Sandworm ช่องโหว่น้องใหม่ล่าสุดบน Windows

ไม่กี่วันนี้ หลายคนคงได้ยินชื่อมัลแวร์ตัวใหม่ล่าสุดที่เพิ่งถูกค้นพบถัดจาก Heartbleed และ Shellshock กันมาบ้างแล้ว หรือก็คือ “Sandworm” นั่นเอง บทความนี้ ทีมงาน TechTalkThai ขอสรุปให้ฟังคร่าวๆนะครับว่า มันคืออะไร ส่งผลกระทบต่อคอมพิวเตอร์อย่างไร ใครบ้างที่ได้รับผลกระทบ และวิธีรับมือนะครับ

Sandworm เกิดมาได้อย่างไร ?

Sandworm ถูกค้นพบเมื่อต้นเดือนกันยายนโดย iSight Partners กลุ่มนักวิจัยที่ติดตามความเคลื่อนไหวของแฮ็คเกอร์ในประเทศรัสเซีย โดยลือกันว่า Sandworm เป็นการจารกรรมบนโลกไซเบอร์ที่ถูกคิดค้นโดยชาวรัสเซียและมีเป้าหมายที่ NATO, EU, รัฐบาลยูเครน, รัฐบาลโปแลนด์ และ Telco รวมทั้งหน่วยงานด้านพลังงาน โดยใช้ช่องโหว่ของระบบปฏิบัติการ Windows คือ CVE-2014-4114 ถือว่าเป็นการโจมตีประเภท Zero-day เนื่องจาก Microsoft เพิ่งประกาศอัพเดทแพทช์เพื่ออุดช่องโหว่ดังกล่าวใน October 2014 Patch Tuesday ไม่กี่วันที่ผ่านมา

* ชื่อว่า Sandworm แต่ในเชิงของมัลแวร์แล้วมันเป็นช่องโหว่ไม่ใช่ Worm นะแจร๊ะ

Sandworm เข้ามาผ่านช่องทางไหน ?

มัลแวร์ช่องโหว่นี้เกาะติดมากับไฟล์ Powerpoint ที่อ้างถึงไฟล์ .INF (ไฟล์ข้อมูลพิเศษที่ใช้สำหรับตั้งค่าซอฟต์แวร์ ที่คุ้นตาคือ AUTORUN.INF นั่นเอง) ซึ่งทำหน้าที่ช่วยติดตั้งและตั้งค่าต่างๆ เช่น คัดลอกไฟล์ที่ต้องการติดตั้งไปยังตำแหน่งเป้าหมาย, เปลี่ยนชื่อ และตั้งค่า Registry ซึ่งก็เพียงพอแล้วสำหรับใช้ติดตั้งมัลแวร์บนคอมพิวเตอร์เป้าหมาย

Sandworm ทำงานอย่างไร ?

ในการโจมตีของ Sandworm นั้น เริ่มต้นโดยไฟล์ Powerpoint ที่ติดมัลแวร์จะอ้างถึงไฟล์ INF แบบรีโมทโดยใช้ UNC Path (เช่น \\SERVER\SHARE\FILE.TXT) ซึ่งปกติแล้ว เพื่อความปลอดภัย Windows ควรจะบล็อกแอพพลิเคชันจำพวก Powerpoint ในการเข้าถึง และรันไฟล์ด้วยวิธีการดังกล่าว แต่ด้วยช่องโหว่ Sandworm ทำให้แฮ็คเกอร์สามารถใช้วิธีนี้ในการเข้าถึงไฟล์ที่ต้องการได้

ไฟล์ที่เข้าถึงประกอบด้วย 2 ไฟล์ คือ slides.inf และ slide1.gif ซึ่งดูเหมือนเป็นส่วนประกอบทั่วไปของไฟล์ Powerpoint ดูไม่น่ามีอันตรายใดๆ แต่ที่จริงแล้ว slide1.gif เป็นไฟล์ exe และไฟล์ slides.inf เป็นไฟล์สำหรับตั้งค่าซอฟต์แวร์โดยจะเปลี่ยนชื่อของ slide1.gif ไปเป็น slide.gif.exe และเปลี่ยนค่า Registry ให้รันไฟล์ดังกล่าวในการล็อกอินครั้งถัดไป

โดยสรุปแล้ว ถึงช่องโหว่ Sandworm จะไม่ได้ทำให้แฮ็คเกอร์สามารถรันมัลแวร์ได้โดยตรง แต่ด้วยการรวมกันระหว่าง Powerpoint-INF-GIF ก็ช่วยให้แฮ็คเกอร์สามารถฝังมัลแวร์และรันมันในภายหลังได้

แพลทฟอร์มที่ได้รับผลกระทบ

ระบบปฏิบัติการตั้งแต่ Windows Vista SP2, Windows 7 ไปจนถึง Windows 8.1 ทุกเวอร์ชัน (XP ไม่ได้รับผลกระทบ) รวมทั้ง Windows Server 2008 และ 2012

รับมืออย่างไร ?

เมื่อวันอังคารที่ผ่านมา (14 ตุลาคม) Microsoft ได้ออกแพทช์อัพเดท MS14-060 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อย และสำหรับผู้ที่ใช้งานผลิตภัณฑ์ของ Sophos อยู่นั้น สามารถตรวจจับและป้องกันไฟล์ Sandworm Powerpoint และ slide1.gif ได้แล้วโดยการอัพเดทฐานข้อมูลภัยคุกคามล่าสุด (Troj/20144114-A และ Mal/Generic-S ตามลำดับ)

ที่มา:

• http://www.isightpartners.com/2014/10/cve-2014-4114/
• http://nakedsecurity.sophos.com/2014/10/15/the-sandworm-malware-what-you-need-to-know/
• https://technet.microsoft.com/library/security/ms14-060