Kaspersky เผยมัลแวร์ที่ฝังตัวระดับชิป Format เครื่องก็ยังรอด

Kaspersky ได้ออกมาเปิดเผยถึงมัลแวร์ตัวหนี่งที่แก้ไขโค้ดใน Serial Peripheral Interface (SPI) Flash โดยตั้งชื่อมัลแวร์ดังกล่าวว่า ‘MoonBounce’

Credit : Kaspersky

ความน่าสนใจแม้มัลแวร์ในส่วน UEFI นี้มีมาระยะหนึ่งแล้ว แต่ด้วยความชาญฉลาดของ MoonBounce ทำให้น่าจับตา เพราะมี Flow การโจมตีซับซ้อน ตรวจหาได้ยาก โดยไอเดียก็คือมัลแวร์ได้เข้าไปแทรกแซงการ Execute ฟังก์ชันของ EFI Boot Service (hooking) สู่การเรียก Shellcode ที่คนร้ายแนบอิมเมจ Core_dxe นำไปจนถึงการแก้ไขส่วน Windows Loader และมัลแวร์จึง inject เข้าไปยัง โปรเซส svchost.exe ในที่สุด 

ผู้เชี่ยวชาญคาดว่าการติดมัลแวร์เกิดขึ้นจากทางไกล โดยหลังจากติดแล้วมัลแวร์จะไปยัง URL หนึ่งเพื่อนำ Payload มารันในหน่วยความจำ แต่สุดท้ายแล้วก็ยังแกะรอยได้น้อยมาก เพราะตัวอย่างยังพบไม่มากประกอบกับรูปแบบเป็น Fileless ซึ่งจากการวิเคราะห์พฤติกรรมที่พบในมัลแวร์มีความคล้ายคลึงกับกลุ่ม APT41 ที่เป็นแฮ็กเกอร์ที่ใช้ภาษาจีน 

สำหรับการป้องกันแนะนำให้อัปเดต UEFI Firmware ล่าสุด เปิดใช้ BootGuard หากมีและ TRP รวมถึงหาโซลูชันที่สามารถสแกนได้ถึงระดับ Firmware  ศึกษาเชิงเทคนิคเพิ่มเติมได้ที่ https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/

ที่มา : https://www.tomshardware.com/news/moonbounce-malware-hides-in-your-bios-chip-persists-after-drive-formats


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ปกป้องข้อมูลและกู้สถานการณ์จาก Ransomware โดยอัตโนมัติ ด้วย IBM FlashSystem Cyber Vault

ทุกวันนี้ การรับมือกับ Ransomware ได้กลายเป็นหนึ่งในหน้าที่พื้นฐานของเหล่าผู้ดูแลระบบ IT ภายในองค์กรไปแล้ว และแน่นอนว่าเหล่าผู้พัฒนาโซลูชันระบบต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการข้อมูล โดยเฉพาะ Enterprise Storage เองต่างก็ได้มีการพัฒนาความสามารถใหม่ๆ ขึ้นมาอย่างต่อเนื่องเพื่อช่วยเหล่าผู้ดูแลระบบ IT ในการรับมือกับภัยคุกคามดังกล่าว

[Video] รู้จักโซลูชัน IBM FlashSystem Cyber Vault: ปกป้องข้อมูลสำคัญของธุรกิจจาก Ransomware แบบอัตโนมัติ

ธุรกิจองค์กรสามารถเลือกใช้ IBM FlashSystem Cyber Vault ในการรับมือกับ Ransomware ในแบบอัตโนมัติได้อย่างเหมาะสมตามความต้องการ ต่อยอดจากการใช้เพียง IBM FlashSystem และ IBM Safeguarded Copy เพื่อปกป้องข้อมูล Snapshot จากการถูกโจมตีเพียงเท่านั้นได้