CDIC 2023

RansomWhere? เครื่องมือตรวจจับ Ransomware แรกสำหรับ Mac OS X

Ransomware หรือมัลแวร์เรียกค่าไถ่นับว่าเป็นภัยคุกคามอันร้ายกาจในปัจจุบัน Vendor ทางด้าน Security พยายามพัฒนาเครื่องมือสำหรับปลดรหัสไฟล์โดยที่ไม่ต้องจ่ายค่าไถ่ หรือที่เรียกว่า Decrypter บางราย เช่น Bitdefender ก็ได้พัฒนา Anti-ransomware สำหรับป้องกันการโจมตี ซึ่งก็ได้ผลดีระดับหนึ่ง แต่เครื่องมือเหล่านี้รองรับเฉพาะระบบปฏิบัติการ Windows เท่านั้น แล้วเครื่องมือสนับสนุน Mac OS X ล่ะ ?

Ransomware เริ่มจู่โจม Mac OS X

Mac OS X เริ่มตกเป็นเป้าหมายของ Ransomware หลังจากที่ Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ชื่อดังออกมาเปิดเผยถึง Ransomware ตัวแรกบน Mac ที่ชื่อว่า KeRanger เมื่อปลายเดือนที่ผ่านมา คำถามคือ แล้วเราจะป้องกัน Mac OS X จากมัลแวร์นี้ได้อย่างไร

RansomWhere? เครื่องมือตรวจจับสำหรับ OS X โดยเฉพาะ

Patrick Wardle หัวหน้าทีมวิจัยของ Synack และแฮ็คเกอร์ OS X ได้ออกมาเปิดตัวเครื่องมือสำหรับตรวจจับ Ransomware ตัวแรกของ Mac OS X เรียกว่า RansomWhere? ซึ่งจะคอยเฝ้าระวัง Home Directories จาก Process แปลกปลอมที่จะเข้ารหัสไฟล์ข้อมูล ถ้า RansomWhere? ทำการบล็อก Process มันจะแจ้งเตือนไปยังผู้ใช้เพื่อให้ตัดสินใจว่า จะยอมให้ Process ทำงานหรือให้ทำลาย Process ดังกล่าวทิ้งไป

ransomwhere_1

“ผมรู้ดีว่าวิธีการในปัจจุบันนั้นไม่ได้ผล โปรแกรม Antivirus ยังมีข้อบกพร่องอยู่ KeRanger ถูกเซ็นโดย Developer Certificate อย่างถูกต้อง ส่งผลให้สามารถทะลุผ่าน Gatekeeper Protection ของ Mac OS X ได้ คุณจำเป็นต้องคิดนอกกรอบ และใช้วิธีที่ไม่เฉพาะเจาะจงเกินไป” — Wardle ระบุ

ตรวจจับ Ransomware จากพฤติกรรม

หลักการทำงานของ RansomWhere? คือ การตรวจจับมัลแวร์จากพฤติกรรม โดยมีหลักการตรวจสอบหลายประการ เช่น เริ่มต้นจากการตรวจสอบความน่าเชื่อถือของ Process ถ้า Process ถูกเซ็นโดย Apple หรือ Developer ที่ได้รับการยืนยัน ก็จะเชื่อถือได้ ถ้าไม่ ก็จะทำการเฝ้าระวัง เมื่อไหร่ก็ตามที่ไฟล์ใหม่ที่ถูกสร้างขึ้นหรือเปลี่ยนแปลงแก้ไข ถูกเข้ารหัส RansomWhere? จะทำการหยุด Process นั้นแล้วแจ้งเตือนไปยังผู้ใช้เพื่อให้ทำการยืนยัน

ransomwhere_2

ยังคงมีข้อจำกัด แต่จะพัฒนาต่อไป

Wardle ทราบดีว่าเครื่องมือเวอร์ชัน 1.0 ของเขายังคงมีข้อจำกัด ซึ่งอาจถูก Bypass ได้ รวมไปถึงการตรวจจับและหยุดยั้ง Ransomware จะทำได้ก็ต่อเมื่อหลังบางไฟล์ถูกเข้ารหัสไปเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Wardle ระบุว่าเขาจะพัฒนา RansomWhere? ต่อไป ให้สามารถเฝ้าระวังทุกไฟล์บน OS X จนไปถึงระดับ Kernel เลยทีเดียว

อ่านรายละเอียดเชิงเทคนิคของ RansomWhere? ได้ที่ https://objective-see.com/blog/blog_0x0F.html
ดาวน์โหลดโปรแกรม RansomWhere? มาลองใช้ได้ที่ https://objective-see.com/products/ransomwhere.html

ที่มา: https://threatpost.com/generic-ransomware-detection-comes-to-os-x/117534/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เดลล์ เทคโนโลยีส์ เปิดตัว Dell APEX Cloud Platform for Microsoft Azure ส่งมอบนวัตกรรมไฮบริดคลาวด์สำหรับองค์กร [Guest Post]

เดลล์ เทคโนโลยีส์ ประกาศความพร้อมของ Dell APEX Cloud Platform for Microsoft ระบบเทิร์นคีย์แบบบูรณาการที่ได้รับการพัฒนาขึ้นด้วยความร่วมมือกับไมโครซอฟท์ เพื่อเสริมเพิ่มเติมประสบการณ์ Microsoft Azure ไฮบริดคลาวด์ ไปยังสภาพแวดล้อมของดาต้าเซ็นเตอร์และระบบเอดจ์ปลายทาง