‘MnuBot’ Banking Trojan ที่ใช้เซิร์ฟเวอร์ MSSQL เป็น C&C

ทีมงานด้านความมั่นคงปลอดภัยของ IBM ได้ค้นพบ Banking Trojan ที่ชื่อว่า MnuBot และ เขียนด้วย Delphi ที่ใช้เทคนิคซับซ้อน โดยใช้การเชื่อมต่อและรับคำสั่งผ่านทาง Microsoft SQL จากภายนอกเพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันทั่วไป

Credit: ShutterStock.com

จากรายงานพบว่าพฤติกรรมของมัลแวร์ตัวนี้คือมีการฝัง Credentials ที่เข้ารหัสไว้เพื่อใช้เชื่อมต่อไปยัง C&C เซิร์ฟเวอร์ที่เป็นฐานข้อมูล MSSQL เพื่อเรียกคำสั่งใหม่และสั่งการตัวเอง โดยนักวิจัยคาดว่าผู้คิดค้นกรรมวิธีนี้ต้องการเลี่ยงการตรวจจับป้องกันโดยทำเป็นเหมือนทราฟฟิคปกติใช้งานฐานข้อมูลทั่วไป นอกจากนี้ยังมีข้อดีอื่นๆ คือเนื่องจากมัลแวร์ได้รับไฟล์ตั้งค่าจากเซิร์ฟเวอร์ SQL ธรรมดาปกติซึ่งไม่ต้องฝังข้อมูลมาก่อน ดังนั้นเจ้าของมัลแวร์จะเริ่มการปฏิบัติการเมื่อใดก็ได้ มากกว่านั้นถ้ารู้สึกว่าถูกแกะรอยอยู่ก็สามารถปิดเซิร์ฟเวอร์ทิ้งทำให้มัลแวร์ไม่เงียบไปโดยสิ้นเชิงและฝ่ายป้องกันก็ไม่สามารถทำ Reverse Engineer เพื่อศึกษาการโจมตีได้

การศึกษายังพบว่ามัลแวร์ถูกออกแบบ Modular คือ ประกอบด้วย 2 ส่วน

  • ส่วนแรกเพื่อเช็คว่าเจ้าของเครื่องติดมัลแวร์หรือยังโดยเช็คจากไฟล์ชื่อ Desk.txt ในโฟลเดอร์ AppData Roaming หากยังไม่เคยติดมัลแวร์มาก่อนจะเข้าไปสร้างไฟล์ชื่อนี้และเปิดสภาพแวดล้อมของหน้าจอผู้ใช้ใหม่ซึ่งจะไม่เห็นการปฏิบัติการของมัลแวร์ที่ซ่อนอยู่ โดยไฟล์นี้เองจะเอาไว้เก็บข้อมูลของหน้าจอที่ซ่อนอยู่และส่วนประกอบที่สองจะทราบตรงกันที่จุดนี้ด้วย
  • ส่วนที่สองจะเข้าสู่โหมด Remote Access Trojan อย่างเป็นทางการและเชื่อมต่อกับฐานข้อมูล MSSQL โดยมีความสามารถดังนี้

1. รับไฟล์ตั้งค่าเวอร์ชันล่าสุด

2. Execute คำสั่งจากไฟล์ตั้งค่าที่ได้มา

3. ทำการดักจับคีย์

4. ปลอมแปลงการคลิกของผู้ใช้งาน

5. ปลอมแปลงอินพุตน์จากคีย์บอร์ดของผู้ใช้

6. เก็บภาพของหน้าจอและบราวน์เซอร์

7. รีสตาร์ทเครื่อง

8. ยกเลิกการติดตั้งแอปพลิเคชัน

9. สร้างการวางทับหน้า Portal ของแบงก์จริง (ลิสต์รายชื่อของธุรกรรมการเงินที่สนใจและการวางทับการแสดงผลได้รับมาจากการอัปเดตไฟล์ตั้งค่า)

อย่างไรก็ตาม MnuBot สร้างความประหลาดใจให้ทีมงานของ IBM ไม่น้อยเพราะปกติแล้ว Trojan ที่เขียนด้วย Delphi จะไม่ปรากฏความซับซ้อนมากเท่านี้ อีกทั้งยังมีการซ่อนตัวผ่านการใช้งานที่ดูเหมือนปกติอีกด้วย ซึ่งคาดว่าผู้สร้าง Trojan มีประสบการณ์ความเชี่ยวชาญสูงมาก แต่เคราะห์ยังดีที่การโจมตียังอยู่ในแถบบราซิลเท่านั้น

ที่มา : https://www.bleepingcomputer.com/news/security/mnubot-banking-trojan-tries-to-hide-behind-seemingly-innocent-mssql-traffic/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” …