เครื่องมือใหม่ที่ชื่อว่า 'Defendnot' สามารถปิดการทำงานของ Microsoft Defender บนอุปกรณ์ Windows ได้ โดยการลงทะเบียนโปรแกรม Antivirus ปลอม แม้ว่าจะไม่มี Antivirus จริงติดตั้งอยู่ก็ตาม

เทคนิคนี้ใช้ประโยชน์จาก API ของ Windows Security Center (WSC) ที่ไม่ได้มีการเปิดเผยทางเอกสาร โดยปกติแล้ว Antivirus จะใช้เพื่อแจ้งให้ Windows ทราบว่ามีการติดตั้งแล้ว และกำลังจัดการการป้องกันแบบ Real-time สำหรับอุปกรณ์นั้น

เมื่อมีการลงทะเบียนโปรแกรม Antivirus ปลอมแล้ว ระบบของ Windows จะปิดการทำงานของ Microsoft Defender โดยอัตโนมัติ เพื่อหลีกเลี่ยงความขัดแย้งจากการที่มีแอปพลิเคชันรักษาความปลอดภัยหลายตัวบนอุปกรณ์เดียวกัน

เครื่องมือ Defendnot ที่ถูกสร้างโดยนักวิจัยที่ชื่อว่า es3n1n ใช้ช่องโหว่ของ API ดังกล่าว โดยทำการลงทะเบียนผลิตภัณฑ์ Antivirus ปลอมที่ผ่านการตรวจสอบความถูกต้องของ Windows ได้ทั้งหมด

เครื่องมือนี้มีพื้นฐานมาจากโปรเจกต์ก่อนหน้านี้ที่ชื่อว่า no-defender ซึ่งใช้โค้ดจากโปรแกรม Antivirus ของ third-party อื่น เพื่อปลอมแปลงการลงทะเบียนกับ WSC (Windows Security Center) อย่างไรก็ตาม เครื่องมือเวอร์ชั่นก่อนหน้านั้นถูกลบออกจาก GitHub หลังจากที่ผู้พัฒนา Antivirus รายนั้น ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA (แจ้งให้ลบเนื้อหาเนื่องจากละเมิดลิขสิทธิ์)

นักพัฒนา ระบุไว้ใน blog post ว่า "หลังจากเปิดตัวไปไม่กี่สัปดาห์ โปรเจกต์นี้ก็ได้รับความสนใจอย่างมาก และได้รับดาว (stars) บน GitHub ไปประมาณ 1,500 ดวง หลังจากนั้น นักพัฒนาโปรแกรม Antivirus ที่ถูกใช้ ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA และตัวเขาก็ไม่อยากจะไปยุ่งเกี่ยวกับเรื่องนั้นอีก ก็เลยลบทุกอย่างทิ้งแล้วก็จบเรื่องไป"

Defendnot หลีกเลี่ยงปัญหาลิขสิทธิ์ด้วยการสร้างฟังก์ชันการทำงานขึ้นมาใหม่ทั้งหมดผ่านไฟล์ DLL ของโปรแกรม Antivirus ปลอม

โดยปกติแล้ว WSC API จะได้รับการป้องกันผ่านระบบ Protected Process Light (PPL), digital signatures ที่ถูกต้อง และคุณสมบัติอื่น ๆ

เพื่อหลีกเลี่ยงข้อกำหนดเหล่านี้ Defendnot จะทำการแทรกไฟล์ DLL ของตนเองเข้าไปยังโปรเซสของระบบที่ชื่อว่า Taskmgr.

ผู้เชี่ยวชาญจาก SEKOIA พบเคมเปญการโจมตีขนาดใหญ่ที่มีการใช้งานโดเมนกว่า 1,300 โดเมนในการปลอมเป็น Official Site ของโปรแกรมรีโมทที่ใช้งานกันแพร่หลายอย่าง AnyDesk โดยจะเปลี่ยนเส้นทางของผู้ใช้งานไปยัง Dropbox ที่ใช้สำหรับติดตั้งมัลแวร์ขโมยข้อมูลที่มีชื่อว่า Vidar ซึ่ง Host ทั้งหมดใช้มาจาก IP เดียวกันคือ 185.149.120[.]9

ปัจจุบันโดเมนส่วนใหญ่ยังคงออนไลน์อยู่ แต่ก็มีบางโดเมนถูกรายงาน และปิดโดยผู้ให้บริการ Hosting รวมไปถึงถูกบล็อกจาก AntiVirus นอกจากนี้ลิงก์ Dropbox ของเว็ปไซต์ที่เปิดอยู่จะไม่ทำงานอีกต่อไปเนื่องจากมีรายงานไฟล์ที่เป็นอันตรายไปยังผู้ให้บริการ อย่างไรก็ตามแคมเปญเหล่านี้ชี้ไปที่เว็ปไซต์ปลายทางเดียวกัน ทำให้ผู้โจมตีสามารถแก้ไขปัญหาได้โดยอัปเดต URL ดาวน์โหลดไปยังเว็ปไซต์อื่นแทน

ลักษณะการทำงาน

ในแคมเปญล่าสุดที่ค้นพบเว็ปไซต์ปลอมต์ต่าง ๆ จะทำการแจกจ่ายไฟล์ที่ชื่อ 'AnyDeskDownload.

นักวิจัยด้านความปลอดภัยจาก Yair ค้นพบวิธีการใช้ช่องโหว่จากความสามารถของ Endpoint Detection and Response (EDR) และ Anti-Virus (AV) ที่ใช้กันอย่างแพร่หลายอย่าง Microsoft, SentinelOne, TrendMicro, Avast และ AVG ที่อยู่บนระบบของเหยื่อ เพื่อปกปิดพฤติกรรมการโจมตี, หลีกเลี่ยงการใช้สิทธิผู้ใช้งานระดับสูงในการโจมตี และสามารถลบทำลายข้อมูลได้ ซึ่งเป็นการโจมตีลักษณะเดียวกับ Wipers Malware โดยตั้งชื่อว่า “Aikido Wiper”

Wipers Malware คือ มัลแวร์ชนิดพิเศษที่มีเป้าหมายในการลบ หรือทำลายข้อมูลในระบบที่ถูกโจมตี และป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้

การค้นพบช่องโหว่

AV และ EDR มีความสามารถในการสแกนไฟล์ของคอมพิวเตอร์ เพื่อค้นหาไฟล์ที่เป็นอันตราย รวมถึงโหมด Real-Time Protection ที่จะสแกนไฟล์โดยอัตโนมัติ เมื่อไฟล์ถูกสร้างขึ้น และทำการวิเคราะห์ว่าไฟล์นั้นเป็นอันตรายหรือไม่ และถ้าพบว่าไฟล์นั้นเป็นอันตราย ก็จะถูกลบ (Deleted)/ กักกัน(Quarantined) ทันที โดยมี 2 กระบวนการ คือ กระบวนการแรก AV หรือ EDR ระบุได้ว่าไฟล์นั้นเป็นอันตราย และกระบวนการถัดมา AV หรือ EDR ดำเนินการลบไฟล์ที่เป็นอันตราย

แต่ถ้าหากเกิดมีการเปลี่ยนแปลงที่อยู่ของไฟล์ จะทำให้ AV หรือ EDR เปลี่ยนเปลี่ยนแปลงที่อยู่ของไฟล์ที่จะดำเนินการลบไปด้วย ซึ่งวิธีการนี้คือช่องโหว่ที่เรียกว่า time-of-check to time-of-use (TOCTOU)

ลักษณะการโจมตี

นักวิจัยได้ทำการทดสอบการใช้ช่องโหว่ time-of-check to time-of-use (TOCTOU) ด้วยขั้นตอนดังนี้

สร้างไฟล์ที่เป็นอันตรายที่ C:\temp\Windows\System32\drivers\ Mimikatz (ซึ่งไฟล์ Mimikatz จะถูกเปลี่ยนชื่อไฟล์เป็น ndis.

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.

ESET ผู้ให้บริการด้านความปลอดภัยบนอินเทอร์เน็ต ออกมาแจ้งเตือนถึงช่องโหว่ Local Privilege Escalation มีความรุนแรงระดับสูง และส่งผลกระทบหลายผลิตภัณฑ์ที่ใช้ Windows 10, Windows Server 2016 และเวอร์ชันที่ใหม่กว่านั้น แนะนำให้ผู้ใช้รีบอัปเดตแพตช์เพื่ออุดช่องโหว่ทันที

ช่องโหว่ (CVE-2021-37852) ถูกค้นพบโดย Michael DePlante จาก Trend Micro Zero Day Initiative ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตัวเองไปยังสิทธิ์บัญชี NT AUTHORITY\SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ Windows ได้โดยใช้ Windows Antimalware Scan Interface (AMSI)

รายการผลิตภัณฑ์ของ ESET ที่ได้รับผลกระทบจากช่องโหว่นี้

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security และ ESET Smart Security Premium ตั้งแต่เวอร์ชัน 10.0.337.1 ถึง 15.0.18.0
ESET Endpoint Antivirus for Windows และ ESET Endpoint Security for Windows ตั้งแต่เวอร์ชัน 6.6.2046.0 ถึง 9.0.2032.4
ESET Server Security for Microsoft Windows Server 8.0.12003.0 และ 8.0.12003.1,
ESET File Security for Microsoft Windows Server ตั้งแต่เวอร์ชัน 7.0.12014.0 ถึง 7.3.12006.0
ESET Server Security for Microsoft Azure ตั้งแต่เวอร์ชัน 7.0.12016.1002 ถึง 7.2.12004.1000
ESET Security for Microsoft SharePoint Server ตั้งแต่เวอร์ชัน 7.0.15008.0 ถึง 8.0.15004.0
ESET Mail Security for IBM Domino ตั้งแต่เวอร์ชัน 7.0.14008.0 ถึง 8.0.14004.0
ESET Mail Security for Microsoft Exchange Server ตั้งแต่เวอร์ชัน 7.0.10019 ถึง 8.0.10016.0

ผู้ใช้ ESET ผลิตภัณฑ์ต่างๆ ควรอัปเดทให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว และทาง ESET แจ้งว่าปัจจุบันยังไม่พบรายงานเกี่ยวกับการโจมตีบนช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer

พบมัลแวร์ใช้ Trick ในการหลบการป้องกันและตรวจจับ Ransomware ของ Antivirus หลาย Product

นักวิจัยได้เปิดเผยจุดอ่อนด้านความปลอดภัยที่สำคัญในแอปพลิเคชั่นซอฟต์แวร์ Antivirus
ที่ถูกนำไปใช้ในเพื่อหลีกเลี่ยงการป้องกันของระบบ Anti-ransomware

นักวิชาการจาก University of Luxembourg และ University of London พบว่ามีการโจมตีที่มีวัตถุประสงค์เพื่อหลีกเลี่ยงโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware เพื่อเข้ารหัสไฟล์ หรือที่เรียกกันว่า “Cut and mouse” และทำการปิดการป้องกันแบบ real-time โดยจำลองการคลิกของเมาส์ หรือที่เรียกกันว่า “Ghost Control” โดยจะมีชุดแอปพลิเคชั่นที่ได้รับสิทธิ์ในการเข้าถึงและเขียนไฟล์ไปยังโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware โดยที่แอปพลิเคชั่นนั้นจะไม่โดนตรวจสอบจาก Antivirus เนื่องจากเป็นโปรแกรมที่ได้รับอนุญาตอยู่แล้ว (more…)

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT

นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์

กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.

Kaspersky ได้ออกมาประกาศว่าจะมีการปล่อยเวอร์ชันฟรีของผลิตภัณฑ์แอนติไวรัสให้กับผู้ใช้งาน โดยในเวอร์ชันฟรีตัวนี้จะประกอบด้วยฟังก์ชันทั่วไป อาทิ การตรวจสอบมัลแวร์ในไฟล์ อีเมลและเว็บ รวมไปถึงฟังก์ชันในการกักกันไฟล์ที่เป็นอันตราย อย่างไรก็ตามฟังก์ชัน อาทิ ฟังก์ชันควบคุมการใช้งานหรือฟังก์ชัน VPN จะคงจำกัดอยู่ในกลุ่มของผลิตภัณฑ์เวอร์ชันเต็มที่จะต้องจ่ายเงินซื้อ

แอนติไวรัสของ Kaspersky ในรุ่นฟรีน่าจะมีการเปิดให้ผู้ใช้งานในไทยสามารถเข้าไปดาวโหลดในช่องเดือนพฤศจิกายน 2017 นี้

ที่มา : zdnet