DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้
นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11
(more…)
นักวิจัยพบวิธีการโจมตีที่ไม่เคยตรวจพบมาก่อนที่ชื่อว่า NoFilter ซึ่งถูกพบว่าใช้ Windows Filtering Platform (WFP) เพื่อทำการยกระดับสิทธิ์ในระบบปฏิบัติการ Windows
(more…)
นักวิจัยจาก Security Joes บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานการพบเทคนิคการโจมตีแบบ Process Injection รูปแบบใหม่ในชื่อ “Mockingjay” ที่ใช้ในการหลีกเลี่ยงการตรวจจับของ EDR (Endpoint Detection and Response) รวมถึงผลิตภัณฑ์รักษาความปลอดภัยอื่น ๆ เพื่อเรียกใช้คำสั่งอันตรายบนระบบเป้าหมาย
โดยเทคนิคการโจมตี Mockingjay จะใช้ DLL ที่ได้รับการรับรอง พร้อมกับสิทธิ์ RWX (read, write, execute) ในการหลีกเลี่ยง EDR hooks และแทรกคำสั่งอันตรายจากระยะไกล
Process injection เป็นวิธีการเรียกใช้คำสั่งจากใน Process ที่กำลังทำงานอยู่ในระบบ ซึ่งเป็นระบบที่ได้รับการเชื่อใจจากระบบ (trusted by the operating system) จึงทำให้ Hacker สามารถเรียกใช้งานคำสั่งอันตรายโดยไม่ถูกตรวจจับได้ ตัวอย่างของเทคนิคการโจมตีนี้ได้แก่ DLL injection, PE (portable executable) injection, reflective DLL injection, thread execution hijacking, process hollowing, mapping injection, APC (asynchronous procedure call) injection และอื่น ๆ
เทคนิคการโจมตี Mockingjay
Security Joes ได้ทำการวิจัยเพื่อค้นหา DLL ที่มีช่องโหว่พร้อมกับสิทธิ์ RWX เริ่มต้น เพื่อให้สามารถแก้ไขเนื้อหา และดาวน์โหลดคำสั่งอันตรายโดยไม่ต้องดำเนินการขอสิทธิ์เพิ่มเติม
ซึ่งนักวิจัยพบ DLL อันตรายจาก DLL msys-2.0.dll ภายใน Visual Studio 2022 Community ซึ่งมีสิทธิ์ RWX เริ่มต้นที่มีขนาด 16 KB
โดยการใช้ประโยชน์จากส่วน RWX ที่มีอยู่แล้วนี้ ทำให้สามารถป้องกันหน่วยความจำในตัว และหลีกเลี่ยงการตรวจสอบของ EDR รวมถึงเพิ่มประสิทธิภาพในการโจมตีแบบ injection
ซึ่งทางทีม Security Joes ได้ทำการพัฒนากระบวนการโจมตีแบบ injection 2 วิธี คือ self-injection และ remote process injection
self-injection ทดลองโดยการใช้ custom application ("nightmare.
นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย
โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing
โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์
Double DLL sideloading
DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่
เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ
โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.
นักวิจัยด้านความปลอดภัยพบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อว่า SYS01stealer ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ
Morphisec รายงานว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย
การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจ
โดย Morphisec ระบุว่า แคมเปญนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail
WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้โจมตีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ
โดยรายงานจาก Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่
การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้
แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.
มัลแวร์ Ursnif เวอร์ชันใหม่ (หรือที่รู้จักในชื่อ Gozi) ปรับตัวเองกลายเป็น backdoor ธรรมดา หลังจากถอดฟังก์ชันโทรจันสำหรับขโมยข้อมูลของธนาคารออกไป
การเปลี่ยนแปลงนี้แสดงให้เห็นว่า Ursnif เวอร์ชันใหม่กำลังมุ่งเน้นไปที่การแพร่กระจายแรนซัมแวร์ โดยเวอร์ชันใหม่นี้มีชื่อว่า “LDR4” ซึ่งถูกพบเมื่อวันที่ 23 มิถุนายน 2022 ที่ผ่านมา
โดยนักวิจัยจากบริษัท Mandiant ที่เป็นผู้วิเคราะห์ตัวมัลแวร์ เชื่อว่าตัวมัลแวร์ถูกปล่อยโดยกลุ่มเดียวกันกับมัลแวร์เวอร์ชัน RM3 ในช่วงหลายปีที่ผ่านมา
แคมเปญใหม่ของ Ursnif
มัลแวร์ Ursnif LDR4 ถูกส่งผ่านอีเมลเสนองานจากบริษัทจัดหางานปลอมที่มีลิงก์ไปยังเว็บไซต์ที่แอบอ้างเป็นบริษัทที่ถูกต้อง
โดยวิธีนี้กลุ่ม Ursnif เคยใช้มาก่อนแล้วในอดีต เมื่อเข้าไปยังเว็บไซต์ดังกล่าว จะต้องผ่านหน้า CAPTCHA ก่อน จึงจะสามารถดาวน์โหลดเอกสาร Excel ซึ่งภายในมีมาโครที่ใช้ดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอกมาอีกครั้งหนึ่ง
LDR4 มาในรูปแบบ DLL (“loader.
กลุ่ม BlackByte ransomware มีการใช้งานเครื่องมือเวอร์ชันใหม่ในการขโมยข้อมูล ซึ่งเป็นเครื่องมือที่ถูกสร้างขึ้นเองชื่อว่า 'ExByte' เพื่อใช้ขโมยข้อมูลจากอุปกรณ์ Windows ที่ถูกโจมตีได้อย่างรวดเร็ว
การขโมยข้อมูลนี้เป็นส่วนหนึ่งของขั้นตอนที่สำคัญที่สุดในการโจมตีแบบ double-extortion โดย BleepingComputer ระบุว่าบริษัทต่างๆ จะยอมจ่ายค่าไถ่เพื่อป้องกันการรั่วไหลของข้อมูลมากกว่าการรับตัวถอดรหัส
ด้วยเหตุนี้ทำให้การทำงานของกลุ่มแรนซัมแวร์ รวมถึง ALPHV และ LockBit มีการพัฒนาอย่างต่อเนื่องเพื่อปรับปรุงเครื่องมือที่ใช้สำหรับขโมยข้อมูล
กลุ่มแฮ็กเกอร์อื่น ๆ เช่น Karakurt ไม่สนใจกับการเข้ารหัสในเครื่อง โดยจะมุ่งเน้นในการโจมตีเพื่อขโมยข้อมูลเท่านั้น
เครื่องมือที่ใช้สำหรับการขโมยข้อมูล Exbyte
Exbyte ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ Symantec ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือในการขโมยข้อมูลแบบ Go-based เพื่ออัปโหลดไฟล์ที่ถูกขโมยโดยตรงไปยังบริการจัดเก็บข้อมูลระบบคลาวด์ของ Mega
เมื่อเริ่มดำเนินการ เครื่องมือจะทำการตรวจสอบการป้องกันการวิเคราะห์ เพื่อตรวจสอบการทำงานว่าอยู่ใน SANDBOX หรือไม่ และตรวจหาโปรแกรม debuggers และกระบวนการป้องกันมัลแวร์
processes ที่ Exbyte จะทำการตรวจสอบ คือ:
MegaDumper 1.0 by CodeCracker / SnD
Import reconstructor
x64dbg
x32dbg
OLLYDBG
WinDbg
The Interactive Disassembler
Immunity Debugger – [CPU]
นอกจากนี้ มัลแวร์ยังตรวจสอบการมีอยู่ของไฟล์ DLL ต่อไปนี้:
avghooka.
NVIDIA ได้เปิดตัวเเพตซ์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ ‘High Severity’ ใน Windows GPU Driver ซึ่งอาจนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต, การยกระดับสิทธิ์ของผู้ใช้, การเปิดเผยข้อมูลที่มีความสำคัญและการปฏิเสธการให้บริการ (DoS) โดยช่องโหว่มีรายละเอียดดังนี้
CVE‑2020‑5979 (CVSS: 7.8/10) เป็นช่องโหว่ในคอมโพเนนต์ของ NVIDIA Display Driver ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถทำการยกระดับสิทธิ์ของผู้ใช้wfh
CVE‑2020‑5980 (CVSS: 7.8/10) เป็นช่องโหว่ในองค์ประกอบของไฟล์ DLL ใน NVIDIA Windows GPU Display Driver ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตและทำให้เกิดการปฏิเสธการให้บริการ (DoS)
CVE‑2020‑5981 (CVSS: 7.8/10) เป็นช่องโหว่ในใน DirectX 11 ของ NVIDIA Windows GPU Display Drive ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถที่สร้าง shader ขึ้นมาเป็นพิเศษอาจทำให้เกิดการเข้าถึงหน่วยความจำในลักษณะที่ผิดปกติและอาจทำให้เกิดการปฏิเสธการให้บริการ (DoS)
CVE ‑ 2020‑5982 (CVSS: 4.4/10) เป็นช่องโหว่ใน Kernel Mode ของ NVIDIA Windows GPU Display Driver ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถทำให้เกิดการปฏิเสธการให้บริการ (DoS)
ทั้งนี้การจะใช้ประโยชน์จากช่องโหว่ได้นั้นผู้โจมตีต้องอยู่ในระบบก่อนหรือต้องเป็น local user ถึงจะสามารถเรียกประโยชน์จากช่องโหว่และทำการโจมตีได้ ผู้ใช้ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี
ที่มา : bleepingcomputer
Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮกเกอร์
จากการตรวจสอบพบว่าแฮกเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดทโปรแกรม
เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่น ชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง
สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อน
ที่มา : blognone