Breaking News

Microsoft เตือนมัลแวร์ ‘Dexphot’ มีเหยื่อแล้วถึง 8 หมื่นราย

Dexphot เป็นมัลแวร์ที่หวังผลลัพธ์โดยการเข้าไปขุดเหมืองที่แม้อาจไม่ได้เป็นกระแสนัก แต่วันนี้ผู้เชี่ยวชาญจาก Microsoft ได้ออกมาเตือนถึงจำนวนเหยื่อกว่า 80,000 ราย นอกจากนี้ยังขนเทคนิคที่น่าสนใจมาเพียบ เช่น Living off the land, Fileless และ polymorphic เป็นต้น

credit : microsoft

Dexphot ได้เริ่มต้นปฏิบัติการมาตั้งแต่ราวตุลาคมปีที่แล้ว โดยจำนวนเหยื่อสูงสุดอยู่ที่ 80,000 รายในเดือนมิถุนายนของปี 2019 ก่อนที่ Microsoft จะหาวิธีหยุดยั้งการโจมตีได้และค่อยๆ ลดลง แต่ที่น่าสนใจคือมัลแวร์ตัวนี้ได้ใช้เทคนิคซับซ้อนมากมายเลยทีเดียวดังนี้

  • เป็นมัลแวร์ที่ถูกติดตั้งจากการติดมัลแวร์ตัวอื่นเข้ามาก่อนหรือที่เรียกว่า  Second-stage Payload ซึ่งในที่นี้มัลแวร์ตัวแรกคือ ICLoader โดยเหยื่อไปดาวน์โหลดซอฟต์แวร์เถื่อนเข้ามาจึงได้รับของแถมสุดพิเศษที่ซ่อนอยู่
  • ตัวติดตั้งของ Dexphot ที่ได้จาก ICLoader คือส่วนเดียวที่ถูกเขียนลงดิสก์และเป็นระยะสั้นเท่านั้น หลังจากนั้น Dexphot จะปฏิบัติการในหน่วยความจำอย่างเดียว (Fileless) 
  • ใช้โปรเซสของ Windows ปกติในระบบในทางไม่ดี เช่น msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe และ powershell.exe 
  • ปรับเปลี่ยนตัวเองสม่ำเสมอเพื่อหนีการตรวจจับ (polymorphism) เช่น แก้ไขชื่อไฟล์และ URL ทุก 20-30 นาที 
  • มีกระบวนการฝังตัวได้ยาวนานโดยการทำ Process Hollowing กับ svchost.exe และ nslookup.exe เพื่อลอบรันโค้ด ซึ่งแก้ไขได้เพียงตัวเดียวก็ยังกลับมาได้อีก นอกจากนี้ยังมีการทำ Schedule เพื่อสามารถกลับมาติดเหยื่อได้แบบ Fileless ทุกครั้งที่ Reboot ระหว่าง 90-110 นาที ซึ่งสามารถรับคำสั่งมาเปลี่ยนแปลงได้เรื่อยๆ อีก

จะเห็นได้ว่า Dexphot เป็นมัลแวร์ที่ดูคาดหวังผลธรรมดาแต่ใช้เทคนิคซับซ้อนระดับสูงซึ่งเมื่อก่อนจะพบแค่ในกลุ่มแฮ็กเกอร์ระดับรัฐแต่ปัจจุบันมีการประยุกต์ใช้กับมัลแวร์ทั่วไปมากขึ้นเรื่อยๆ ดังนั้นผู้ใช้งานจึงควรอัปเดตโซลูชันการป้องกันต่างๆ อย่างสม่ำเสมอครับ ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-says-new-dexphot-malware-infected-more-than-80000-computers/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ