‘MnuBot’ Banking Trojan ที่ใช้เซิร์ฟเวอร์ MSSQL เป็น C&C

ทีมงานด้านความมั่นคงปลอดภัยของ IBM ได้ค้นพบ Banking Trojan ที่ชื่อว่า MnuBot และ เขียนด้วย Delphi ที่ใช้เทคนิคซับซ้อน โดยใช้การเชื่อมต่อและรับคำสั่งผ่านทาง Microsoft SQL จากภายนอกเพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันทั่วไป

Credit: ShutterStock.com

จากรายงานพบว่าพฤติกรรมของมัลแวร์ตัวนี้คือมีการฝัง Credentials ที่เข้ารหัสไว้เพื่อใช้เชื่อมต่อไปยัง C&C เซิร์ฟเวอร์ที่เป็นฐานข้อมูล MSSQL เพื่อเรียกคำสั่งใหม่และสั่งการตัวเอง โดยนักวิจัยคาดว่าผู้คิดค้นกรรมวิธีนี้ต้องการเลี่ยงการตรวจจับป้องกันโดยทำเป็นเหมือนทราฟฟิคปกติใช้งานฐานข้อมูลทั่วไป นอกจากนี้ยังมีข้อดีอื่นๆ คือเนื่องจากมัลแวร์ได้รับไฟล์ตั้งค่าจากเซิร์ฟเวอร์ SQL ธรรมดาปกติซึ่งไม่ต้องฝังข้อมูลมาก่อน ดังนั้นเจ้าของมัลแวร์จะเริ่มการปฏิบัติการเมื่อใดก็ได้ มากกว่านั้นถ้ารู้สึกว่าถูกแกะรอยอยู่ก็สามารถปิดเซิร์ฟเวอร์ทิ้งทำให้มัลแวร์ไม่เงียบไปโดยสิ้นเชิงและฝ่ายป้องกันก็ไม่สามารถทำ Reverse Engineer เพื่อศึกษาการโจมตีได้

การศึกษายังพบว่ามัลแวร์ถูกออกแบบ Modular คือ ประกอบด้วย 2 ส่วน

  • ส่วนแรกเพื่อเช็คว่าเจ้าของเครื่องติดมัลแวร์หรือยังโดยเช็คจากไฟล์ชื่อ Desk.txt ในโฟลเดอร์ AppData Roaming หากยังไม่เคยติดมัลแวร์มาก่อนจะเข้าไปสร้างไฟล์ชื่อนี้และเปิดสภาพแวดล้อมของหน้าจอผู้ใช้ใหม่ซึ่งจะไม่เห็นการปฏิบัติการของมัลแวร์ที่ซ่อนอยู่ โดยไฟล์นี้เองจะเอาไว้เก็บข้อมูลของหน้าจอที่ซ่อนอยู่และส่วนประกอบที่สองจะทราบตรงกันที่จุดนี้ด้วย
  • ส่วนที่สองจะเข้าสู่โหมด Remote Access Trojan อย่างเป็นทางการและเชื่อมต่อกับฐานข้อมูล MSSQL โดยมีความสามารถดังนี้

1. รับไฟล์ตั้งค่าเวอร์ชันล่าสุด

2. Execute คำสั่งจากไฟล์ตั้งค่าที่ได้มา

3. ทำการดักจับคีย์

4. ปลอมแปลงการคลิกของผู้ใช้งาน

5. ปลอมแปลงอินพุตน์จากคีย์บอร์ดของผู้ใช้

6. เก็บภาพของหน้าจอและบราวน์เซอร์

7. รีสตาร์ทเครื่อง

8. ยกเลิกการติดตั้งแอปพลิเคชัน

9. สร้างการวางทับหน้า Portal ของแบงก์จริง (ลิสต์รายชื่อของธุรกรรมการเงินที่สนใจและการวางทับการแสดงผลได้รับมาจากการอัปเดตไฟล์ตั้งค่า)

อย่างไรก็ตาม MnuBot สร้างความประหลาดใจให้ทีมงานของ IBM ไม่น้อยเพราะปกติแล้ว Trojan ที่เขียนด้วย Delphi จะไม่ปรากฏความซับซ้อนมากเท่านี้ อีกทั้งยังมีการซ่อนตัวผ่านการใช้งานที่ดูเหมือนปกติอีกด้วย ซึ่งคาดว่าผู้สร้าง Trojan มีประสบการณ์ความเชี่ยวชาญสูงมาก แต่เคราะห์ยังดีที่การโจมตียังอยู่ในแถบบราซิลเท่านั้น

ที่มา : https://www.bleepingcomputer.com/news/security/mnubot-banking-trojan-tries-to-hide-behind-seemingly-innocent-mssql-traffic/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] “ดีลอยท์” เผยผลสำรวจภาคธุรกิจไทยกับการเตรียมพร้อมรับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

72% ของผู้ตอบแบบสอบถามได้เริ่มดำเนินการ หรือดำเนินการเตรียมความพร้อมรับพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล (PDPA) แล้ว กลุ่มธุรกิจบริการทางการเงิน และชีววิทยาศาสตร์และการดูแลสุขภาพ ปฏิบัติตามพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล เป็นอันดับต้นๆ ความกลัวว่าจะถูกปรับหรือถูกฟ้องร้อง โอกาสที่จะเกิดความเสียหายต่อชื่อเสียง และการสร้างความเชื่อมั่นของลูกค้าให้ดียิ่งขึ้นเป็นสามปัจจัยหลักที่ผลักดันให้ดำเนินธุรกิจตามพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล (PDPA) เพียง 29% …

เสริมแกร่งโหมดป้องกันภัยข้อมูลให้ทุกบริการด้านซอฟต์แวร์ ด้วย Veritas NetBackup SaaS Protection ตอบโจทย์ทุกคอมไพลแอนซ์ในการปกป้องสำรองและกู้คืนข้อมูลจากการใช้งาน Software as a Service

ปัจจุบัน บริการใช้งานด้านซอฟต์แวร์แบบ Software as a Service (SaaS) เป็นที่ยอมรับมากขึ้นไม่ว่าจะโดยรูปแบบใช้งานแบบ On-prem ในองค์กรหรือบนคลาวด์ ตัวอย่างเช่น บริการออฟฟิศ 365 ไมโครซอฟท์ แชร์พอยต์ เป็นต้น ข้อดีก็คือ องค์กรไม่ต้องแบกภาระซ่อมบำรุงซอฟต์แวร์โดยถือเป็นหน้าที่ของผู้ให้บริการ การจ่ายค่าบริการแบบสมัครใช้งาน (Subscription) ที่ยืดหยุ่นต่อองค์กรในการปรับปรุงงบประมาณให้เหมาะกับลักษณะงานและจำนวนผู้ใช้ รวมถึงการเชื่อมโยงการทำงานจากทุกส่วนงานภายใต้มาตรฐานซอฟต์แวร์แบบเดียวกันในทุกที่ทั่วโลก (Remote Working)