้องปรับแต่ง KVM

นับว่ายังเป็นโชคดีที่การโจมตีรูปแบบนี้ แฮ็คเกอร์จำเป็นต้องเข้าไปปรับแต่งอุปกรณ์ KVM โดยตรง แต่ Balmas ก็ระบุว่า การกระทำดังกล่าวไม่ใช่เรื่องยาก เพียงแค่ใช้เทคนิค Social Engineering เช่น หลอกฝ่ายจัดซื้อว่าจำเป็นต้องตรวจสอบ KVM ตามข้อบังคับของบริษัท แล้วทำการดัดแปลงก่อนส่งมอบ เป็นต้น
อย่างไรก็ตาม KVM ในปัจจุบันนี้สามารถเข้าถึงผ่านทางหมายเลข IP ได้แล้ว ตามทฤษฎี นั่นหมายความว่า แฮ็คเกอร์สามารถรีโมทเข้ามายัง KVM เพื่อทำการปรับแต่งให้พร้อมดาวน์โหลดมัลแวร์ได้เช่นกัน

วิธีที่ดีที่สุดในการป้องกันภัยคุกคามรูปแบบนี้ คือ ผู้ดูแลระบบจำเป็นต้องเข้าใจการใช้อุปกรณ์ฮาร์ดแวร์อย่างแท้จริง และต้องมีการปรับแต่งระบบเครือข่ายให้บริเวณที่เป็น Air-gapped Network จะต้องไม่มีการเชื่อมต่อใดๆสู่ภายนอก แม้แต่การใช้ KVM ร่วมกันนั่นเอง

ที่มา: http://www.theregister.co.uk/2016/01/08/checkpoint_chaps_hack_whacks_airgaps_flat/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Line ประเทศไทย เผย 3 Roadmap สู่ปี 2027 พร้อมเปิดตัว Line Stickers Premium แบบจ่ายรายเดือน

ที่งาน Line Conference Thailand 2023 วันนี้ ทีมงาน Line ประเทศไทยได้ออกมาอัปเดตสิ่งที่น่าสนใจหลายเรื่อง ทั้งการเปิดเผยถึงวิสัยทัศน์ครั้งแรกของ Line ประเทศไทย ตลอดจน Roadmap สำหรับทิศทางการดำเนินงานในอนาคต …

LINE ประเทศไทย จัดงาน LINE Conference Thailand 2023 ชูเทคโนโลยี Hyper-localized ยกระดับชีวิต ธุรกิจ และนักพัฒนา ก้าวสู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” [Guest Post]

ครั้งแรกของ LINE ประเทศไทย กับงานสัมมนาด้านเทคโนโลยีครั้งใหญ่ LINE Conference Thailand 2023 หรือ #LCT23 พร้อมประกาศวิสัยทัศน์ ทิศทาง และกลยุทธ์ก้าวต่อไปในการพัฒนาและดำเนินการด้านเทคโนโลยีใหม่แห่งปี สู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand