Stegano Exploit Kit: ซ่อนพรางโค้ดมัลแวร์ไว้ในพิกเซลรูปภาพ

นักวิจัยจาก ESET ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดังออกมาเปิดถึงเทคนิคการซ่อนพรางข้อมูล (Steganography) รูปแบบใหม่ ที่ซ่อนโค้ดอันตรายไว้ในพิกเซลของไฟล์รูปภาพบนแบนเนอร์โฆษณา เสี่ยงถูกลอบส่งมัลแวร์หรือแม้แต่ Ransomware เข้ามาบนเครื่องของผู้ใช้ได้

Credit: McIek/ShutterStock

ซ่อน Malicious Code ไว้ในพิกเซลของรูป PNG

การโจมตีดังกล่าวมีชื่อว่า Stegano ซึ่งตั้งชื่อตามเทคนิค Steganography เป็นภัยคุกคามประเภท Exploit Kit ที่เริ่มปรากฏให้เห็นเมื่อประมาณ 2 เดือนก่อน โดยทำการซ่อน Malicious Code ไว้ในไฟล์รูปภาพ PNG ที่ใช้เป็นแบนเนอร์สำหรับโฆษณาบนเว็บไซต์ชื่อดังทั้งหลาย

แฮ็คเกอร์อาศัยช่องโหว่ที่ว่า แบนเนอร์โฆษณาบนเว็บไซต์ส่วนใหญ่สามารถรันโค้ด JavaScript ได้ จึงได้แนบโค้ด JavaScript สำหรับใช้แปลงไฟล์รูปภาพ โดยอาศัยการดึงข้อมูล Transparency Value ออกมาจากแต่ละพิกเซล แล้วนำไปเข้าสูตรทางคณิตศาสตร์เพื่อแปลงข้อมูลเหล่านั้นให้กลายเป็นตัวอักษร ซึ่งเมื่อรวมอักษรจากหลายๆ พิกเซลเข้าด้วยกันจึงกลายเป็น Malicious Code สำหรับโจมตีผู้ใช้

ภาพด้านล่างแสดงสูตรที่ใช้ดึงข้อมูลออกมาจากพิกเซลของรูปภาพ

พุ่งเป้าที่ผู้ใช้ Internet Explorer

Malicious Code ดังกล่าวจะเปลี่ยนเส้นทางของผู้ใช้ให้ไปยัง URL เซิร์ฟเวอร์กลาง เรียกว่า Gate ทำหน้าที่กรองผู้ใช้ที่ตกเป็นเหยื่อ โดย Gate จะรับการเชื่อมต่อจากผู้ใช้ Internet Explorer เท่านั้น เนื่องจาก Gate จะเจาะช่องโหว่ของผู้ใช้ผ่านทาง CVE-2016-0162 ซึ่งเป็นช่องโหว่ Information Disclosure บน IE เพื่อตรวจสอบว่าการเชื่อมต่อดังกล่าวมาจากผู้ใช้จริงหรือ Reverse Analysis System ที่สร้างขึ้นโดยผู้ดูแลระบบรักษาความมั่นคงปลอดภัย นอกจากนี้ ถ้าพบว่าผู้ใช้มีการรันโปรแกรม Antivirus ก็จะยกเลิกการเชื่อมต่อทันที เพื่อป้องกันโปรแกรม Antivirus ตรวจจับความผิดปกติและแจ้งเตือนผู้ใช้

เจาะระบบของผู้ใช้ผ่านช่องโหว่บน Flash

เมื่อคัดเลือกเหยื่อเสร็จเรียบร้อย Gate จะเปลี่ยนเส้นทางของผู้ใช้ไปยัง URL สุดท้ายที่มี Exploit Kit รออยู่ โดย Stegano Exploit Kit จะใช้ช่องโหว่บน Adobe Flash 3 รายการ คือ CVE-2015-8651, CVE-2016-1019 และ CVE-2016-4117 ในการเจาะระบบคอมพิวเตอร์เพื่อลอบส่งมัลแวร์เข้าไปรันบนเครื่องของผู้ใช้

จากการตรวจสอบพบว่ามัลแวร์ที่ Stegano Exploit Kit ใช้ คือ Ursnif และ Ramnit Banking Trojan แต่ทาง ESET ระบุว่า มันเป็นเรื่องง่ายมากที่แฮ็คเกอร์จะเปลี่ยน Payload ของมัลแวร์สุดท้ายไปเป็นอย่างอื่นที่อันตรายกว่าแทน เช่น Ransomware

ขั้นตอนการโจมตีทั้งหมดนี้ เกิดขึ้นโดยอัตโนมัติและใช้เวลาเพียง 1 – 2 วินาทีเท่านั้น วิธีที่ดีที่สุดในการป้องกันการโจมตีดังกล่าวคือการอัปเดตซอฟต์แวร์ในเครื่องให้ใหม่ล่าสุดอยู่เสมอ และมีการติดตั้งโปรแกรม Antivirus หรือระบบรักษาความมั่นคงปลอดภัยอื่นๆ ที่ช่วยตรวจจับและป้องกันภัยคุกคามก่อนที่จะทำอันตรายระบบคอมพิวเตอร์ เช่น Secure Web Gateway เป็นต้น

ภาพด้านล่างเป็น Infographic สรุปขั้นตอนการโจมตีของ Stegano จาก ESET

ที่มา: https://www.bleepingcomputer.com/news/security/new-stegano-exploit-kit-hides-malvertising-code-in-image-pixels/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รู้จักกับ Secure Access Service Edge (SASE) หัวใจแห่ง Network Security ในอนาคต

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน The Future of Network Security is in the Cloud บรรยายถึงแนวโน้มการเปลี่ยนผ่านด้านเครือข่ายและความมั่นคงปลอดภัยบนระบบ Cloud โดยนำเสนอโมเดลใหม่ที่เรียกว่า …

[รีวิว] ASUS ExpertPC D641MD คอมทำงานขนาดเล็ก สเป็คจัดเต็ม ต่อได้ 3 จอพร้อมกัน

ยังคงมีรีวิวต่อเนื่องสำหรับเครื่อง Commercial PC จาก ASUS ที่ต้องการบุกตลาดไทยภายใต้แบรนด์ ASUS ExpertPC โดยคราวนี้ทีมงาน TechTalkThai จะขอรีวิว ASUS ExpertPC D641MD ซึ่งเป็นคอมพิวเตอร์รุ่นทำงานที่ถือว่าโดดเด่นมากจากการที่สามารถเชื่อมต่อจอได้มากถึง 3 จอในตัว และรองรับการอัปเกรดสเป็คให้กลายเป็นเครื่องแรงระดับ Workstation ได้เลย