มีการค้นพบ framework มัลแวร์บน Linux แบบ Cloud-native ตัวใหม่ในชื่อ VoidLink ที่มุ่งเน้นโจมตีสภาพแวดล้อมบนคลาวด์ โดยจัดเตรียมเครื่องมือต่าง ๆ ให้แก่ผู้โจมตี ไม่ว่าจะเป็น Custom loaders, Implants, Rootkits และ Plugins ที่ถูกออกแบบมาเพื่อเป็นโครงสร้างพื้นฐานสมัยใหม่โดยเฉพาะ
VoidLink ถูกเขียนขึ้นด้วยภาษา Zig, Go และ C โดยตัวโค้ดแสดงให้เห็นว่าโปรเจกต์นี้กำลังอยู่ระหว่างการพัฒนาอย่างต่อเนื่อง มีเอกสารประกอบที่ละเอียด และมีแนวโน้มว่าจะถูกสร้างขึ้นเพื่อวัตถุประสงค์ในเชิงพาณิชย์
นักวิเคราะห์มัลแวร์จากบริษัทด้านความปลอดภัยทางไซเบอร์ Check Point ระบุว่า VoidLink สามารถตรวจจับได้ว่าตัวเองกำลังทำงานอยู่ภายในสภาพแวดล้อมแบบ Kubernetes หรือ Docker และจะปรับเปลี่ยนพฤติกรรมการทำงานให้สอดคล้องกัน
อย่างไรก็ตาม ยังไม่พบรายงานยืนยันการโจมตีที่เกิดขึ้นจริงในขณะนี้ ซึ่งช่วยสนับสนุนข้อสันนิษฐานที่ว่ามัลแวร์ตัวนี้ถูกสร้างขึ้นในรูปแบบผลิตภัณฑ์สำหรับวางจำหน่าย หรือเป็น framework ที่พัฒนาขึ้นตามคำสั่งของลูกค้าเฉพาะราย
นอกจากนี้ นักวิจัยยังตั้งข้อสังเกตว่า VoidLink น่าจะได้รับการพัฒนา และดูแลโดยกลุ่มนักพัฒนาที่ใช้ภาษาจีน โดยพิจารณาจากการตั้งค่าภาษาของ Interface และเทคนิคการปรับแต่งระบบต่าง ๆ
ความสามารถของ VoidLink
VoidLink เป็น framework แบบ modular สำหรับใช้หลังจากการโจมตีระบบบน Linux ซึ่งจะช่วยให้แฮ็กเกอร์สามารถควบคุมเครื่องที่ถูกยึดครองได้ โดยยังคงสามารถซ่อนตัวอยู่ อีกทั้งยังสามารถขยายขีดความสามารถเพิ่มเติมผ่าน plugins และปรับเปลี่ยนพฤติกรรมให้เหมาะสมกับสภาพแวดล้อมแบบคลาวด์ และ container ที่เฉพาะเจาะจงได้
เมื่อตัว Implant เริ่มทำงาน มันจะตรวจสอบว่าตนเองกำลังรันอยู่ใน Docker หรือ Kubernetes หรือไม่ จากนั้นจะดึงข้อมูล Metadata ของ Cloud Instance เพื่อระบุผู้ให้บริการต่าง ๆ เช่น AWS, GCP, Azure, Alibaba และ Tencent (โดยมีแผนที่จะรองรับ Huawei, DigitalOcean และ Vultr เพิ่มเติมในอนาคต)
นอกจากนี้ framework ยังทำหน้าที่รวบรวมข้อมูลเชิงลึกของระบบ ได้แก่ kernel version, hypervisor, processes และ network state พร้อมทั้งสแกนหาโซลูชันตรวจจับ และตอบสนองภัยต่อคุกคาม (EDR), มาตรการเสริมความปลอดภัยระดับ Kernel (Kernel Hardening) และเครื่องมือตรวจสอบระบบ (Monitoring Tools) เพื่อหลีกเลี่ยงการถูกจับได้
ข้อมูลทั้งหมดนี้ รวมถึงคะแนนความเสี่ยงที่คำนวณจากระบบรักษาความปลอดภัย และมาตรการป้องกันที่มีอยู่ในเครื่อง จะถูกส่งกลับไปยังผู้ควบคุม ซึ่งช่วยให้ผู้โจมตีสามารถปรับเปลี่ยนพฤติกรรมของ module ได้ เช่น การสแกน port ให้ช้าลง หรือยืดระยะเวลาในการส่งสัญญาณกลับเพื่อลดความน่าสงสัย
การสื่อสารระหว่าง Implant และผู้ควบคุมจะใช้โปรโตคอลที่หลากหลาย ได้แก่ HTTP, WebSocket, DNS tunneling และ ICMP โดยทั้งหมดนี้จะถูก wrap ด้วย encrypted messaging layer ที่เรียกว่า 'VoidStream' ซึ่งทำหน้าที่ซ่อน Traffic ให้ดูเหมือนการใช้งานเว็บ หรือ API ตามปกติ
ในส่วนของ plugin นั้น VoidLink จะใช้ไฟล์ object แบบ ELF ซึ่งจะถูกโหลดเข้าไปทำงานในหน่วยความจำโดยตรง และเรียกใช้ API ของ framework ผ่านคำสั่ง System calls (syscalls)
จากการวิเคราะห์ของ Check Point ระบุว่า VoidLink เวอร์ชันปัจจุบันมาพร้อมกับ default plugin จำนวน 35 ตัว
- Reconnaissance : สแกนตรวจสอบรายละเอียดเครื่อง, บัญชีผู้ใช้, โปรเซสที่กำลังทำงาน และโครงสร้างเครือข่าย
- สำรวจ Cloud และ Container : ระบุสภาพแวดล้อมที่ทำงานอยู่ พร้อมเครื่องมือ Escape helpers จาก Container เพื่อเข้าถึง Host
- Credential Harvesting : ขโมยข้อมูลพวก SSH keys, รหัสผ่าน Git, Tokens, API keys รวมถึงข้อมูลที่บันทึกไว้ในเบราว์เซอร์
- Lateral Movement : สร้าง Shell เพื่อควบคุม, ทำ Port Forwarding/Tunneling และแพร่กระจายตัวต่อไปผ่านช่องทาง SSH
- Persistence : ทำให้มัลแวร์ทำงานต่อเนื่องโดยอาศัยช่องโหว่ของ Dynamic Linker, การตั้งเวลาทำงาน (Cron jobs) หรือแฝงตัวใน Service ของระบบ
- Anti-forensics : ลบ Log, ล้างประวัติการใช้คำสั่ง และปลอมแปลงเวลาของไฟล์ (Timestomping) เพื่อกลบเกลื่อนร่องรอย
เพื่อให้ปฏิบัติการทั้งหมดนี้รอดพ้นจากการถูกตรวจจับ VoidLink จึงใช้ชุด rootkit modules เข้ามาช่วยซ่อนทั้ง processes, files, network sockets หรือแม้แต่ซ่อนตัว Rootkit เองจากระบบ
ทั้งนี้ขึ้นอยู่กับเวอร์ชัน kernel ของเครื่อง host โดย framework จะเลือกใช้วิธีการฝังตัวที่แตกต่างกัน ได้แก่ LD_PRELOAD (สำหรับเวอร์ชันเก่า), Kernel modules ที่โหลดได้ (LKMs) หรือ rootkits ที่ทำงานบน eBPF
นอกจากนี้ VoidLink ยังมีความสามารถในการตรวจจับเครื่องมือ Debuggers, ใช้การเข้ารหัสโค้ดในขณะทำงาน (Runtime Code Encryption) และตรวจสอบความสมบูรณ์ของระบบเพื่อหาการดักจับคำสั่ง หรือการถูกดัดแปลงแก้ไข ซึ่งทั้งหมดนี้ถือเป็นกลไกขั้นสูงในการป้องกันการถูกวิเคราะห์
หากระบบตรวจพบความพยายามในการดัดแปลง ตัว Implant จะทำการลบตัวเองทิ้งทันที จากนั้น anti-forensic modules จะเข้ามาดำเนินการลบ Logs, ประวัติการใช้ Shell, บันทึกการล็อกอิน และทำการเขียนข้อมูลทับไฟล์ทั้งหมดที่ถูกปล่อยไว้บน host เพื่อลดโอกาสที่จะถูกแกะรอย หรือถูก Forensic Investigations ให้เหลือน้อยที่สุด
นักวิจัยจาก Check Point ระบุว่า VoidLink ถูกพัฒนาขึ้นโดยเน้นความแนบเนียน และการหลบซ่อนเป็นหลัก โดยมีเป้าหมายเพื่อสร้างระบบหลบหลีกการตรวจจับให้เป็นอัตโนมัติมากที่สุด ด้วยวิธีการประเมิน และเก็บข้อมูลสภาพแวดล้อมของเป้าหมายอย่างละเอียดก่อนที่จะเลือกใช้กลยุทธ์ที่เหมาะสมที่สุด
พวกเขาตั้งข้อสังเกตว่า framework ตัวใหม่นี้ มีความก้าวหน้า และซับซ้อนกว่ามัลแวร์ Linux ทั่วไปอย่างมาก และเป็นผลงานของกลุ่มนักพัฒนาที่มีความเชี่ยวชาญทางเทคนิคระดับสูง รวมถึงมีทักษะในการเขียนโปรแกรมหลากหลายภาษา
นักวิจัยระบุว่า "ด้วยจำนวนฟีเจอร์ที่มีอยู่มากมาย และสถาปัตยกรรมแบบ modular แสดงให้เห็นชัดเจนว่าผู้เขียนตั้งใจสร้าง framework ที่มีความซับซ้อน ทันสมัย และครบเครื่อง"
ในรายงานฉบับล่าสุดนี้ Check Point ได้เปิดเผยชุดข้อมูล Indicators of Compromise (IoCs) พร้อมด้วยรายละเอียดทางเทคนิคเกี่ยวกับ modules ต่าง ๆ และรายชื่อ plugins ที่ค้นพบทั้งหมด
ที่มา : bleepingcomputer
You must be logged in to post a comment.