พบ Malware บน Skype ขโมยข้อความ Chat, เสียงพูดคุย, ภาพวิดีโอ และไฟล์ที่โอนระหว่างกัน เน้นโจมตีองค์กรโดยเฉพาะ

palo_alto_logo

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้พบ Backdoor Malware สายพันธุ์ใหม่ชื่อ T9000 ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของ Malware นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน

T9000-1
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที

จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่า Malware จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry ดังต่อไปนี้

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • JiangMin
  • Tencent
  • Avira
  • Kaspersky
  • Rising
  • 360
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่

  • tyeu.dat
  • vnkd.dat
  • qhnj.dat

ซึ่งทั้ง 3 Plugins นี้จะมีหน้าที่ในการโจมตีและขโมยข้อมูลจาก Skype ที่แตกต่างกันออกไป ส่วนตัว Malware เองก็รองรับการรับส่งคำสั่งจากระยะไกลเพื่ออัพโหลดหรือดาวน์โหลดข้อมูลใดๆ รวมถึงเรียกใช้คำสั่งต่างๆ ได้อีกด้วย

ทั้งนี้ทาง Palo Alto Networks ก็ได้ทำการเสริมการตรวจจับและป้องกันลงไปในผลิตภัณฑ์ของตัวเองเรียบร้อยแล้วไม่ว่าจะเป็น Threat Prevention, Traps, WildFire, Anti-malware และ AutoFocus

รายละเอียดเต็มๆ สามารถอ่านได้ที่นี่ครับ http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

ที่มา: http://www.networkworld.com/article/3030700/security/t9000-skype-backdoor-malware-steals-audio-video-chats-screenshots-documents.html#tk.rss_all , http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เข้าซื้อกิจการ Mover บริการย้ายข้อมูลจาก Cloud Storage อื่นมายัง OneDrive

Microsoft ได้ออกมาประกาศเข้าซื้อกิจการของ Mover ผู้พัฒนาโซลูชันด้านการย้ายข้อมูลจาก Cloud Storage อื่นๆ มายัง OneDrive เพื่อให้ผู้ใช้งาน Microsoft 365 สามารถย้ายข้อมูลเดิมที่เคยใช้งานมาได้ง่ายขึ้น

บริหารจัดการการตั้งค่า Wireless LAN อย่างชาญฉลาดด้วย AI จาก Aruba AirMatch

เมื่อการใช้งานระบบ Wireless LAN ได้กลายมาเป็นการเชื่อมต่อพื้นฐานของแทบทุกอุปกรณ์ในปัจจุบัน การปรับแต่งระบบเครือข่ายไร้สายให้มีประสิทธิภาพสูงสุดเหมาะสมกับการทำงานนั้นก็กลายเป็นเรื่องยากด้วยปัจจัยที่ต้องประเมินนั้นเยอะขึ้นและเปลี่ยนแปลงอยู่ตลอด Aruba ต้องการพัฒนาเทคโนโลยีขึ้นมาช่วยให้ผู้ดูแลระบบ IT สามารถดูแลรักษาระบบเครือข่ายได้ง่ายขึ้น จึงได้พัฒนา AirMatch ซึ่งนำเอา AI มาใช้ในการทำ Wi-Fi RF Management โดยอัตโนมัติขึ้นมาเป็นตัวช่วยนั่นเอง