SUSE by Ingram

แพร่มัลแวร์สู่ Air-gapped Computer ผ่าน KVM

check_point_logo

Yaniv Balmas และ Lior Oppenheim นักวิจัยด้านมัลแวร์จาก Check Point ผู้ให้บริการโซลูชัน Firewall ชื่อดัง ได้สาธิตการแพร่กระจายมัลแวร์เข้าสู่ระบบคอมพิวเตอร์ผ่านอุปกรณ์ KVM ถึงแม้ว่าคอมพิวเตอร์เหล่านั้นจะไม่ได้เชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายอื่นโดยตรงก็ตาม

ภายในงาน 32c3 ที่เพิ่งจัดเมื่อช่วงสิ้นปีที่ผ่านมา นักวิจัยทั้ง 2 ท่านได้ทำการปรับแต่ง KVM อุปกรณ์ที่ช่วยให้สามารถควบคุมคอมพิวเตอร์หรือเซิฟเวอร์หลายๆเครื่องได้ภายในหน้าจอเดียว เพื่อให้สามารถดาวน์โหลดมัลแวร์จากอินเทอร์เน็ตและแพร่กระจายตัวไปยังเครื่องคอมพิวเตอร์ที่เชื่อมต่ออยู่ได้ โดยที่ผู้ดูแลระบบไม่รู้ตัว

ดาวน์โหลดมัลแวร์มาเก็บไว้ในหน่วยความจำ พร้อมแพร่กระจายสู่เครื่องที่เชื่อมต่อ

KVM ที่ถูกดัดแปลงจะทำการดาวน์โหลดมัลแวร์ผ่านทางคอมพิวเตอร์ที่เชื่อมต่อกับตัวมันและเชื่อมต่อกับอินเทอร์เน็ต มาเก็บไว้ในหน่วยความจำ จากนั้นจะทำการแพร่กระจายมัลแวร์ดังกล่าวไปยังคอมพิวเตอร์เครื่องอื่นๆที่มันเชื่อมต่ออยู่เพื่อแฮ็คหรือขโมยข้อมูล ต่อให้เครื่องคอมพิวเตอร์เหล่านั้นแยกตัวออกมาระบบเครือข่ายแล้วก็ตาม

check_point_kvm-attack_1

“KVM [ที่ถูกดัดแปลง] สามารถเร่ิมทำงานกลางดึกและพิมพ์รหัสผ่านเข้าเครื่องคอมพิวเตอร์ จากนั้นใช้คำสั่ง WGET เพื่อดาวน์โหลดมัลแวร์จากระบบคลาวด์ผ่านคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้ .. นับว่าเป็นการภัยคุกคามที่ชาญฉลาด เนื่องจากเราไม่สามารถทำอะไรเพื่อป้องกันการโจมตีนี้ได้เลย เราสามารถฟอร์แมทฮาร์ดดิสก์ เปลี่ยนคอมพิวเตอร์ แต่ตราบใดที่ KVM ยังเชื่อมต่ออยู่ ทุกคืนเราก็ยังถูกโจมตีอยู่ดี” — Balmas อธิบายการทำงานของ KVM ในเซสชัน How to turn your KVM into a raging key-logging monster

แฮ็คเกอร์จำเป็นต้องปรับแต่ง KVM

นับว่ายังเป็นโชคดีที่การโจมตีรูปแบบนี้ แฮ็คเกอร์จำเป็นต้องเข้าไปปรับแต่งอุปกรณ์ KVM โดยตรง แต่ Balmas ก็ระบุว่า การกระทำดังกล่าวไม่ใช่เรื่องยาก เพียงแค่ใช้เทคนิค Social Engineering เช่น หลอกฝ่ายจัดซื้อว่าจำเป็นต้องตรวจสอบ KVM ตามข้อบังคับของบริษัท แล้วทำการดัดแปลงก่อนส่งมอบ เป็นต้น
อย่างไรก็ตาม KVM ในปัจจุบันนี้สามารถเข้าถึงผ่านทางหมายเลข IP ได้แล้ว ตามทฤษฎี นั่นหมายความว่า แฮ็คเกอร์สามารถรีโมทเข้ามายัง KVM เพื่อทำการปรับแต่งให้พร้อมดาวน์โหลดมัลแวร์ได้เช่นกัน

วิธีที่ดีที่สุดในการป้องกันภัยคุกคามรูปแบบนี้ คือ ผู้ดูแลระบบจำเป็นต้องเข้าใจการใช้อุปกรณ์ฮาร์ดแวร์อย่างแท้จริง และต้องมีการปรับแต่งระบบเครือข่ายให้บริเวณที่เป็น Air-gapped Network จะต้องไม่มีการเชื่อมต่อใดๆสู่ภายนอก แม้แต่การใช้ KVM ร่วมกันนั่นเอง

ที่มา: http://www.theregister.co.uk/2016/01/08/checkpoint_chaps_hack_whacks_airgaps_flat/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เผยแผนเข้าซื้อกิจการ Dashbase เสริมความสามารถ AppDynamics ติดตามวิเคราะห์ข้อมูล Real-Time Communication

Cisco ได้ออกมาเผยถึงเจตนาในการเข้าซื้อกิจการของ Dashbase ผู้พัฒนาโซลูชันวิเคราะห์ทราฟฟิกสำหรับระบบ Voice, Video และ Chat โดยเฉพาะ เพื่อนำความสามารถของ Dashbase ไปเสริมให้กับ Cisco AppDynamics โดยเฉพาะ

Cisco เผยแผนพัฒนา Co-Packaged Optics ความเร็ว 800Gbps ที่ประหยัดพลังงาน คาดพร้อมใช้งานได้ปี 2024

Cisco ได้ออกมาเผยถึงความร่วมมือกับ Inphi ในการพัฒนา Co-Packaged Optics (CPO) สำหรับใช้ใน Switch รุ่นที่รองรับความเร็ว 51.2Tbps ในอนาคตซึ่งจะมี Interface 800Gbps แบบ Pluggable โดยคาดว่าการพัฒนานี้จะแล้วเสร็จและพร้อมนำเทคโนโลยีออกสู่ตลาดได้ในปี 2024