Ransomware WannaCry เป็นตัวที่ดัดแปลงมาจาก NSA Tool ที่ชื่อว่า Eternal Blue สำหรับการโจมตีช่องโหว่ใน service SMB (port 445) และฝัง Backdoor ที่ชื่อว่า DoublePulsar นั่นหมายความว่า WannaCry มีการดัดแปลงเครื่องมือจาก NSA จำนวน 2 ตัวจากที่มีการปล่อยออกมาทั้งหมด แต่ตัวใหม่ที่ชื่อว่า EternatRocks มีการนำเครื่องมือจาก NSA มาดัดแปลง 7 ตัวด้วยกัน
EternalRocks มีการใช้งานเครื่องมือ 2 ตัวจาก NSA ในการเก็บข้อมูลรายละเอียด SMB คือ SMBTOUCH และ ARCHITOUCH จากนั้นใช้เครื่องมือต่างๆของ NSA ไม่ว่าจะเป็น ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, และ ETERNALSYNERGY ทั้งหมด 4 ตัวในการโจมตี สุดท้ายจะทำการฝัง backdoor ที่ชื่อว่า DOUBLEPULSA ต่ออีกที ซึ่ง EternalRocks ไม่มีการฝัง malware content แต่อย่างใด นั่นหมายความว่า ณ ปัจจุบัน EternalRocks ผลกระทบยังไม่รุนแรงเท่า WannaCry และ EternalRocks ไม่มี kill switch domain feature แต่อย่างใด นั่นหมายความว่าจะไม่มีการตรวจสอบ domain ใดๆ ก่อนเริ่มการทำงาน ซึ่ง EternalRocks จะเริ่มจากการฝังตัวเข้าไปในเครื่อง จากนั้น download Tor Client และติดต่อไปยัง C&C Server (Command & Control Server) ต่ออีกที ซึ่งจะใช้เวลาประมาณ 24 ชม. กว่า C&C Server จะตอบกลับมา เพื่อทำการพยายาม bypass Sandbox และไม่ให้ตรวจจับจาก Security Researcher ได้ (โดยปกติ Sandbox ระดับ enterprise ต่างๆ มักจะเข้าไปแก้ไข code ของ malware ตอน Runtime ให้เปลี่ยน sleep ต่างๆกลายเป็น 0 เพื่อปิดการหน่วงเวลาของ Malware ต่างๆ ที่ทำงานตามเวลาที่กำหนดหรือ Logic Bomb)
หลังจาก stage แรกผ่านไป stage ที่ 2 จะเริ่มทำการติดตั้งโดยการ download shadowbrokers.zip มาเพิ่ม โดยภายในนั้นจะเป็น pack tool ของ NSA ที่หลุดมาโดย Shadow Broker จากนั้นจึงใช้ tool นั้น scan IP แบบ random เพื่อกระจายตัวต่อไป
จากการวิเคราะห์ของ EternalRocks พบว่าชื่อจริงๆก่อนหน้าที่จะเป็น EternalRocks จะใช้ชื่อว่า "MicroBotMassiveNet" และชื่อของผู้เขียนคือ "tmc"
ที่มา : BLEEPINGCOMPUTER , GitHub
You must be logged in to post a comment.