นักวิเคราะห์มัลแวร์จาก Cyberbit ได้มีการเปิดเผยถึงวิธีการใหม่ที่มัลแวร์ LockPoS ใช้ในการแฝงตัวเข้าไปในโปรเซสที่กำลังทำงานอยู่ในระบบ เพื่อหลีกเลี่ยงการตรวจจับทั้งจากผู้วิเคราะห์และโปรแกรมเพิ่มความปลอดภัยระบบ
LockPoS เป็นหนึ่งในมัลแวร์ที่แพร่กระจายผ่านทางเครือข่ายบ็อตเน็ตตระกูล Flokibot โดยพุ่งเป้าโจมตีระบบ PoS ด้วยวิธีการฝังตัว สแกนข้อมูลในหน่วยความจำของระบบที่กำลังทำงานอยู่เพื่อหาข้อมูล เช่น รหัสบัตรเครดิต จากนั้นส่งออกข้อมูลดังกล่าวไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม
วิธีการใหม่ที่ LockPoS ใช้ในการแฝงตัวลงในโปรเซสอื่นนั้นโดยภาพรวมคือการสร้าง section object ซึ่งเป็นตัวเก็บข้อมูลลักษณะหนึ่งในระบบซึ่งมีสามารถใช้ร่วมกันได้ระหว่างโปรเซส ก่อนจะแก้ไข section object และแทรก section object ดังกล่าวไปกับโปรเซสอื่น กระบวนการทั้งหมดเกิดขึ้นบนหน่วยความจำ ไม่มีการแก้ไขไฟล์ใดๆ ในเครื่อง และไม่มีพฤติกรรมการแทรกที่อาจก่อให้เกิดการแจ้งเตือนแก่โปรแกรมรักษาความปลอดภัยระบบได้
การป้องกันมัลแวร์ในลักษณะนี้เป็นไปได้ยากเนื่องจากพฤติกรรมการทำงานที่อยู่แต่บนหน่วยความจำ ทางที่ดีที่สุดคือการป้องกันไม่ให้มีการเข้าถึงระบบเพื่อติดตั้งมัลแวร์ซึ่งจะช่วยไม่ให้เกิดการแพร่กระจายได้ดีที่สุด
ที่มา : securityweek
You must be logged in to post a comment.