MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

Recommendation

MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews , malwarebytes

นักวิจัยด้านความปลอดภัยจาก Kromtech Security Center รายงานว่า ข้อมูลส่วนตัวของผู้ใช้งานมากกว่า 31 ล้านคน รวมปริมาณข้อมูลมากกว่า 577 GB ได้ถูกเผยแพร่ สาเหตุเกิดจากฐานข้อมูล MongoDB ที่ถูกตั้งค่าความปลอดภัยไว้ไม่ดี ซึ่งเป็นของ Ai.Type บริษัทที่ได้รับความนิยมในการพัฒนา Virtual Keyboard แอพพลิเคชั่นที่สามารถปรับแต่งได้ตามต้องการสำหรับ Android และ iOS

จากข่าวรายงานว่าแอพพลิเคชั่นของ Ai.Type เป็น Virtual Keyboard ที่มีการร้องขอใช้งานระดับสิทธิ์แบบ Full Access ส่งผลให้สามารถรวบรวมข้อมูลอื่น ที่อยู่ในมือถือนอกเหนือจากข้อมูลของแอพพลิเคชั่นเองได้ด้วย โดยข้อมูลที่รั่วไหลประกอบด้วย

• ชื่อ, หมายเลขโทรศัพท์, และที่อยู่อีเมล
• ชื่ออุปกรณ์, ความละเอียดหน้าจอ, และรายละเอียดของรุ่น
• เวอร์ชัน Android, หมายเลข IMSI, และหมายเลข IMEI
• ชื่อเครือข่ายมือถือ, ประเทศที่อาศัยอยู่, และภาษาที่ผู้ใช้เปิดใช้งาน
• IP Address (ถ้ามี) พร้อมกับตำแหน่ง GPS (ลองจิจูด / ละติจูด)
• ข้อมูลที่เชื่อมโยงกับโปรไฟล์โซเชียลมีเดีย ประกอบด้วย วันเกิด, อีเมลล์ และภาพถ่าย

ที่มา : zdnet

PHP 7.2 เพิ่มการรองรับฟังก์ชันแฮช Argon2 พร้อมแทนที่ Mcrypt ด้วย Libsodium

PHP ประกาศการเปลี่ยนแปลงด้านความปลอดภัยใหม่เมื่อช่วงปลายเดือนที่ผ่านมาโดยการเปลี่ยนแปลงนี้นั้นมีประเด็นสำคัญคือการโละของเก่าทิ้งไปและแทนที่ด้วยของใหม่ที่ดีและปลอดภัยกว่าเดิม

PHP 7.2 จะมาพร้อมกับฟังก์ชันแฮช Argon2 ซึ่งเป็นฟังก์ชันแฮชที่ชนะการแข่งขัน Password Hashing Competition จากฟังก์ชันแฮชกว่า 23 ฟังก์ชันที่เข้าร่วมการแข่งขัน อีกทั้งได้รับการรับรองจาก IETF ฟีเจอร์สำคัญของ Argon2 คือการปรับปรุงเพื่อให้ทนทานต่อความพยายามในการ brute force ค่าแฮชด้วย GPU และมีการปรับปรุงเพื่อให้อัลกอริธึมมีความทนทานต่อการโจมตีแบบ side channel attack ซึ่งในภาพรวมนั้น Argon2 เป็นตัวเลือกที่ดีกว่า Bcrypt ที่นิยมใช้กันอยู่ในปัจจุบัน

นอกเหนือจากการเพิ่มอัลกอริธึมใหม่แล้ว PHP 7.2 ยังมีการนำไลบรารี Mcrypt ซึ่งเป็นไลบรารีการเข้ารหัสที่มีการใช้งานมาอย่างยาวนานออกและแทนที่ด้วย Libsodium ซึ่งมีความทันสมัยกว่าและมีประสิทธิภาพการทำงานที่ดีกว่า โดย PHP นับว่าเป็นภาษาโปรแกรมมิ่งภาษาแรกที่ฝังไลบรารีสำหรับการเข้ารหัส Libsodium ไว้ในตัวมันเองแทนที่จะใช้เป็นปลั๊กอินไลบรารีแบบภาษาอื่นๆ

นักพัฒนาที่สนใจความปลอดภัยที่เพิ่มมากขึ้นสามารถทดลองใช้และตรวจสอบข้อมูลของ PHP 7.2 ได้จาก http://php.

เทคนิคใหม่ Process Doppelgänging ซ่อนมัลแวร์จากแอนติมัลแวร์และโปรแกรมตรวจสอบหลักฐานดิจิตอลได้

กลุ่มนักวิจัยด้านความปลอดภัยจาก Ensilo ได้แก่ Tal Liberman และ Enguene Kogan ได้เปิดเผยเทคนิคใหม่ภายใต้ชื่อ Process Doppelgänging ที่งานสัมมนาด้านความปลอดภัย Black Hat 2017 ซึ่งจัดที่ลอนดอนเมื่อช่วงกลางสัปดาห์ที่ผ่านมา โดยเทคนิคนี้สามารถช่วยซ่อนมัลแวร์ให้ตรวจพบได้ยากขึ้นได้

เทคนิค Process Doppelgänging ใช้ฟีเจอร์หนึ่งของวินโดวส์ชื่อว่า NTFS Transaction ซึ่งแต่เดิมเป็นฟีเจอร์ที่ใช้ในการจัดการไฟล์ในระบบไฟล์ NTFS ร่วมกับ process loader รุ่นเก่าที่มีมาตั้งแต่ Windows XP จนถึงรุ่นปัจจุบัน การดำเนินการใดๆ ที่อยู่ในลักษณะ transaction จะเกิดขึ้นบนหน่วยความจำเท่านั้นและไม่มีการเขียนไฟล์ลงบนดิสก์จริงๆ จนกว่าจะมีการ commit

เริ่มต้นจากการสร้าง transaction เพื่อแก้ไขไฟล์ที่ไม่เป็นอันตรายโดยการสอดแทรกเนื้อหาของมัลแวร์ลงไปในไฟล์ดังกล่าว (ซึ่งแน่นอนว่าเกิดขึ้นบนหน่วยความจำ) โดยการแก้ไขดังกล่าวนั้นมีค่าเทียบเท่ากับการสร้างพื้นที่บนหน่วยความจำที่มีโค้ดของมัลแวร์อยู่ จากนั้นเพื่อลบหลักฐานการแก้ไขไฟล์ไป ผู้โจมตีจะต้องดำเนินการ rollback เพื่อย้อนคืนการแก้ไขใดๆ บนไฟล์ดังกล่าวออก ท้ายที่สุดผู้โจมตีจะทำการใช้ process loader ในการสร้างโปรเซสโดยอ้างอิงไปยังพื้นที่บนหน่วยความจำที่มีโค้ดที่เป็นอันตรายและยังคงอยู่ ทำให้เกิดการรันโค้ดที่เป็นอันตรายโดยไม่ทิ้งร่องรอยไว้ได้

เทคนิค Process Doppelgänging ถูกทดสอบแล้วว่าสามารถใช้งานได้บนวินโดวส์ตั้งแต่ Vista จนถึงวินโดวส์ 10 และในขณะนี้โปรแกรมป้องกันมัลแวร์กว่า 12 รายการยังไม่สามารถตรวจพบเทคนิคนี้ได้ที่ https://thehackernews.

นักวิจัยพบแอปธนาคาร HSBC, TunnelBear VPN เสี่ยงโดนดักข้อมูลแม้ใช้งาน SSL/TLS เนื่องจากตั้งค่าไม่ถูกต้อง

กลุ่มนักวิจัยจาก University of Birmingham พัฒนาซอฟต์แวร์สำหรับตรวจสอบแอปพลิเคชันที่ทำ certificate pinning ว่ามีการทำ host verification ด้วยหรือไม่ ซึ่งจากการทดสอบแอปพลิเคชันของธนาคารทั้ง HSBC, Bank of America, Meezan และ Smile พบว่าไม่มีการทำ host verification อย่างถูกต้องและอาจส่งผลให้ผู้โจมตีมีโอกาสที่จะทำการดักข้อมูลและถอดรหัสแม้ว่าจะมีการใช้ SSL/TLS ได้

Host verification เป็นกระบวนการตรวจสอบว่า hostname ซึ่งปรากฎอยู่บน certificate นั้นถูกต้องตรงกับ hostname ที่เราต้องการจะติดต่อด้วยหรือไม่ อย่างไรก็ตามแอปพลิเคชันที่เน้นเรื่องความปลอดภัยโดยส่วนใหญ่จะมีการทำ certificate pinning ซึ่งทำให้การทดสอบ (อย่างมีประสิทธิภาพ) ว่าแอปมีการทำ host verification อย่างถูกต้องหรือไม่เป็นไปได้ยากขึ้น

กลุ่มนักวิจัยดังกล่าวได้นำเสนอซอฟต์แวร์ Spinner ซึ่งช่วยในการทดสอบแอปแบบ black-box ได้ ซอฟต์แวร์ Spinner ทำหน้าที่ในการรับทราฟิกที่ส่งมาจากผู้ใช้งาน จากนั้นมันจะทำการตรวจสอบข้อมูลเพื่อหาโฮสต์อื่นๆ ที่มีการใช้ certificate ที่มาจาก CA เดียวกันผ่านทางเซอร์วิส Censys เมื่อเจอแล้ว Spinner จะทดสอบรีไดเร็คทราฟิกของผู้ใช้งานไปยังโฮสต์เหล่านั้นและดูพฤติกรรมการตอบรับ หากการส่งข้อมูลนั้นไม่เกิดข้อผิดพลาดใดๆ ก็สามารถตีความได้ว่าแอปไม่มีการทำ host verification อย่างเหมาะสม

ที่มา : thehackernews

พบช่องโหว่ใน Team Viewer !!! ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องได้

Team Viewer โปรแกรมยอดนิยม ที่ช่วยอำนวยความสะดวกในการ Meeting ผ่านระบบออนไลน์, แขร์หน้าจอและรีโมทระหว่างเครื่อง, ย้ายไฟล์ข้ามเครื่อง และอื่นๆ ล่าสุดได้มีการพบช่องโหว่บนโปรแกรม ส่งผลให้ผู้ไม่หวังดีสามารถรีโมทเข้าควบคุมเครื่องได้อย่างสมบูรณ์ โดยไม่ต้องได้รับอนุญาตจากผู้ใช้งานของเครื่อง

ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้งานบน GitHub ที่ใช้ชื่อว่า “Gellin” จากวิธีการที่ได้เปิดเผยออกมาพบว่าเป็นการใช้ dll injection ซึ่งเขียนโดยใช้ C++ เข้าไปแก้ไขสิทธิ์ของ TeamViewer ใน memory โดยตรง จึงส่งผลให้ผู้ใช้งานจะไม่ได้รับการแจ้งเตือนใดๆเลยเมื่อสิทธิ์ถูกปลี่ยน จากการทดสอบบน TeamViewer x86 V.13.0.5058 ได้แสดงให้เห็นว่าหากผู้โจมตีเป็นฝั่ง “Presenter” จะสามารถเรียกใช้ความสามารถ “switch sides” เพื่อเข้าควบคุมเครื่องที่เป็นฝั่ง “Viewer” ได้โดยไม่ต้องรับอนุญาตจากเจ้าของเครื่อง แต่หากผู้โจมตีเป็นฝั่ง “Viewer” จะทำให้สามารถควบคุม mouse ในฝั่งของ “Presenter” ได้

ช่องโหว่นี้ส่งผลกระทบกับ TeamViewer ทั้งบน macOS, Linux และ Windows ในส่วนของ Patch ทางฝั่ง Windows นั้น จากรายงานได้ระบุว่า มีการปล่อยออกมาให้อัพเดทตั้งแต่เมื่อวันอังคารแล้ว แต่ในส่วนของ Linux และ macOS นั้น คาดว่าจะมีการปล่อยออกมาให้อัพเดทในวันอังคาร หรือพุธที่จะถึงนี้ โดยโปรแกรมจะได้รับการอัพเดทให้โดยอัตโนมัติหากมีการเปิดความสามารถนี้เอาไว้ แต่หากไม่ได้เปิดให้อัพเดทอัตโนมัติ ผู้ใช้งานจะได้รับการแจ้งเตือนเมื่อมีการประกาศ Patch ใหม่ออกมา

ที่มา : hackread

ก่อนหน้านี้ Apple ได้พบช่องโหว่ในระบบปฏิบัติการ macOS High Sierra ที่ส่งผลให้สามารถได้สิทธิ์ root ได้โดยไม่ต้องใช้รหัสผ่าน ทำให้ Apple ต้องรีบออกอัพเดต macOS เพื่อแก้ปัญหานี้ไปตั้งแต่เมื่อวันที่ 28 พฤศจิกายนที่ผ่าน โดยใช้เวลาเพียงแค่ 24 ชั่วโมงหลังจากมีการพบช่องโหว่

ช่องโหว่นี้ได้รับรหัส CVE-2017-13872 และมีผลกระทบกับ macOS high Sierra 10.13 และ macOS high Sierra 10.13.1 เท่านั้น ไม่ส่งผลกระทบต่อ macOS Sierra 10.12.6 และเวอร์ชันก่อนหน้า

Apple ได้แนะนำให้ผู้ใช้อัพเดตทันที และตรวจสอบว่ามีการอัพเดต Security Update 2017-001
เรียบร้อยแล้วหรือไม่ โดยการ :
1. เปิด Terminal ซึ่งอยู่ใน Utilities folder ของ Applications
2. พิมพ์ what /usr/libexec/opendirectoryd กด Return
3. หากมีการติดตั้ง Security Update 2017-001 เรียบร้อยแล้วหมายเลขเวอร์ชันจะเปลี่ยนดังนี้
opendirectoryd-483.1.5 ใน macOS High Sierra 10.13
opendirectoryd-483.20.7 ใน macOS High Sierra 10.13.1

หากผู้ใช้งานต้องการใช้งาน Root User Account บน Mac จะต้องทำการ Enable Root User ใหม่อีกครั้ง และทำการเปลี่ยนรหัสผ่านของ Root หลังจากการอัพเดต

ที่มา: zdnet

Cisco ได้ปรับปรุงแก้ไขช่องโหว่ใน WebEx Network Recording Player สำหรับรูปแบบการบันทึกไฟล์แบบ Advanced Recording Format(ARF) และ WebEx Recording Format(WRF) ซึ่งช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ Remote เข้ามาควบคุมเครื่องได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ ประกอบด้วย
• Cisco WebEx Business Suite (WBS30) client builds รุ่นก่อน T30.20
• Cisco WebEx Business Suite (WBS31) client builds รุ่นก่อน T31.14.1
• Cisco WebEx Business Suite (WBS32) client builds รุ่นก่อน T32.2
• Cisco WebEx Meetings with client builds รุ่นก่อน T31.14
• Cisco WebEx Meeting Server builds รุ่นก่อน 2.7MR

ทั้งนี้แนะนำให้ผู้ใช้งานทำการอัพเดทผลิตภัณฑ์ของตัวเองให้เป็นเวอร์ชั่นล่าสุด

ที่มา: us-cert

เมื่อช่วงปลายปี 2016 ทาง Uber พบว่ามีแฮ็กเกอร์ 2 ราย เข้าถึงข้อมูลของผู้ใช้งาน Uber ที่ถูกเก็บไว้บน Cloud ของบริษัทผู้ให้บริการอย่างไม่ถูกต้อง โดยพบว่ามีข้อมูลของผู้ใช้งานรั่วไหลออกไปประมาณ 57 ล้านรายการ และแบ่งเป็นข้อมูลของคนขับประมาณ 600,000 รายการ ข้อมูลที่ได้ไปมีเพียงชื่อ, เลขที่ใบขับขี่ของคนขับ, E-mail และเบอร์โทรศัพท์มือถือของผู้ใช้งาน ไม่พบว่ามีข้อมูลในส่วนของเลขที่บัตรเครดิต, เลขที่บัญชีธนาคาร , Social Security Number, วันเกิด และข้อมูลตำแหน่งที่เคยเดินทางรั่วไหลออกไปแต่อย่างๆไร จากรายงานยังมีการระบุว่าแฮ็กเกอร์ได้มีการเรียกร้องเงินเป็นจำนวน $100,000 เพื่อแลกกับการปกปิด และทำลายข้อมูลที่ได้ไปดังกล่าว และทาง Uber ก็ได้ยอมจ่ายเงินจำนวนดังกล่าวไปให้เรียบร้อยแล้ว

ที่มา : uber

เมื่อวันที่ 20 พฤศจิกายนที่ผ่านมา Intel ได้มีการออกประกาศการปล่อยแพตช์ด้านความปลอดภัยสำหรับซอฟต์แวร์ Intel ME, Intel SPS และ Intel TXE ที่อาจส่งผลให้ผู้โจมตีรันโค้ดที่เป็นอันตรายหรือยกระดับสิทธิ์ได้
ประเด็นสำคัญของช่องโหว่นี้นั้นคือซอฟต์แวร์ที่มีช่องโหว่เป็นซอฟต์แวร์ (หรือระบบปฏิบัติการ) ขนาดเล็กที่อยู่ในหน่วยประมวลผลกลาง (CPU) เพื่อจุดประสงค์ในการจัดการและควบคุมการทำงานของ CPU และมีสิทธิ์ในการเข้าถึงข้อมูลทั้งหมดที่มีการประมวลผลอยู่ในระดับระบบปฏิบัติการหลักที่อยู่สูงขึ้นไป ซึ่งถือว่ามีสิทธิ์ในการเข้าถึงข้อมูลสูงที่สุด
การค้นพบการมีอยู่ของช่องโหว่ดังกล่าวอาจทำให้คอมพิวเตอร์ที่ใช้ CPU ของ Intel ตั้งแต่เดือนสิงหาคม 2015 เป็นต้นมาอาจได้รับผลกระทบจากช่องโหว่ทั้งหมด และช่องโหว่ดังกล่าวก็ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงซึ่งอาจส่งผลต่อความปลอดภัยของระบบอย่างร้ายแรงอีกด้วย รายละเอียดเพิ่มเติม

ที่มา : intel