Stegano Exploit Kit: ซ่อนพรางโค้ดมัลแวร์ไว้ในพิกเซลรูปภาพ

นักวิจัยจาก ESET ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดังออกมาเปิดถึงเทคนิคการซ่อนพรางข้อมูล (Steganography) รูปแบบใหม่ ที่ซ่อนโค้ดอันตรายไว้ในพิกเซลของไฟล์รูปภาพบนแบนเนอร์โฆษณา เสี่ยงถูกลอบส่งมัลแวร์หรือแม้แต่ Ransomware เข้ามาบนเครื่องของผู้ใช้ได้

ซ่อน Malicious Code ไว้ในพิกเซลของรูป PNG

การโจมตีดังกล่าวมีชื่อว่า Stegano ซึ่งตั้งชื่อตามเทคนิค Steganography เป็นภัยคุกคามประเภท Exploit Kit ที่เริ่มปรากฏให้เห็นเมื่อประมาณ 2 เดือนก่อน โดยทำการซ่อน Malicious Code ไว้ในไฟล์รูปภาพ PNG ที่ใช้เป็นแบนเนอร์สำหรับโฆษณาบนเว็บไซต์ชื่อดังทั้งหลาย

แฮ็คเกอร์อาศัยช่องโหว่ที่ว่า แบนเนอร์โฆษณาบนเว็บไซต์ส่วนใหญ่สามารถรันโค้ด JavaScript ได้ จึงได้แนบโค้ด JavaScript สำหรับใช้แปลงไฟล์รูปภาพ โดยอาศัยการดึงข้อมูล Transparency Value ออกมาจากแต่ละพิกเซล แล้วนำไปเข้าสูตรทางคณิตศาสตร์เพื่อแปลงข้อมูลเหล่านั้นให้กลายเป็นตัวอักษร ซึ่งเมื่อรวมอักษรจากหลายๆ พิกเซลเข้าด้วยกันจึงกลายเป็น Malicious Code สำหรับโจมตีผู้ใช้

ภาพด้านล่างแสดงสูตรที่ใช้ดึงข้อมูลออกมาจากพิกเซลของรูปภาพ

พุ่งเป้าที่ผู้ใช้ Internet Explorer

Malicious Code ดังกล่าวจะเปลี่ยนเส้นทางของผู้ใช้ให้ไปยัง URL เซิร์ฟเวอร์กลาง เรียกว่า Gate ทำหน้าที่กรองผู้ใช้ที่ตกเป็นเหยื่อ โดย Gate จะรับการเชื่อมต่อจากผู้ใช้ Internet Explorer เท่านั้น เนื่องจาก Gate จะเจาะช่องโหว่ของผู้ใช้ผ่านทาง CVE-2016-0162 ซึ่งเป็นช่องโหว่ Information Disclosure บน IE เพื่อตรวจสอบว่าการเชื่อมต่อดังกล่าวมาจากผู้ใช้จริงหรือ Reverse Analysis System ที่สร้างขึ้นโดยผู้ดูแลระบบรักษาความมั่นคงปลอดภัย นอกจากนี้ ถ้าพบว่าผู้ใช้มีการรันโปรแกรม Antivirus ก็จะยกเลิกการเชื่อมต่อทันที เพื่อป้องกันโปรแกรม Antivirus ตรวจจับความผิดปกติและแจ้งเตือนผู้ใช้

เจาะระบบของผู้ใช้ผ่านช่องโหว่บน Flash

เมื่อคัดเลือกเหยื่อเสร็จเรียบร้อย Gate จะเปลี่ยนเส้นทางของผู้ใช้ไปยัง URL สุดท้ายที่มี Exploit Kit รออยู่ โดย Stegano Exploit Kit จะใช้ช่องโหว่บน Adobe Flash 3 รายการ คือ CVE-2015-8651, CVE-2016-1019 และ CVE-2016-4117 ในการเจาะระบบคอมพิวเตอร์เพื่อลอบส่งมัลแวร์เข้าไปรันบนเครื่องของผู้ใช้

จากการตรวจสอบพบว่ามัลแวร์ที่ Stegano Exploit Kit ใช้ คือ Ursnif และ Ramnit Banking Trojan แต่ทาง ESET ระบุว่า มันเป็นเรื่องง่ายมากที่แฮ็คเกอร์จะเปลี่ยน Payload ของมัลแวร์สุดท้ายไปเป็นอย่างอื่นที่อันตรายกว่าแทน เช่น Ransomware

ขั้นตอนการโจมตีทั้งหมดนี้ เกิดขึ้นโดยอัตโนมัติและใช้เวลาเพียง 1 – 2 วินาทีเท่านั้น วิธีที่ดีที่สุดในการป้องกันการโจมตีดังกล่าวคือการอัปเดตซอฟต์แวร์ในเครื่องให้ใหม่ล่าสุดอยู่เสมอ และมีการติดตั้งโปรแกรม Antivirus หรือระบบรักษาความมั่นคงปลอดภัยอื่นๆ ที่ช่วยตรวจจับและป้องกันภัยคุกคามก่อนที่จะทำอันตรายระบบคอมพิวเตอร์ เช่น Secure Web Gateway เป็นต้น

ภาพด้านล่างเป็น Infographic สรุปขั้นตอนการโจมตีของ Stegano จาก ESET

ที่มา: https://www.bleepingcomputer.com/news/security/new-stegano-exploit-kit-hides-malvertising-code-in-image-pixels/