นักวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ที่ผิดปกติ ซึ่งใช้มัลแวร์ที่มีการดัดแปลง Headers ของไฟล์ DOS และ PE ตามผลการรายงานล่าสุดจาก Fortinet
DOS Header (Disk Operating System) และ PE Header (Portable Executable) เป็นส่วนประกอบที่สำคัญของไฟล์ Windows PE ซึ่งทำหน้าที่ให้ข้อมูลเกี่ยวกับโปรแกรมที่สามารถเรียกใช้ได้
ในขณะที่ DOS Header ทำให้ไฟล์ executable สามารถใช้งานร่วมกับ MS-DOS แบบ backward ได้ และยังทำให้ระบบปฏิบัติการสามารถจดจำได้ว่าไฟล์นี้เป็นไฟล์ที่สามารถ executable ได้ ส่วนของ PE Header จะประกอบด้วยข้อมูลเมตา และข้อมูลอื่น ๆ ที่จำเป็นสำหรับ Windows ในการโหลด และเรียกใช้โปรแกรม
นักวิจัย Xiaopeng Zhang และ John Simmons จาก FortiGuard ได้ให้ข้อมูลกับ The Hacker News โดยระบุว่า "เราได้พบมัลแวร์ที่ทำงานอยู่บนเครื่องที่ถูกโจมตีมานานหลายสัปดาห์ โดยผู้ไม่หวังดีได้เรียกใช้ชุดคำสั่ง scripts และ PowerShell เพื่อให้มัลแวร์ทำงานภายใน process ของ Windows ได้"
Fortinet ระบุว่า แม้จะไม่สามารถแยกไฟล์มัลแวร์ออกมาได้โดยตรง แต่ก็สามารถดึงข้อมูลจากหน่วยความจำของ process ที่มัลแวร์ทำงานอยู่ และก็ดึงข้อมูลหน่วยความจำทั้งหมดของเครื่องที่ถูกโจมตีออกมาได้ อย่างไรก็ตาม ขณะนี้ยังไม่ทราบแน่ชัดว่ามัลแวร์ถูกเผยแพร่ผ่านช่องทางใดบ้าง และการโจมตีมีขอบเขตการแพร่กระจายมากน้อยเพียงใด
มัลแวร์ดังกล่าวทำงานอยู่ภายใน dllhost.exe process ซึ่งเป็นไฟล์ PE แบบ 64-bit ที่มี Headers ของ DOS และ PE ที่ถูกดัดแปลงให้เสียหาย โดยมีจุดประสงค์เพื่อทำให้การวิเคราะห์นั้นทำได้ยากขึ้น และขัดขวางการกู้คืน payload จากหน่วยความจำ
แม้จะมีอุปสรรคเหล่านี้ แต่บริษัทด้านความปลอดภัยทางไซเบอร์ได้ระบุเพิ่มเติมว่า พวกเขาสามารถแยกส่วน และวิเคราะห์มัลแวร์ที่ดึงข้อมูลออกมาภายในสภาพแวดล้อมที่ควบคุมได้ โดยการจำลองสภาพแวดล้อมของระบบที่ถูกโจมตี หลังจากผ่านการลองผิดลองถูก และแก้ไขซ้ำ ๆ หลาย ๆ ครั้ง
เมื่อมัลแวร์ถูกเรียกใช้งาน มันจะถอดรหัสข้อมูลของโดเมน Command-and-Control (C2) ที่ถูกเก็บไว้ในหน่วยความจำ จากนั้นจึงจะเริ่มติดต่อกับเซิร์ฟเวอร์ ("rushpapers[.]com") ใน thread ที่เพิ่งถูกสร้างขึ้นมาใหม่
นักวิจัยระบุว่า "หลังจากเปิดใช้งาน thread แล้ว main thread จะเข้าสู่สถานะ sleep จนกว่า thread การสื่อสารจะทำงานเสร็จสิ้น และมัลแวร์จะติดต่อกับเซิร์ฟเวอร์ C2 ผ่านโปรโตคอล TLS"
การวิเคราะห์เพิ่มเติมพบว่า มัลแวร์นี้เป็นมัลแวร์ Remote Access Trojan (RAT) ซึ่งมีความสามารถในการจับภาพหน้าจอ, ตรวจสอบ และควบคุมบริการต่าง ๆ บนระบบที่ถูกโจมตี และแม้กระทั่งทำหน้าที่เป็นเซิร์ฟเวอร์เพื่อรอการเชื่อมต่อจาก "client" ที่เข้ามา
Fortinet ระบุว่า "มัลแวร์นี้ใช้สถาปัตยกรรม socket แบบ multi-thread ทุกครั้งที่มี client (ผู้โจมตี) ใหม่เชื่อมต่อเข้ามา มัลแวร์จะสร้าง thread ใหม่ขึ้นมาเพื่อจัดการการสื่อสารนั้น ด้วยการออกแบบนี้ ทำให้สามารถรองรับเซสชันหลายรายการพร้อมกันได้ และรองรับการโต้ตอบที่ซับซ้อนมากขึ้น"
"ด้วยการทำงานในโหมดนี้ มัลแวร์จะเปลี่ยนระบบที่ถูกโจมตีให้กลายเป็นแพลตฟอร์มสำหรับการเข้าถึงจากระยะไกลอย่างมีประสิทธิภาพ ทำให้ผู้โจมตีสามารถดำเนินการโจมตีเพิ่มเติมหรือดำเนินการต่าง ๆ ในนามของเหยื่อได้"
ที่มา : thehackernews
You must be logged in to post a comment.