พบมัลแวร์ใช้ Trick ในการหลบการป้องกันและตรวจจับ Ransomware ของ Antivirus หลาย Product

พบมัลแวร์ใช้ Trick ในการหลบการป้องกันและตรวจจับ Ransomware ของ Antivirus หลาย Product

นักวิจัยได้เปิดเผยจุดอ่อนด้านความปลอดภัยที่สำคัญในแอปพลิเคชั่นซอฟต์แวร์ Antivirus
ที่ถูกนำไปใช้ในเพื่อหลีกเลี่ยงการป้องกันของระบบ Anti-ransomware

นักวิชาการจาก University of Luxembourg และ University of London พบว่ามีการโจมตีที่มีวัตถุประสงค์เพื่อหลีกเลี่ยงโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware เพื่อเข้ารหัสไฟล์ หรือที่เรียกกันว่า “Cut and mouse” และทำการปิดการป้องกันแบบ real-time โดยจำลองการคลิกของเมาส์ หรือที่เรียกกันว่า “Ghost Control” โดยจะมีชุดแอปพลิเคชั่นที่ได้รับสิทธิ์ในการเข้าถึงและเขียนไฟล์ไปยังโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware โดยที่แอปพลิเคชั่นนั้นจะไม่โดนตรวจสอบจาก Antivirus เนื่องจากเป็นโปรแกรมที่ได้รับอนุญาตอยู่แล้ว

สถานการณ์ของการโจมตีที่พบโดยนักจัยพบว่าโค้ดที่เป็นอันตรายนั้นสามารถใช้เพื่อควบคุมแอปพลิเคชั่นที่น่าเชื่อถือ เช่น Notepad เพื่อทำการเขียนและเข้ารหัสไฟล์ของเหยื่อที่จัดเก็บไว้ในโฟลเดอร์ที่ได้รับการป้องกัน ด้วยเหตุนี้ แรนซัมแวร์จะสามารถอ่านไฟล์ในโฟลเดอร์ เข้ารหัสในหน่วยความจำและคัดลอกไปยังคลิปบอร์ดของระบบ จากนั้นแรนซัมแวร์จะทำการเปิดใช้ Notepad เพื่อเขียนทับเนื้อหาโฟลเดอร์ด้วยข้อมูลที่อยู่ในคลิปบอร์ดที่ได้ทำการคัดลอกไว้ในขั้นตอนก่อนหน้า และนักวิจัยยังพบว่ามีการใช้ Paint ที่เป็นแอปพลิเคชั่นที่เชื่อถือได้ในระบบ สามารถนำมาใช้เพื่อเขียนทับไฟล์ของผู้ใช้งานได้ด้วยภาพที่สร้างขึ้นแบบสุ่ม ๆ เพื่อใช้ในการทำลายไฟล์อย่างถาวร ในทางกลับกันนั้น การโจมตีด้วย Ghost Control นั้นอาจะมีผลร้ายแรงตามมา เนื่องจากการปิดการป้องกันมัลแวร์แบบ real-time โดยการจำลองเหตุการณ์ของผู้ใช้อาจยอมให้ผู้โจมตีวางและรันโปรแกรมหลอกลวงต่าง ๆ ด้วยการรีโมทจากระยะไกลของผู้โจมตี และจากการทดสอบ Antivirus 29 รายการที่ได้รับการประเมินระหว่างการศึกษาเพิ่มเติมนั้น พบว่า มี 14 รายการที่มีความเสี่ยงต่อการโจมตีด้วย Ghost Control ในขณะที่ Antivirus ที่ทดสอบทั้งหมด 29 รายการ มีความเสียงจากการโจมตีแบบ Cut-and-Mouse ทั้งหมด ทั้งนี้นักวิจัยไม่ได้ทำการระบุเจ้าของโซลูชั่นที่ได้รับผลกระทบ

ยังไงก็ตาม การค้นพบนี้เป็นเครื่องเตือนใจว่าโซลูชันการรักษาความปลอดภัยที่ได้รับการออกแบบมาอย่างชัดเจนแล้วว่าเพื่อปกป้องทรัพย์สินดิจิทัลจากการโจมตีของมัลแวร์นั้น สามารถที่จะมีจุดอ่อนหรือช่องโหว่ให้ผู้โจมตีสามารถใช้งานได้ ในขณะที่ผู้ให้บริการซอฟต์แวร์ Antivirus ยังคงพัฒนาการป้องกันต่อไป ผู้เขียนมัลแวร์ก็จะพยายามหาช่องโหว่หรือวีธีเพื่อหลีกเลี่ยงการป้องกันได้

ที่มา : thehackernews