CDIC 2023

นักวิจัยเผยวิธีการใหม่ ‘Trojan Source’ เสริมศักยภาพการทำ Supply Chain Attack

Ross Anderson และ Nicholas Boucher นักวิจัยจากมหาวิทยาลัย Cambridge ได้ตีพิมพ์งานวิจัยเผยถึงวิธีการใหม่ที่สามารถช่วยให้คนร้ายสร้างช่องโหว่ในโค้ดอย่างตรวจจับได้ยาก

ไอเดียของวิธีการโจมตีแบบใหม่นี้เป็นการช่วยให้คนร้ายหรือมัลแวร์สามารถแก้ไขโค้ด โดยการใช้ Unicode ซึ่งคอมไพเลอร์ส่วนใหญ่สามารถแปลความและทำงานได้อยู่แล้ว เพียงแต่มนุษย์จะเข้าใจหรือตรวจจับได้ยากเมื่อลอจิกเปลี่ยนไปหรือมีตัวอักษรคล้ายๆกัน แต่อันที่จริงแล้ว Unicode แตกต่างกัน ด้วยเหตุนี้เองจึงอาจเป็นอันตรายต่อซอฟต์แวร์โอเพ่นซอร์สทั้งหลาย หรืออาจนำไปใช้ในการโจมตี Supply Chain Attack ได้

credit : hackread

2 วิธีการที่ผู้เชี่ยวชาญพูดถึงคือ

CVE-2021-42574 (Bidi Override) – เป็นการใช้ Unicode Control เพื่อเปลี่ยนแปลงทิศทางการทำงาน เช่น LRE (Left-to-Right) และ RLE (Right-to-left) ซึ่งมนุษย์จะมองไม่เห็นอักขระ LRI/RLI พวกนี้แต่คอมไพเลอร์ยังทำงานได้เพราะยังคงถูกหลักการภาษา ดูความแตกต่างได้ตามภาพประกอบ 

credit : BleepingComputer

CVE-2021-42694 (homoglyph attack) – อักขระบางตัวหน้าตาคล้ายกันจนแยกไม่ออกด้วยตาของเรา แต่อันที่จริงคอมไฟล์เลอร์เข้าใจได้ว่านี่คือ 0 หรือ O หรือเป็นภาษาลาติน (ภาพประกอบ)

credit : BleepingComputer

สำหรับ 3 เทคนิคที่นักวิจัยค้นพบกับการปรับเปลี่ยนลำดับโค้ดมีดังนี้

  • Early Return – ซ่อนการ ‘return’ ไว้ในคอมเม้นต์
  • Comment Out – แอบเก็บโค้ดสำคัญไว้ในคอมเม้นต์
  • Stretched Strings – กลับลำดับของโค้ด

โดยประเด็นคือวิธีการเหล่านี้สามารถได้ผลกับภาษาโปรแกรมเกือบทั้งหมด รวมถึง Code Editor หรือ Web-based Repository มากมายยังรองรับการใช้ Unicode เหล่านี้ด้วย นั่นหมายความว่าการทำงานในเครื่องมือเหล่านั้นจะสังเกตได้ยากมาก แต่วิธีการป้องกันก็เพียงปิดการรองรับอักขระพิเศษเหล่านี้ ปัจจุบันผู้เชี่ยวชาญได้สำรวจโปรเจ็คโอเพ่นซอร์สต่างๆ และแจ้งเตือนผู้ดูแลไปแล้วจำนวนมาก หากต้องการเจาะลึกรายละเอียดแบบเต็มๆสามารถเข้าไปศึกษากันได้ที่ https://github.com/nickboucher/trojan-source 

ที่มา : https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/ และ https://www.hackread.com/trojan-source-attack-hackers-exploit-source-code/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sony เร่งสืบสวนการถูกแฮ็ก หลังพบแฮ็กเกอร์อ้างว่าเจาะได้ พร้อมโชว์ไฟล์ตัวอย่าง

สาเหตุของเรื่องคือมีกลุ่มคนร้ายที่ชื่อ RansomedVC ได้แอบอ้างว่าสามารถเจาะระบบของ Sony ได้ พร้อมกับเผยถึงข้อมูลบางส่วน ต่อมามีแฮ็กเกอร์อีกกลุ่มที่อ้างว่าตนนี่แหละตัวจริง พร้อมหลักฐานมากกว่า ในขณะที่ Sony ยังกำลังตรวจสอบคำกล่าวอ้างเหล่านี้อยู่

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้