นักวิจัยเผยวิธีการใหม่ ‘Trojan Source’ เสริมศักยภาพการทำ Supply Chain Attack

Ross Anderson และ Nicholas Boucher นักวิจัยจากมหาวิทยาลัย Cambridge ได้ตีพิมพ์งานวิจัยเผยถึงวิธีการใหม่ที่สามารถช่วยให้คนร้ายสร้างช่องโหว่ในโค้ดอย่างตรวจจับได้ยาก

ไอเดียของวิธีการโจมตีแบบใหม่นี้เป็นการช่วยให้คนร้ายหรือมัลแวร์สามารถแก้ไขโค้ด โดยการใช้ Unicode ซึ่งคอมไพเลอร์ส่วนใหญ่สามารถแปลความและทำงานได้อยู่แล้ว เพียงแต่มนุษย์จะเข้าใจหรือตรวจจับได้ยากเมื่อลอจิกเปลี่ยนไปหรือมีตัวอักษรคล้ายๆกัน แต่อันที่จริงแล้ว Unicode แตกต่างกัน ด้วยเหตุนี้เองจึงอาจเป็นอันตรายต่อซอฟต์แวร์โอเพ่นซอร์สทั้งหลาย หรืออาจนำไปใช้ในการโจมตี Supply Chain Attack ได้

credit : hackread

2 วิธีการที่ผู้เชี่ยวชาญพูดถึงคือ

CVE-2021-42574 (Bidi Override) – เป็นการใช้ Unicode Control เพื่อเปลี่ยนแปลงทิศทางการทำงาน เช่น LRE (Left-to-Right) และ RLE (Right-to-left) ซึ่งมนุษย์จะมองไม่เห็นอักขระ LRI/RLI พวกนี้แต่คอมไพเลอร์ยังทำงานได้เพราะยังคงถูกหลักการภาษา ดูความแตกต่างได้ตามภาพประกอบ 

credit : BleepingComputer

CVE-2021-42694 (homoglyph attack) – อักขระบางตัวหน้าตาคล้ายกันจนแยกไม่ออกด้วยตาของเรา แต่อันที่จริงคอมไฟล์เลอร์เข้าใจได้ว่านี่คือ 0 หรือ O หรือเป็นภาษาลาติน (ภาพประกอบ)

credit : BleepingComputer

สำหรับ 3 เทคนิคที่นักวิจัยค้นพบกับการปรับเปลี่ยนลำดับโค้ดมีดังนี้

  • Early Return – ซ่อนการ ‘return’ ไว้ในคอมเม้นต์
  • Comment Out – แอบเก็บโค้ดสำคัญไว้ในคอมเม้นต์
  • Stretched Strings – กลับลำดับของโค้ด

โดยประเด็นคือวิธีการเหล่านี้สามารถได้ผลกับภาษาโปรแกรมเกือบทั้งหมด รวมถึง Code Editor หรือ Web-based Repository มากมายยังรองรับการใช้ Unicode เหล่านี้ด้วย นั่นหมายความว่าการทำงานในเครื่องมือเหล่านั้นจะสังเกตได้ยากมาก แต่วิธีการป้องกันก็เพียงปิดการรองรับอักขระพิเศษเหล่านี้ ปัจจุบันผู้เชี่ยวชาญได้สำรวจโปรเจ็คโอเพ่นซอร์สต่างๆ และแจ้งเตือนผู้ดูแลไปแล้วจำนวนมาก หากต้องการเจาะลึกรายละเอียดแบบเต็มๆสามารถเข้าไปศึกษากันได้ที่ https://github.com/nickboucher/trojan-source 

ที่มา : https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/ และ https://www.hackread.com/trojan-source-attack-hackers-exploit-source-code/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …