หนึ่งในปัญหาสุดคลาสสิคของอุปกรณ์หรือโซลูชันด้านความปลอดภัยซึ่งนำมาสู่การ bypass การตรวจจับนั้นส่วนใหญ่มาจากการที่อุปกรณ์หรือโซลูชันไม่ยอมทำตาม RFC อย่างเหมาะสมจนส่งผลให้แฮกเกอร์สามารถข้ามผ่านการตรวจจับได้โดยอ้างรูปแบบตาม RFC
Bleeping Computer รายงานการค้นพบอีเมลฟิชชิงแนบไฟล์ Powerpoint อันตรายสำหรับแพร่กระจายมัลแวร์ Lokibot ซึ่งมีการใช้วิธีการสอดแทรกข้อมูลลงไปใน URL ซึ่งส่งผลให้อุปกรณ์ตรวจจับอีเมลอันตรายนั้นไม่สามารถตรวจจับได้ ทั้งนี้การสอดแทรกข้อมูลลงไปใน URL นั้นแท้จริงยังเป็นไปตาม RFC ซึ่งกำหนดรูปแบบของ URL เอาไว้ ทำให้เหยื่อยังสามารถคลิกลิงค์อันตรายได้ตามปกติ
หนึ่งในเทคนิคซึ่งแฮกเกอร์มักใช้งานนั้นคือการแทรกส่วนของ "userinfo" เข้าไปใน URL เช่น "https://malicious.com/malware.zip" เป็น "https://hacker@malicious.com/malware.zip" การกระทำในลักษณะนี้อาจส่งผลให้อุปกรณ์หรือซอฟต์แวร์ซึ่งเขียนวิธีการตรวจจับออกมาไม่ดีนั้นอาจไม่ระบุว่าชุดข้อความนี้อยู่ในกลุ่มของข้อมูลประเภท URL และทำให้ข้ามผ่านการตรวจสอบไปได้
ไอ-ซีเคียวแนะนำให้ทำการตรวจสอบโซลูชันด้านความปลอดภัยที่มีอยู่โดยอาจทดสอบด้วยการใช้ EICAR domain (https://www.eicar.org/?page_id=3950) ซึ่งควรจะต้องถูกตรวจจับได้เสนอ หากพบปัญหาที่เกิดจากการตรวจจับ เราแนะนำให้แจ้งไปยังผู้ผลิตอุปกรณ์หรือโซลูชันด้านความปลอดภัยเพื่อปรับปรุงการตรวจจับโดยทันที
ที่มา : bleepingcomputer
You must be logged in to post a comment.