การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท
การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก
เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ
ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware
เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก
นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker
งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ
การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์
โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ
กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง
ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ
การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน
เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน
ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้
Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน
ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware
YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ
Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้
Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด
เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่
องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ
ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก
อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร
ที่มา : cybersecuritynews
You must be logged in to post a comment.