Microsoft เตือนมัลแวร์ ‘Dexphot’ มีเหยื่อแล้วถึง 8 หมื่นราย

Dexphot เป็นมัลแวร์ที่หวังผลลัพธ์โดยการเข้าไปขุดเหมืองที่แม้อาจไม่ได้เป็นกระแสนัก แต่วันนี้ผู้เชี่ยวชาญจาก Microsoft ได้ออกมาเตือนถึงจำนวนเหยื่อกว่า 80,000 ราย นอกจากนี้ยังขนเทคนิคที่น่าสนใจมาเพียบ เช่น Living off the land, Fileless และ polymorphic เป็นต้น

credit : microsoft

Dexphot ได้เริ่มต้นปฏิบัติการมาตั้งแต่ราวตุลาคมปีที่แล้ว โดยจำนวนเหยื่อสูงสุดอยู่ที่ 80,000 รายในเดือนมิถุนายนของปี 2019 ก่อนที่ Microsoft จะหาวิธีหยุดยั้งการโจมตีได้และค่อยๆ ลดลง แต่ที่น่าสนใจคือมัลแวร์ตัวนี้ได้ใช้เทคนิคซับซ้อนมากมายเลยทีเดียวดังนี้

  • เป็นมัลแวร์ที่ถูกติดตั้งจากการติดมัลแวร์ตัวอื่นเข้ามาก่อนหรือที่เรียกว่า  Second-stage Payload ซึ่งในที่นี้มัลแวร์ตัวแรกคือ ICLoader โดยเหยื่อไปดาวน์โหลดซอฟต์แวร์เถื่อนเข้ามาจึงได้รับของแถมสุดพิเศษที่ซ่อนอยู่
  • ตัวติดตั้งของ Dexphot ที่ได้จาก ICLoader คือส่วนเดียวที่ถูกเขียนลงดิสก์และเป็นระยะสั้นเท่านั้น หลังจากนั้น Dexphot จะปฏิบัติการในหน่วยความจำอย่างเดียว (Fileless) 
  • ใช้โปรเซสของ Windows ปกติในระบบในทางไม่ดี เช่น msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe และ powershell.exe 
  • ปรับเปลี่ยนตัวเองสม่ำเสมอเพื่อหนีการตรวจจับ (polymorphism) เช่น แก้ไขชื่อไฟล์และ URL ทุก 20-30 นาที 
  • มีกระบวนการฝังตัวได้ยาวนานโดยการทำ Process Hollowing กับ svchost.exe และ nslookup.exe เพื่อลอบรันโค้ด ซึ่งแก้ไขได้เพียงตัวเดียวก็ยังกลับมาได้อีก นอกจากนี้ยังมีการทำ Schedule เพื่อสามารถกลับมาติดเหยื่อได้แบบ Fileless ทุกครั้งที่ Reboot ระหว่าง 90-110 นาที ซึ่งสามารถรับคำสั่งมาเปลี่ยนแปลงได้เรื่อยๆ อีก

จะเห็นได้ว่า Dexphot เป็นมัลแวร์ที่ดูคาดหวังผลธรรมดาแต่ใช้เทคนิคซับซ้อนระดับสูงซึ่งเมื่อก่อนจะพบแค่ในกลุ่มแฮ็กเกอร์ระดับรัฐแต่ปัจจุบันมีการประยุกต์ใช้กับมัลแวร์ทั่วไปมากขึ้นเรื่อยๆ ดังนั้นผู้ใช้งานจึงควรอัปเดตโซลูชันการป้องกันต่างๆ อย่างสม่ำเสมอครับ ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-says-new-dexphot-malware-infected-more-than-80000-computers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel เปิดตัว Horse Ridge Cryogenic Control Chip สำหรับช่วยพัฒนา Quantum Computer

ในช่วงปลายปี 2019 นี้ข่าวคราวด้าน Quantum Computer เองก็ถือว่าน่าติดตามไม่น้อย และทาง Intel เองก็เริ่มมีการพัฒนาเทคโนโลยีสำหรับตอบรับต่อแนวโน้มด้านนี้ออกมาเรื่อยๆ โดยหนึ่งในประกาศล่าสุดนี้ก็คือการเปิดตัว Horse Ridge ระบบ Cryogenic Control Chip สำหรับทำหน้าที่เป็นส่วนประกอบสำคัญภายในระบบ Quantum Computer เพื่อช่วยให้การพัฒนาศาสตร์ด้าน Quantum Computer นี้เป็นไปได้อย่างรวดเร็วนั่นเอง

สรุปงาน Veritas Tech Symposium 2019 : บริหารจัดการความซับซ้อนของข้อมูลด้วย Veritas Enterprise Data Service Platform (A P I)

การก้าวกระโดดของเทคโนโลยีถือเป็นเรื่องดีกับโลก เพียงแต่สิ่งเบื้องหลังที่อยู่เบื้องหลังและเป็นภาระขององค์กรตามมาก็คือทำอย่างไรจึงจะสามารถจัดการข้อมูลที่เกิดขึ้นด้วยเทคโนโลยีจำนวนมากและซับซ้อนเหล่านั้นได้อย่างมีประสิทธิภาพ ทั้งในแง่ของการปกป้องข้อมูลสำคัญให้รอดพ้นจากภัยคุกคามหรือในภาวะภัยพิบัติ รวมถึงกฏหมายคุ้มครองความเป็นส่วนตัวที่ถือกำเนิดขึ้น เช่น GDPR หรือ PDPA ของไทยเอง ด้วยเหตุนี้เอง Veritas จึงจัดงานใหญ่ประจำปีขึ้นภายใต้ชื่อ “Veritas Tech Symposium …