Black Hat Asia 2021

Kaspesky เผยช่องโหว่ Bad Rabbit ชี้ไม่ต้องจ่ายค่าไถ่ก็อาจกู้คืนไฟล์ได้

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ออกรายงานเปิดเผยช่องโหว่ของ Bad Rabbit Ransomware ที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกอยู่ในขณะนี้ ระบุเหยื่อบางรายอาจโชคดีสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ เนื่องจากข้อบกพร่อง 2 จุดของตัว Ransomware เอง

ข้อบกพร่องใหญ่สุดที่ Kaspersky ค้นพบคือ Bad Rabbit ไม่ได้ทำการลบ Volume Shadow Copies ซึ่งเป็นเทคโนโลยีบนระบบปฏิบัติการ Windows สำหรับทำ Snapshot ของไฟล์ขณะที่เปิดใช้งาน

โดยปกติแล้ว Ransomware จะทำการคัดลอกไฟล์แล้วเข้ารหัสไฟล์ที่ถูกคัดลอกมาใหม่ ก่อนจะลบไฟล์ต้นฉบับทิ้งไป ไฟล์ที่ถูกเข้ารหัสทั้งหมดจึงอยู่ในสถานะ “กำลังเปิดใช้งาน” ส่งผลให้ Shadow Copy ถูกสร้างขึ้นมาเก็บไว้บนฮาร์ดดิสก์ อย่างไรก็ตาม ไม่สามารถบอกได้ว่า Shadow Copy ของไฟล์ต้นฉบับจะถูกเก็บไว้นานแค่ไหน ขึ้นอยู่กับพื้นที่บนฮาร์ดดิสก์ที่เหลืออยู่

Ransomware ส่วนใหญ่จะทำการลบ Shadow Copy ทิ้งไป เพื่อป้องกันไม่ให้ซอฟต์แวร์สำหรับกู้คืนไฟล์ข้อมูลสามารถค้นหา Copy ดังกล่าวซึ่งเป็นไฟล์ต้นฉบับก่อนถูกเข้ารหัสได้ อย่างไรก็ตาม แฮ็คเกอร์เจ้าของ Bad Rabbit Ransomware ไม่ได้สร้าง Task ขึ้นมาสำหรับลบ Shadow Copy เหล่านี้ทิ้ง ส่งผลให้เหยื่อสามารถกู้คืนไฟล์บางส่วนหรือทั้งหมด (ถ้าโชคดีสุดๆ ) กลับคืนมาได้

อีกข้อบกพร่องที่ Kaspersky ค้นพบคือรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูล

Bad Rabbit Ransomware ทำงานโดยเข้ารหัสไฟล์ข้อมูลของเหยื่อ จากนั้นเข้ารหัส MFT (Master File Table) และแทนที่ MBR (Master Boot Record) ด้วยหน้าจอที่แฮ็คเกอร์ปรับแต่งขึ้นมาแดง ซึ่งหน้าจอดังกล่าวจะแสดง “personal installation key #1” สำหรับให้เหยื่อกรอกลงในไซต์ TOR หลังจากที่จ่ายค่าไถ่เพื่อรับรหัสผ่านสำหรับปลดล็อกไฟล์ข้อมูลบนเครื่อง ซึ่ง Kaspersky ประสบความสำเร็จในการใช้ข้อมูลเหล่านี้ถอดเอารหัสผ่านออกมา แล้วสามารถบูตเข้าสู่ระบบปฏิบัติการได้ อย่างไรก็ตาม วิธีที่ Kaspersky ทำสามารถบายพาส Bootloader ของแฮ็คเกอร์ได้เท่านั้น ไม่สามารถใช้ปลดล็อกไฟล์ข้อมูลที่ถูกเข้ารหัสในฮาร์ดดิสก์ได้แต่อย่างใด

อย่างไรก็ตาม Kaspersky พบว่าภายในโค้ดของ dispci.exe มีข้อบกพร่องอยู่ โดยมัลแวร์จะไม่ทำการลบรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูลออกจากหน่วยความจำ ส่งผลให้อาจจะพอมีโอกาส (เพียงเล็กน้อย) ในการถอดข้อมูลรหัสผ่านนั้นออกมาก่อนที่โปรเซส dispci.exe จะสิ้นสุดลง ปัญหาคือ ถ้าเหยื่อรีบูตคอมพิวเตอร์เมื่อไหร่ ก็หมดสิทธิ์ที่จะกู้คืนไฟล์กลับมาได้ทันที ยกเว้นจะยินยอมจ่ายค่าไถ่

รายละเอียดเชิงเทคนิคเกี่ยวกับข้อบกพร่องทั้ง 2 รายการสามารถดูได้ที่: https://securelist.com/bad-rabbit-ransomware/82851/

ที่มา: https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Find the Balance สร้างสิ่งที่ใช่และ trust ในใจลูกค้า

“จากข้อมูลการออกกำลังกายตอนเช้าที่อัพโหลดลงโซเชียลมีเดีย สิ่งที่ซื้อบนระบบอีคอมเมิร์ซในช่วงพักกลางวัน หรือการสั่งอาหารทางออนไลน์ในช่วงเย็น” จะด้วยความตั้งใจหรือไม่ก็ตาม “ข้อมูล” ที่ผู้ใช้งานได้สร้างและแชร์ไว้บนแพลตฟอร์มหรือแอปพลิเคชั่นต่างๆ ได้กลายเป็น “โปรดักส์และตัวเชื่อมสำคัญ” ที่ทำให้องค์กรธุรกิจผู้เก็บรวบรวมข้อมูล “รู้จักตัวตน ความคิด ความต้องการของผู้ใช้งานมากขึ้น” พร้อมกับแบ่งปันโอกาสที่มีมูลค่านี้ไปยัง “บุคคลที่สาม” เพื่อใช้ในการขับเคลื่อนกลยุทธ์ทางการตลาด …

[BHAsia 2021] 6 ความท้าทายด้าน Cybersecurity และสิ่งที่ธุรกิจคาดหวังจากผู้ให้บริการระดับโลกโดย Omdia

ภายในงานสัมมนา Black Hat Asia 2021 ที่เพิ่งจบไป Omdia บริษัทวิจัยและที่ปรึกษาด้านเทคโนโลยีชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง 6 ความท้าทายด้าน Cybersecurity ที่ทุกองค์กรทั่วโลกต่างต้องเผชิญในยุค COVID-19 รวมไปถึงสิ่งที่ธุรกิจองค์กรขนาดใหญ่ควรพิจารณาเมื่อต้องใช้บริการจาก …