นักวิจัยด้านความปลอดภัยพบรมัลแวร์บนแอนดรอยด์ Lokibot ซึ่งหากมีความพยายามจะดำเนินการลบมัลแวร์ออกนั้น มันจะทำการล็อคเครื่องแล้วเปลี่ยนตัวเองเป็น ransomware ทันที

เป้าหมายหลักแต่เดิมของ Lokibot คือการขโมยข้อมูลผู้ใช้งานโดยอาศัยการสร้างหน้าล็อกอินปลอมในแอปที่มีชื่อเสียงไม่ว่าจะเป็น Skype, Outlook และ WhatsApp โดยมันจะทำงานเฉพาะบน Android 4.0 ขึ้นไปและต้องอาศัยสิทธิ์ค่อนข้างสูงในระบบเพื่อให้สามารถทำงานได้

อย่างไรก็ตามทีมนักวิจัยจาก SfyLabs มีการค้นพบว่า LokiBot นั้นผิดพลาดในกระบวนการเข้ารหัสอย่างสิ้นเชิ่ง ส่งผลให้ไฟล์ที่ควรจะถูกเข้ารหัสนั้นไม่ได้เกิดการเข้ารหัสขึ้นมาจริงๆ แต่เห็นเป็นเพียงแค่การเปลี่ยนชื่อ แต่แม้ว่ากระบวนการเข้ารหัสไฟล์จะหละหลวม มัลแวร์ก็ยังทำการล็อคหน้าจอเพื่อไม่ให้ผู้ใช้งานเข้าถึงระบบได้อีกด้วย โดยวิธีเดียวที่จะทำให้ผู้ใช้งานสามารถเข้าถึงเครื่องได้อีกครั้งคือการบูตเครื่องเข้าสู่ Safe Mode ทำการลบบัญชีผู้ใช้งานที่มีสิทธิ์ของผู้ดูแลระบบที่ถูกสร้างโดย Lokibot และลบแอป Lokibot ทิ้ง

ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องดาวโหลดหรือติดตั้งแอปจากที่มาที่ไม่ชัดเจน รวมไปถึงตรวจสอบสิทธิ์ที่แอปร้องขอทุกครั้งเมื่อติดตั้ง

ที่มา: bleepingcomputer

ในปัจจุบันการยืนยันตัวตนแบบสองขั้นตอนโดยส่วนใหญ่นั้นพึ่งพาการส่งข้อความ SMS ไปยังผู้ใช้งาน อย่างไรก็ตามเมื่อเดือนกรก๓าคมที่ผ่านมา NIST ได้ออกมาประกาศว่าการยืนยันตัวตนสองขั้นตอนที่พึ่งพาการส่งข้อความ SMS นั้นไม่ปลอดภัยอันเนื่องมาจากช่องโหว่ในระบบการสื่อสาร SS7 ที่ส่งผลให้ผู้โจมตีสามารถดักจับข้อมูลที่ส่งมาทางข้อความ SMS ได้

เพื่อเป็นการตอบสนองต่อปัญหาดังกล่าว Google ได้ออกฟีเจอร์ใหม่ภายใต้ชื่อ Google Prompt โดยแทนที่จะใช้การส่งรหัสยืนยันไปทางข้อความ SMS แบบเดิมนั้น Google Prompt จะทำการถามความต้องการว่าผู้ใช้จะทำการเข้าสู่ระบบไหมไปยังโทรศัพท์มือถือแทน ผู้ใช้งานเพียงแค่กดปุ่มเพียงปุ่มเดียวเพื่อยืนยันหรือเพิกเฉยหากไม่ต้องการเข้าสู่ระบบ

Google ยังมีการประกาศว่า Google Prompt จะกลายมาเป็นตัวเลือกแรกแทนการส่งข้อความเร็วๆ นี้ โดยผู้ใช้งานสามารถเปิดใช้งานดังกล่าวได้ที่หน้าตั้งค่าของแต่ละบัญชีผู้ใช้ได้ทันที

ในการใช้งาน Google Prompt ใน มีเงื่อนไขที่จำเป็นในการใช้งานบางข้อที่ผู้ใช้งานควรทราบคือ

-จะต้องมีการเชื่อมต่อรับส่งข้อมูลถึงจะสามารถใช้งานได้

-ในกรณีที่อุปกรณ์ที่จะใช้งานเป็น iOS จะต้องมีการติดตั้งแอป Google (https://itunes.

เมื่อสัปดาห์ที่ผ่านมา Windows ได้ทำการเปิดตัว Windows 10 Fall Creators พร้อมฟีเจอร์ใหม่นี้มีชื่อว่า Controlled Folder Access โดยฟีเจอร์ Controlled Folder Access ช่วยให้ผู้ใช้สามารถควบคุมการอนุญาตเข้าถึงโฟลเดอร์ได้ ทั้งนี้ฟีเจอร์ดังกล่าวตั้งอยู่บนทฤษฎีที่ว่า "การปิดกั้นทุกอย่างโดยปริยาย" จะสามารถช่วยป้องกันมัลแวร์เรียกค่าไถ่(Ransomware) ได้ กล่าวคือหากไม่ได้รับการอนุญาตให้เข้าถึง จะไม่สามารถดำเนินการใดๆกับโฟลเดอร์ดังกล่าวได้(Block) จึงสามารถช่วยป้องกันการเข้ารหัสไฟล์ที่เก็บไว้ในโฟลเดอร์เหล่านั้นได้

BleepingComputer ได้ทำการทดสอบฟีเจอร์ "Controlled Folder Access" ด้วย Ransomware Asasin Locky variant , the Comrade HiddenTear variant และ the Wyvern BTCWare variant โดยผลการทดลองคือโฟลเดอร์ที่ใช้ฟีเจอร์ดังกล่าวสามารถป้องกันการโจมตีจาก Ransomware ได้สำเร็จ

แม้ว่า BleepingComputer แนะนำให้ทุกคนใช้ Controlled Folder Access แต่ก็ไม่อยากให้ยึดถือเป็นฟีเจอร์หลักในการป้องกัน Ransomware ทั้งนี้ Microsoft ได้กล่าวว่าหากเครื่อง Windows 10 ของท่านมีการเปิด Automatically Update เอาไว้ก็ไม่จำเป็นต้องดำเนินการใดๆ ระบบจะทำการอัพเดตให้ท่านเองโดยอัตโนมัติ และในส่วนของขั้นตอนการเปิดใช้งานฟีเจอร์ดังกล่าวสามารถดูได้จาก link ที่มาด้านล่าง

ที่มา: bleepingcomputer

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal

Canonical เปิดตัว Ubuntu 17.10 พร้อมด้วยเดสก์ท็อป GNOME ใหม่บน Wayland และ KDE, MATE, Budgie รุ่นใหม่ รวมถึงการนำ Kubernetes 1.8 มาช่วยจัดการ Container ซึ่งตอนนี้ Support ทั้ง Docker และ Google Container Engine นอกจากนี้ยังมีการปรับปรุง และเพิ่มเติมบางอย่าง ยกตัวอย่างเช่น
- เล็งเห็นถึงความนิยมในหมู่ Developer ที่ใช้ Atom editor ร่วมกับการใช้ Microsoft Visual Studio Code ในการพัฒนาโปรแกรม
- รองรับ Firefox 56 และ Thunderbird 52 และโปรแกรม LibreOffice 5.4.1
- รองรับ Driverless printing อาทิ IPP Everywhere, Apple AirPrint, Mopria และ WiFi Direct
- รองรับ Snaps สำหรับ Install และอัพเดตแอพพลิเคชั่น ที่ทำงานได้รวดเร็วและมีขนาดที่เล็กกว่า deb
- รองรับ catkin Snapcraft plugin สำหรับ Robot Operating System (ROS) ซึ่งเป็น framework สำหรับการอัพเดท software บน robots และ drones ที่มีความปลอดภัย และง่ายในการใช้งาน
- ใช้ Linux kernel 4.13 รองรับ Hardware จาก ARM, IBM, Dell, Intel รวมทั้ง OPAL HDD ซึ่งมี SED(self-encrypting-drives) เพิ่มความปลอดภัยของ HDD มากขึ้น
- มีการใช้ Netplan ที่อยู่ในรูปแบบ YAML เป็นค่าเริ่มต้น สำหรับเข้ามาใช้เป็นตัวจัดการ Network

ที่มา : helpnetsecurity

นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

แฮกเกอร์รัสเซียใช้ประโยชน์จาก GTA 5 PC Mod เพื่อติดตั้ง Cryptocurrency Miner

เกมส์ Grand Theft Auto V (GTA 5) จากบริษัท Rockstar North ได้รับความนิยมสูงเป็นอันดับสองของโลก ซึ่งเกมส์นี้จะอนุญาตเกมเมอร์ให้สามารถปรับแต่งสิ่งใดๆ นอกเหนือจากที่เกมให้มาได้ จึงทำให้แฮกเกอร์รัสเซียใช้ประโยชน์จากส่วนนี้ของเกมส์ GTA 5 ติดตั้ง Cryptocurrency Miner

mod maker ชื่อ "Anton" ทำการแพร่กระจายมัลแวร์ที่ชื่อว่า WaterMiner ("Arbuz" หมายถึง "แตงโม" ในภาษารัสเซียนั่นคือเหตุผลที่นักวิจัยเรียกมัลแวร์นี้ว่า "WaterMiner") ไปยัง GTA 5 mods ซึ่งใช้รุ่น XMRig ที่เป็น open-source เพื่อที่จะขุดเหรียญ Monero ได้โดยที่เหยื่อไม่รู้ตัว
มัลแวร์สามารถหลบหลีกเครื่องมือตรวจจับได้รวมถึงซ่อนตัวจาก Windows Task Manager หรือการมอนิเตอร์เซอร์วิสได้ และมัลแวร์จะยกเลิกกระบวนการทันทีหลังจากที่มันจะเข้าสู่โหมดไฮเบอร์เนต

นักพัฒนาซอฟต์แวร์ที่ใช้นามแฝง "Martin 0pc0d3r" เป็นคนสร้างมัลแวร์ WaterMiner ซึ่งนักวิจัยสามารถรู้ตัวนักพัฒนาซอฟต์แวร์ได้เนื่องจากนักพัฒนาซอฟต์แวร์ได้ใช้มาตรการครอบคลุมที่ไม่ดีพอ เป็นเพราะความประมาทเช่นเดียวกันกับที่นักวิจัยสามารถติดตาม Anton ได้ โดยเป้าหมายของ Anton คือการใช้ประโยชน์จากเกมที่นิยมในรัสเซียและนั่นเป็นเหตุผลที่เขาซ่อนมัลแวร์ไว้ในเกม GTA 5 นักวิจัยแนะนำให้คุณระมัดระวังการติดตั้ง mods และแพลตฟอร์มต่างๆ จากการดาวน์โหลดมาเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

ในทวีต FiveM กล่าวว่า ได้ออกการปรับปรุงด้านความปลอดภัยและบล็อคบริการ coinhive แต่ดูเหมือนว่าสิ่งต่างๆ จะอยู่นอกเหนือการควบคุมแล้ว มีแนวโน้มในการใช้ Cryptocurrency minors สูงขึ้น หลังจากนั้นนักวิจัยค้นพบว่ามีเว็บไซต์มากกว่า 500 แห่งกำลังทำเหมือง cryptocurrency โดยไม่ได้รับความยินยอมจากผู้ใช้

ที่มา : hackread

หน่วยงาน CSE ของแคนาดาเปิดโครงการโอเพนซอร์สวิเคราะห์ไฟล์หาคุณลักษณะมัลแวร์

หน่วยงานด้านความมั่นคงของแคนาดา Communications Security Establishment (CSE) ได้มีการเผยแพร่เครื่องมือสำหรับใช้ในการตรวจสอบไฟล์ที่ต้องสงสัยเพื่อระบุว่าเป็นมัลแวร์หรือไม่ได้ภายใต้ชื่อโครงการว่า AssemblyLine

AssemblyLine เป็นโครงการซอฟต์แวร์แบบ open source ที่จะทำกาตรวจสอบไฟล์ต้องสงสัยผ่านลักษณะของไฟล์เพื่อหาว่าไฟล์ประกอบด้วยส่วนใดส่วนหนึ่งที่น่าจะส่งผลให้เกิดพฤติกรรมที่เป็นอันตรายหรือมีความคล้ายคลึงกับมัลแวร์หรือไม่ โดยสามารถตรวจสอบไฟล์พร้อมๆ กันได้ถึงหนึ่งล้านไฟล์ต่อวันตามเงื่อนไขของระบบที่ AssemblyLine ทำงานอยู่

ผู้ที่สนใจสามารถดาวโหลดซอร์สโค้ดของโปรแกรม AssemblyLine พร้อมคู่มือการใช้งานไปลองใช้กันได้ที่ https://bitbucket.

NSS Labs, Inc., บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย รายงานเกี่ยวกับผลการทดสอบ Breach Detection Systems (BDS) ในปี 2017

NSS Labs ได้มีการเพิ่มเทคนิคเพื่อทดสอบการโจมตี โดยเป็นการหลีกเลี่ยงการตรวจจับและการบล็อกจากอุปกรณ์รักษาความปลอดภัย จากรายงานการวิจัยพบว่าข้อมูลที่รั่วไหลนั้น 75% เกิดจากการละเมิดโดยบุคคลภายนอก จากการศึกษา Enterprise Security Architecture ของ NSS Labs 2017 ระบุว่า 44.1% ขององค์กรในสหรัฐฯ มีการใช้ผลิตภัณฑ์ BDS และผลิตภัณฑ์เหล่าจะช่วยตรวจจับมัลแวร์ขั้นสูง, การโจมตี zero-day, และการโจมตีที่กำหนดเป้าหมาย

ผลิตภัณฑ์ที่ได้รับการทดสอบ ประกอบด้วย
Check Point Software Technologies 15600 Next Generation Threat Prevention & SandBlast™ (NGTX) Appliance R77.30
Cisco FirePower 8120 v.6 & Cisco AMP v.5.1.9.10430
FireEye Network Security NX 10450 v7.9.2 & EX 8400 v7.9.0
FireEye Network Security 6500NXES-VA v7.9.2
Fortinet FortiSandbox-2000E v.FSA 2.4.1 & FortiClient (APT Agent) v.5.6.0.1075
Lastline Enterprise v7.25
Trend Micro Deep Discovery Inspector Model 4000 v3.8 SP5 & OfficeScan (OSCE) v.12.0.1807

ผลการทดสอบพบว่า
5 ใน 7 ผลิตภัณฑ์ไม่สามารถตรวจจับการโจมตีที่ใช้เทคนิคหลีกเลี่ยงการตรวจจับได้
ผลการทดสอบ Security Effectiveness โดยรวมอยู่ระหว่าง 80.2% ถึง 100.0%
ค่าเฉลี่ย Security Effectiveness อยู่ที่ 93.2% โดยมี 5 ผลิตภัณฑ์ได้รับ Security Effectiveness สูงกว่าค่าเฉลี่ย และ 2 ผลิตภัณฑ์ได้รับ Security Effectiveness ต่ำกว่าค่าเฉลี่ย
False positive อยู่ที่ 0 ถึง 0.36%
TCO ต่อ Protected Mbps อยู่ระหว่าง US$16 ถึง US$128 โดยผลิตภัณฑ์ที่ราคาต่ำสุดอยู่ที่ US$44 ต่อ Protected Mbps
ค่าเฉลี่ย TCO ต่อ Protected Mbps (Value) อยู่ที่ US$48.82

จากการทดสอบ BDS 2017 พบว่าผลิตภัณฑ์ส่วนใหญ่สามารถตรวจจับการละเมิดได้ภายใน 60 นาที แต่ผลิตภัณฑ์บางตัวใช้เวลาหลายชั่วโมงในการตรวจพบการละเมิดเช่นเดียวกัน

ที่มา : nsslabs

Google มีการเปิดตัวเวอร์ชันใหม่สำหรับ Google Chrome ในรุ่น 62 ซึ่งนอกจากจะมีฟีเจอร์ใหม่ๆ จำนวนมาก Google Chrome ในเวอร์ชันนี้ยังมีการปรับปรุงและการเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ กว่าอีก 35 รายการ

ฟีเจอร์ใหม่ที่น่าสนใจคือ การรองรับ Fonts แบบ OpenType, การจับภาพ stream DOM และการแจ้งเตือน HTTP สำหรับเมื่อมีการใช้งานในโหมดระบุตัวตนและ Payment API สำหรับ iOS เป็นต้น ในส่วนของแพตช์ด้านความปลอดภัยนั้นมีแพตช์ที่มีความเสี่ยงสูงจำนวน 8 รายการ, ความเสี่ยงปานกลาง 7 รายการ และความเสี่ยงต่ำ 5 รายการ

แนะนำให้ผู้ใช้งานทำการดาวโหลดและติดตั้งเวอร์ชันล่าสุดในทันที

ที่มา : bleepingcomputer