ในงาน BlackHat USA 2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ SafeBreach ได้นำเสนอมัลแวร์ที่ได้สร้างขึ้นมาทดสอบ ซึ่งมีความสามารถในการขโมยข้อมูลจากเครื่องที่ไม่ได้มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง โดยการใช้ประโยชน์จาก Anti-Virus ที่เมื่อมีการตรวจพบว่ามีการทำงานของโปรแกรมที่ผิดปกติบนเครื่อง Endpoint จะทำการส่งข้อมูลขึ้นไปวิเคราะห์บน Cloud แต่มัลแวร์ตัวนี้จะมีการฝัง Code อีกชุดนึงเอาไว้ เมื่อ Code ชุดนี้ถูก Execute มันจะทำหน้าที่ในการค้นหาเครื่อง Endpoint อื่นๆที่มีการติดต่อกับ Cloud ตัวนี้อยู่ เพื่อทำการขโมยข้อมูล ดังนั้นหากผลิตภัณฑ์ Anti-Virus ใช้ sandbox ที่มีการเชื่อมต่ออินเทอร์เน็ต ก็มีความเป็นไปได้ที่จะใช้วิธีนี้ได้สำเร็จ โดยวิธีการบรรเทาผลกระทบที่ดีที่สุดคือการบล็อก sandbox ไม่ให้มีการติดต่อกับอินเตอร์เน็ต แต่ทั้งนี้ก็จะเป็นการจำกัดความสามารถในการวิเคราะห์มัลแวร์ที่มีพฤติกรรมการติดต่อไปยังเครื่อง C&C ไปในตัวด้วย
ทั้งนี้ได้มีการตั้งชื่อมัลแวร์ตัวนี้ว่า Spacebin และได้มีการเผยแพร่ไว้บน GitHub เรียบร้อยแล้ว ซึ่งมีทั้ง Source Code ทั้งที่เป็นฝั่ง Client Side และ Server Side อย่างไรก็ตามงานวิจัยนี้เป็นเพียงการทดสอบแนวคิดที่นักวิจัยได้คิดค้นขึ้นมาเท่านั้น ไม่ควรนำไปทดสอบภายใต้ระบบที่อาจจะส่งผลกระทบ หรือสร้างความเดือดร้อนแก่ผู้อื่น
ที่มา : securityweek
You must be logged in to post a comment.