Breaking News

RansomWhere? เครื่องมือตรวจจับ Ransomware แรกสำหรับ Mac OS X

Ransomware หรือมัลแวร์เรียกค่าไถ่นับว่าเป็นภัยคุกคามอันร้ายกาจในปัจจุบัน Vendor ทางด้าน Security พยายามพัฒนาเครื่องมือสำหรับปลดรหัสไฟล์โดยที่ไม่ต้องจ่ายค่าไถ่ หรือที่เรียกว่า Decrypter บางราย เช่น Bitdefender ก็ได้พัฒนา Anti-ransomware สำหรับป้องกันการโจมตี ซึ่งก็ได้ผลดีระดับหนึ่ง แต่เครื่องมือเหล่านี้รองรับเฉพาะระบบปฏิบัติการ Windows เท่านั้น แล้วเครื่องมือสนับสนุน Mac OS X ล่ะ ?

Ransomware เริ่มจู่โจม Mac OS X

Mac OS X เริ่มตกเป็นเป้าหมายของ Ransomware หลังจากที่ Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ชื่อดังออกมาเปิดเผยถึง Ransomware ตัวแรกบน Mac ที่ชื่อว่า KeRanger เมื่อปลายเดือนที่ผ่านมา คำถามคือ แล้วเราจะป้องกัน Mac OS X จากมัลแวร์นี้ได้อย่างไร

RansomWhere? เครื่องมือตรวจจับสำหรับ OS X โดยเฉพาะ

Patrick Wardle หัวหน้าทีมวิจัยของ Synack และแฮ็คเกอร์ OS X ได้ออกมาเปิดตัวเครื่องมือสำหรับตรวจจับ Ransomware ตัวแรกของ Mac OS X เรียกว่า RansomWhere? ซึ่งจะคอยเฝ้าระวัง Home Directories จาก Process แปลกปลอมที่จะเข้ารหัสไฟล์ข้อมูล ถ้า RansomWhere? ทำการบล็อก Process มันจะแจ้งเตือนไปยังผู้ใช้เพื่อให้ตัดสินใจว่า จะยอมให้ Process ทำงานหรือให้ทำลาย Process ดังกล่าวทิ้งไป

ransomwhere_1

“ผมรู้ดีว่าวิธีการในปัจจุบันนั้นไม่ได้ผล โปรแกรม Antivirus ยังมีข้อบกพร่องอยู่ KeRanger ถูกเซ็นโดย Developer Certificate อย่างถูกต้อง ส่งผลให้สามารถทะลุผ่าน Gatekeeper Protection ของ Mac OS X ได้ คุณจำเป็นต้องคิดนอกกรอบ และใช้วิธีที่ไม่เฉพาะเจาะจงเกินไป” — Wardle ระบุ

ตรวจจับ Ransomware จากพฤติกรรม

หลักการทำงานของ RansomWhere? คือ การตรวจจับมัลแวร์จากพฤติกรรม โดยมีหลักการตรวจสอบหลายประการ เช่น เริ่มต้นจากการตรวจสอบความน่าเชื่อถือของ Process ถ้า Process ถูกเซ็นโดย Apple หรือ Developer ที่ได้รับการยืนยัน ก็จะเชื่อถือได้ ถ้าไม่ ก็จะทำการเฝ้าระวัง เมื่อไหร่ก็ตามที่ไฟล์ใหม่ที่ถูกสร้างขึ้นหรือเปลี่ยนแปลงแก้ไข ถูกเข้ารหัส RansomWhere? จะทำการหยุด Process นั้นแล้วแจ้งเตือนไปยังผู้ใช้เพื่อให้ทำการยืนยัน

ransomwhere_2

ยังคงมีข้อจำกัด แต่จะพัฒนาต่อไป

Wardle ทราบดีว่าเครื่องมือเวอร์ชัน 1.0 ของเขายังคงมีข้อจำกัด ซึ่งอาจถูก Bypass ได้ รวมไปถึงการตรวจจับและหยุดยั้ง Ransomware จะทำได้ก็ต่อเมื่อหลังบางไฟล์ถูกเข้ารหัสไปเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Wardle ระบุว่าเขาจะพัฒนา RansomWhere? ต่อไป ให้สามารถเฝ้าระวังทุกไฟล์บน OS X จนไปถึงระดับ Kernel เลยทีเดียว

อ่านรายละเอียดเชิงเทคนิคของ RansomWhere? ได้ที่ https://objective-see.com/blog/blog_0x0F.html
ดาวน์โหลดโปรแกรม RansomWhere? มาลองใช้ได้ที่ https://objective-see.com/products/ransomwhere.html

ที่มา: https://threatpost.com/generic-ransomware-detection-comes-to-os-x/117534/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

หุ้น Cloudflare เริ่มถูกซื้อขายแล้ว หุ้นขึ้นทุนทีหลังจากระดมทุนได้ 15,750 ล้านบาท

หุ้นของ Cloudflare ได้ถูกซื้อขายในตลาดหลักทรัพย์แล้วอย่างเป็นทางการในตลาด New York Stock Exchange ภายใต้ชื่อ NET โดยสามารถระดมทุนไปได้แล้ว 525 ล้านเหรียญหรือราวๆ 15,750 ล้านบาท

พบช่องโหว่บนซิมมือถือ ‘Simjacker’ คาดกระทบผู้ใช้งานกว่าพันล้าน

AdaptiveMobile Security ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เปิดเผยถึงช่องโหว่บนซิมของโทรศัพท์มือถือ ‘Simjacker’ เพียงแค่ส่ง SMS ไปหาเหยื่อเพื่อใช้งาน นอกจากนี้ยังได้ยืนยันว่ามีการใช้งานจริงมาสักพักใหญ่แล้วซึ่งอาจจะเป็นบริษัทลับที่รัฐบาลสนับสนุน โดยหากประเมินถึงผู้ที่ได้รับผลกระทบน่าจะเป็นไปได้กว่าพันล้านราย