Black Hat Asia 2023
Black Hat Asia 2023

RansomWhere? เครื่องมือตรวจจับ Ransomware แรกสำหรับ Mac OS X

April 21, 2016 Apple, Cloud and Systems, Endpoint Security, IT Knowledge, IT Tools, Products, Security

Ransomware หรือมัลแวร์เรียกค่าไถ่นับว่าเป็นภัยคุกคามอันร้ายกาจในปัจจุบัน Vendor ทางด้าน Security พยายามพัฒนาเครื่องมือสำหรับปลดรหัสไฟล์โดยที่ไม่ต้องจ่ายค่าไถ่ หรือที่เรียกว่า Decrypter บางราย เช่น Bitdefender ก็ได้พัฒนา Anti-ransomware สำหรับป้องกันการโจมตี ซึ่งก็ได้ผลดีระดับหนึ่ง แต่เครื่องมือเหล่านี้รองรับเฉพาะระบบปฏิบัติการ Windows เท่านั้น แล้วเครื่องมือสนับสนุน Mac OS X ล่ะ ?

Ransomware เริ่มจู่โจม Mac OS X

Mac OS X เริ่มตกเป็นเป้าหมายของ Ransomware หลังจากที่ Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ชื่อดังออกมาเปิดเผยถึง Ransomware ตัวแรกบน Mac ที่ชื่อว่า KeRanger เมื่อปลายเดือนที่ผ่านมา คำถามคือ แล้วเราจะป้องกัน Mac OS X จากมัลแวร์นี้ได้อย่างไร

RansomWhere? เครื่องมือตรวจจับสำหรับ OS X โดยเฉพาะ

Patrick Wardle หัวหน้าทีมวิจัยของ Synack และแฮ็คเกอร์ OS X ได้ออกมาเปิดตัวเครื่องมือสำหรับตรวจจับ Ransomware ตัวแรกของ Mac OS X เรียกว่า RansomWhere? ซึ่งจะคอยเฝ้าระวัง Home Directories จาก Process แปลกปลอมที่จะเข้ารหัสไฟล์ข้อมูล ถ้า RansomWhere? ทำการบล็อก Process มันจะแจ้งเตือนไปยังผู้ใช้เพื่อให้ตัดสินใจว่า จะยอมให้ Process ทำงานหรือให้ทำลาย Process ดังกล่าวทิ้งไป

ransomwhere_1

“ผมรู้ดีว่าวิธีการในปัจจุบันนั้นไม่ได้ผล โปรแกรม Antivirus ยังมีข้อบกพร่องอยู่ KeRanger ถูกเซ็นโดย Developer Certificate อย่างถูกต้อง ส่งผลให้สามารถทะลุผ่าน Gatekeeper Protection ของ Mac OS X ได้ คุณจำเป็นต้องคิดนอกกรอบ และใช้วิธีที่ไม่เฉพาะเจาะจงเกินไป” — Wardle ระบุ

ตรวจจับ Ransomware จากพฤติกรรม

หลักการทำงานของ RansomWhere? คือ การตรวจจับมัลแวร์จากพฤติกรรม โดยมีหลักการตรวจสอบหลายประการ เช่น เริ่มต้นจากการตรวจสอบความน่าเชื่อถือของ Process ถ้า Process ถูกเซ็นโดย Apple หรือ Developer ที่ได้รับการยืนยัน ก็จะเชื่อถือได้ ถ้าไม่ ก็จะทำการเฝ้าระวัง เมื่อไหร่ก็ตามที่ไฟล์ใหม่ที่ถูกสร้างขึ้นหรือเปลี่ยนแปลงแก้ไข ถูกเข้ารหัส RansomWhere? จะทำการหยุด Process นั้นแล้วแจ้งเตือนไปยังผู้ใช้เพื่อให้ทำการยืนยัน

ransomwhere_2

ยังคงมีข้อจำกัด แต่จะพัฒนาต่อไป

Wardle ทราบดีว่าเครื่องมือเวอร์ชัน 1.0 ของเขายังคงมีข้อจำกัด ซึ่งอาจถูก Bypass ได้ รวมไปถึงการตรวจจับและหยุดยั้ง Ransomware จะทำได้ก็ต่อเมื่อหลังบางไฟล์ถูกเข้ารหัสไปเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Wardle ระบุว่าเขาจะพัฒนา RansomWhere? ต่อไป ให้สามารถเฝ้าระวังทุกไฟล์บน OS X จนไปถึงระดับ Kernel เลยทีเดียว

อ่านรายละเอียดเชิงเทคนิคของ RansomWhere? ได้ที่ https://objective-see.com/blog/blog_0x0F.html
ดาวน์โหลดโปรแกรม RansomWhere? มาลองใช้ได้ที่ https://objective-see.com/products/ransomwhere.html

ที่มา: https://threatpost.com/generic-ransomware-detection-comes-to-os-x/117534/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ระบบการจัดการบน EnGenius Fit…เลือกแบบไหนดี [Guest Post]

EnGenius Fit โซลูชันที่มาพร้อมระบบการจัดการอุปกรณ์แบบใหม่

Salesforce เปิดตัว Einstein GPT

พลังของเทคโนโลยี OpenAI กับ CRM ด้วย Einstein GPT ลูกค้าของ Salesforce สามารถเชื่อมต่อข้อมูลนั้นกับโมเดล AI ขั้นสูงของ OpenAI ได้ทันที  

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand