Sophos เผยวิธีการหลีกเลี่ยงการตรวจจับของแรนซัมแวร์ WastedLocker โดยใช้ฟีเจอร์ปกติใน Windows

Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว

WastedLocker คือแรนซัมแวร์ตัวหนึ่ง ซึ่งล่าสุดก็ถูกใช้ในเหตุการณ์โจมตี Garmin จนให้บริการไม่ได้ไปหลายวันเช่นกัน วันนี้มีการเปิดเผยรายละเอียดจาก Sophos ว่ามัลแวร์ตัวนี้สามารถหลบเลี่ยงการตรวจจับได้อย่างไร

ก่อนจะเข้าใจวิธีการโจมตีเราต้องทราบถึงกลยุทธ์ที่โซลูชันฝั่งป้องกันทำเสียก่อน ไอเดียก็คือโซลูชันป้องกันแรนซัมแวร์จะไปติดตามการเรียก System Call ที่เกี่ยวกับ File Operation ก็คือหากมีโปรเซสที่ไม่รู้จักเรียกเปิด เขียนและปิดไฟล์จำนวนมาก ตัวป้องกันก็จะทำการปิดโปรเซสนั้น นั่นหมายความว่าเราอาจจะสูญเสียไฟล์ไปบางส่วนก่อนที่การป้องกันจะทำงาน แต่ก็ดีกว่าถูกโจมตีทั้งเครื่อง

อย่างไรก็ดีเพื่อเพิ่มประสิทธิภาพใน Windows จะมีการใช้งาน Cache Manager ซึ่งคอนเซปต์ก็ทั่วไปคือการเขียน อ่าน จากหน่วยความจำทำได้เร็วกว่าจากดิสก์ ด้วยเหตุนี้เองทางแทนที่ WastedLocker จะไปจัดการไฟล์โดยตรง ก็เลยเข้าไปเข้ารหัสไฟล์ในแคชแทน ซึ่งเมื่อมีการอัปเดตจำนวนมากระบบ Cache Manager ซึ่งมีสิทธิ์ระดับ SYSTEM ก็จะไปเขียนไฟล์ที่ถูกเข้ารหัสทับไฟล์กลับในระบบ (อัปเดตจาก Cache ไปยังดิสก์นั่นเอง) ทั้งนี้ด้วยสิทธิ์ที่ถูกต้องทางฝั่งการป้องกันเลยปล่อยผ่านการเรียก System Call นี้ไปนั่นเอง

หากใครต้องการศึกษาในเชิงลึกสามารถติดตามเพิ่มเติมได้จากบล็อกของ Sophos ครับ 

ที่มา :  https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้