Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless
พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP
เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง
ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ
นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.exe ซึ่งเป็น tools ที่รับคำสั่งจากผู้โจมตี โดยมีความสามารถในการสืบค้นข้อมูลต่างๆ ตัวอย่างเช่น รุ่น CPU ขนาด RAM ชื่อโดเมน หรือคีย์ที่ใช้ในการเข้าถึงระบบต่างๆเป็นต้น
โดย worker.exe จะทำงานบน tsclient โดยที่ไม่ได้เชื่อมไปยัง C&C server แต่ใช้คำสั่งจากไฟล์ชื่อ config.ins เก็บรวบรวมข้อมูลเป็นไฟล์ .NFO ซึ่งจะทำให้การตรวจจับการรวบรวมข้อมูลยากยิ่งขึ้นและทำให้ตรวจจับไม่ได้ ในขณะนี้พบเหยื่อทั่วโลกโดยเหยื่อส่วนใหญ่อยู่ในประเทศบราซิล สหรัฐอเมริกา และโรมาเนีย
การโจมตีในลักษณะดังกล่าวนี้นักวิจัยกล่าวว่าไม่ใช่เรื่องยากในการป้องกันการโจมตีสามารถทำได้โดยการปิดการใช้งาน drive redirection หรือตั้งค่า policy ให้มีความปลอดภัยในการใช้งาน
โดยสามารถอ่านข้อมูลเพิ่มเติมรวมถึงดู IOC ได้จากรายงานของ Bitdefender ได้ที่:www.bitdefender.com
ที่มา: bleepingcomputer
You must be logged in to post a comment.