ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

"Hotpatch" ที่เผยแพร่โดย Amazon Web Services (AWS) เพื่อแก้ไขปัญหาช่องโหว่ของ Log4Shell กลับทำให้ผู้โจมตีสามารถใช้ในการเพิ่มระดับสิทธิ์ และ container escape ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้

นอกเหนือจาก Container แล้ว กระบวนการที่ไม่ได้รับสิทธินี้ยังสามารถใช้ประโยชน์จากแพตช์เพื่อยกระดับสิทธิ์ และใช้ root code execution ได้” Yuval Avrahami นักวิจัยจาก Palo Alto Networks Unit 42 กล่าวในรายงานที่เผยแพร่ในสัปดาห์นี้

ปัญหาของช่องโหว่ CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 และ CVE-2022-0071 (คะแนน CVSS: 8.8) ซึ่งเป็นผลกระทบมาจากแพตช์แก้ไขเร่งด่วนจาก AWS โดยเกิดมาจากการที่แพตซ์ถูกออกแบบมาเพื่อค้นหา process ของ Java และแก้ไขช่องโหว่ของ Log4j แต่ไม่ได้มีการตรวจสอบ process ของ Java ใหม่ ที่จะทำงานภายในข้อจำกัดที่กำหนดไว้ใน Container

process ใดๆที่มีการรันในไบนารีชื่อว่า 'java' ไม่ว่าภายใน หรือภายนอก Container จะถูกแก้ไขจากแพตช์เร่งด่วนที่ออกมานี้" Avrahami อธิบายอย่างละเอียดว่า "ซึ่งทำให้ Malicious container อาจใช้ Malicious binary ที่มีชื่อว่า 'java' เพื่อหลอกให้แพตช์แก้ไขเร่งด่วนที่ติดตั้งไว้ เรียกใช้ด้วยสิทธิ์ระดับสูง"

ในขั้นตอนต่อมา สิทธิ์ที่ยกระดับขึ้นอาจถูกนำไปใช้ประโยชน์โดย malicious 'java' process เพื่อหลีกเลี่ยงการตรวจจับของ Container และเข้าควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์

"Container มักถูกใช้เป็นขอบเขตความปลอดภัยระหว่างแอปพลิเคชันที่ทำงานบนเครื่องเดียวกัน" Avrahami กล่าว "การหลีกเลี่ยงการตรวจจับของ Container ทำให้ผู้โจมตีสามารถขยายแคมเปญได้มากกว่าแอปพลิเคชันเดียว"

ขอแนะนำให้ผู้ใช้อัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews.

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer