TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้พบ Backdoor Malware สายพันธุ์ใหม่ชื่อ T9000 ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของ Malware นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน
สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที
จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่า Malware จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry ดังต่อไปนี้
- Sophos
- INCAInternet
- DoctorWeb
- Baidu
- Comodo
- TrustPortAntivirus
- GData
- AVG
- BitDefender
- VirusChaser
- McAfee
- Panda
- Trend Micro
- Kingsoft
- Norton
- Micropoint
- Filseclab
- AhnLab
- JiangMin
- Tencent
- Avira
- Kaspersky
- Rising
- 360
T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่
- tyeu.dat
- vnkd.dat
- qhnj.dat
ซึ่งทั้ง 3 Plugins นี้จะมีหน้าที่ในการโจมตีและขโมยข้อมูลจาก Skype ที่แตกต่างกันออกไป ส่วนตัว Malware เองก็รองรับการรับส่งคำสั่งจากระยะไกลเพื่ออัพโหลดหรือดาวน์โหลดข้อมูลใดๆ รวมถึงเรียกใช้คำสั่งต่างๆ ได้อีกด้วย
ทั้งนี้ทาง Palo Alto Networks ก็ได้ทำการเสริมการตรวจจับและป้องกันลงไปในผลิตภัณฑ์ของตัวเองเรียบร้อยแล้วไม่ว่าจะเป็น Threat Prevention, Traps, WildFire, Anti-malware และ AutoFocus
รายละเอียดเต็มๆ สามารถอ่านได้ที่นี่ครับ http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
ที่มา: http://www.networkworld.com/article/3030700/security/t9000-skype-backdoor-malware-steals-audio-video-chats-screenshots-documents.html#tk.rss_all , http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
