นักวิจัยของ Zscaler บริษัทด้านความปลอดภัย ได้เผยแพร่รายงานการพบการเปลี่ยนแปลงเครื่องมือการโจมตีของกลุ่ม Hacker โดยพบการใช้เครื่องมือ open-source command and control (C2) framework ที่มีชื่อว่า Havoc แทนที่เครื่องมือเดิมอย่าง Cobalt Strike และ Brute Ratel

Havoc เป็นเครื่องมือ open-source command and control (C2) framework ที่มีโมดูลหลากหลายซึ่งช่วยให้ Pentester และ hacker สามารถทำงานต่าง ๆ บนอุปกรณ์ที่ถูกโจมตีได้ รวมถึงการดำเนินการคำสั่ง, การจัดการ process, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การจัดการ Windows token และการดำเนินการจาก shellcode โดยทั้งหมดนี้สามารถทำได้ ผ่าน web-based management console ซึ่งจะช่วยให้ hacker สามารถมองเห็นอุปกรณ์ เหตุการณ์ และ Output จากเครื่องเหยื่อได้ทั้งหมด โดยความสามารถที่น่าสนใจที่สุดของ Havoc คือการทำงาน cross-platform และหลบเลี่ยงการตรวจจับจาก Microsoft Defender บนอุปกรณ์ Windows 11 โดยใช้วิธีการต่าง ๆ เช่น sleep obfuscation, return address stack spoofing และ indirect syscalls เป็นต้น

การค้นพบ Havoc

ทีมวิจัยจาก Zscaler ThreatLabz ได้ตรวจพบว่า shellcode loader ที่ถูกทิ้งไว้บนระบบที่โดนโจมตีจะไปปิดการใช้งาน Event Tracing for Windows (ETW) และเพย์โหลดสุดท้ายของ Havoc Demon จะถูกโหลดโดยไม่มีส่วนหัวของ DOS และ NT เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึง framework นี้ยังถูกปรับใช้ผ่านแพ็คเกจ npm ที่เป็นอันตราย (Aabquerys) อีกด้วย

โดย Demon.

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CrowdStrike ออกมาเปิดเผยการค้นพบเทคนิคใหม่ในชื่อ “Blindside” ซึ่งถูกใช้โดยมัลแวร์ที่มีชื่อว่า GuLoader ซึ่งสามารถหลีกเลี่ยงการตรวจจับ (Defense Evasion) จาก Security Software ได้

GuLoader หรือ CloudEyE เป็น Visual Basic Script (VBS) downloader ที่ถูกใช้เพื่อแพร่กระจายโทรจันที่ถูกควบคุมจากระยะไกล (Remote Access Trojans RAT) ในชื่อ Remcos รวมไปถึง JavaScript malware ที่มีชื่อว่า RATDispenser

วิธีการโจมตี

โดย Visual Basic Script (VBS) ที่ถูกออกแบบมาของ GuLoader จะเรียกใช้ shellcode ที่ฝังมาลงในหน่วยความจำบนเครื่องเหยื่อหลังจากผ่านกระบวนการตรวจสอบ และหลีกเลี่ยงการตรวจจับดังนี้

ทำการสแกนหน่วยความจำของค่าสตริงที่เกี่ยวข้องกับ virtual machine (VM) / virtualization software หากพบจะหยุดการทำงานของ shellcode
หลบหลีกการวิเคราะห์ และป้องกันการ debug ในระหว่างการดำเนินการ โดยจะแสดงข้อความ error message หากพบว่ากำลังถูกตรวจสอบ

จากนั้นจึงจะทำการดาวน์โหลด payload การติดตั้งโทรจันที่สามารถใช้ควบคุม สั่งการเครื่องเหยื่อจากระยะไกล (Remote Access Trojans RAT) เพื่อให้ Hacker สามารถโจมตี และสั่งการได้จากระยะไกลได้

รวมถึง CrowdStrike ยังพบว่า GuLoader ได้ใช้เทคนิคใหม่ที่เรียกว่า "Redundant Code Injection Mechanism" หรือที่ถูกเรียกในชื่อ “Blindside” เพื่อหลีกเลี่ยง NTDLL.dll hooking ซึ่งเป็นเทคนิคที่ endpoint detection and response (EDR) ใช้ในการตรวจับ process ที่น่าสงสัยบน Windows โดยการตรวจสอบจาก windows API

ซึ่ง Cymulate บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาแล้วในปัจจุบัน

ที่มา : thehackernews

ReversingLabs พบการเผยแพร่แพ็คเกจ Python ที่เป็นอันตรายบน PyPI ในชื่อ SentinelOne SDK ที่น่าเชื่อถือจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา โดยมีเป้าหมายคือการขโมยข้อมูลจากนักพัฒนาที่ดาวน์โหลดแพ็คเกจ

โดยที่ SentinelOne เป็นบริษัทซอฟต์แวร์การรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงทางด้าน Endpoint detection and response (EDR)

โดย Hacker เขียนอธิบายใน SentinelOne SDK package ที่เผยแพร่เอาไว้ว่าเป็นแพ็คเกจ Python ที่รวบรวมฟังก์ชัน SentinelOne API ไว้อย่างครบถ้วน

แต่จากการตรวจสอบแพ็คเกจ Python นี้ พบว่าเป็นสำเนาของ SentinelOne SDK จริง เนื่องจากมี auth tokens, secrets และ API keys ที่ถูกต้อง แต่ไฟล์ถูกดัดแปลงด้วยการฝังโทรจันเอาไว้ รวมไปถึงโค้ดที่เป็นอันตรายเพื่อทำการเก็บรวบรวมข้อมูล และส่งข้อมูลกลับไปยัง Hacker เช่น ข้อมูลประวัติ Bash/ Zsh, SSH keys, ไฟล์ .gitconfig, ไฟล์ hosts, ข้อมูลค่า AWS configuration, ข้อมูลค่า Kube configuration และอื่น ๆ โดยคาดว่าเป็นการโจมตีที่มุ่งเป้าหมายไปยังบริการคลาวด์ และเซิร์ฟเวอร์ของนักพัฒนา รวมไปถึงมัลแวร์ดังกล่าวยังสามารถเก็บรวบรวมข้อมูลในระบบปฏิบัติการ Linux ได้อีกด้วย

ReversingLabs ยังพบว่า มีอีก 5 แพ็คเกจที่ชื่อคล้ายกัน และถูกอัปโหลดโดยผู้เผยแพร่คนเดียวกัน ระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 ซึ่งแพ็คเกจเหล่านี้ไม่มีไฟล์ api.

นักวิจัยด้านความปลอดภัยจาก Yair ค้นพบวิธีการใช้ช่องโหว่จากความสามารถของ Endpoint Detection and Response (EDR) และ Anti-Virus (AV) ที่ใช้กันอย่างแพร่หลายอย่าง Microsoft, SentinelOne, TrendMicro, Avast และ AVG ที่อยู่บนระบบของเหยื่อ เพื่อปกปิดพฤติกรรมการโจมตี, หลีกเลี่ยงการใช้สิทธิผู้ใช้งานระดับสูงในการโจมตี และสามารถลบทำลายข้อมูลได้ ซึ่งเป็นการโจมตีลักษณะเดียวกับ Wipers Malware โดยตั้งชื่อว่า “Aikido Wiper”

Wipers Malware คือ มัลแวร์ชนิดพิเศษที่มีเป้าหมายในการลบ หรือทำลายข้อมูลในระบบที่ถูกโจมตี และป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้

การค้นพบช่องโหว่

AV และ EDR มีความสามารถในการสแกนไฟล์ของคอมพิวเตอร์ เพื่อค้นหาไฟล์ที่เป็นอันตราย รวมถึงโหมด Real-Time Protection ที่จะสแกนไฟล์โดยอัตโนมัติ เมื่อไฟล์ถูกสร้างขึ้น และทำการวิเคราะห์ว่าไฟล์นั้นเป็นอันตรายหรือไม่ และถ้าพบว่าไฟล์นั้นเป็นอันตราย ก็จะถูกลบ (Deleted)/ กักกัน(Quarantined) ทันที โดยมี 2 กระบวนการ คือ กระบวนการแรก AV หรือ EDR ระบุได้ว่าไฟล์นั้นเป็นอันตราย และกระบวนการถัดมา AV หรือ EDR ดำเนินการลบไฟล์ที่เป็นอันตราย

แต่ถ้าหากเกิดมีการเปลี่ยนแปลงที่อยู่ของไฟล์ จะทำให้ AV หรือ EDR เปลี่ยนเปลี่ยนแปลงที่อยู่ของไฟล์ที่จะดำเนินการลบไปด้วย ซึ่งวิธีการนี้คือช่องโหว่ที่เรียกว่า time-of-check to time-of-use (TOCTOU)

ลักษณะการโจมตี

นักวิจัยได้ทำการทดสอบการใช้ช่องโหว่ time-of-check to time-of-use (TOCTOU) ด้วยขั้นตอนดังนี้

สร้างไฟล์ที่เป็นอันตรายที่ C:\temp\Windows\System32\drivers\ Mimikatz (ซึ่งไฟล์ Mimikatz จะถูกเปลี่ยนชื่อไฟล์เป็น ndis.

ไมโครซอฟต์ประกาศปล่อย Public preview ของโซลูชัน EDR สำหรับลินุกซ์เป็นส่วนหนึ่งของบริการ Microsoft Defender for Endpoint ภายใต้ Microsoft Defender Advanced Threat Protection (ATP) เมื่อกลางสัปดาห์ที่ผ่านมา

ฟีเจอร์หลักของ EDR แตกต่างกับ Antivirus โดยทั่วไปคือการให้ข้อมูลที่เป็นผลลัพธ์ของการ Detection แก่ผู้ใช้งานและเปิดช่องทางให้ผู้ใช้งานสามารถนำข้อมูลที่ประกอบกันเป็น Detection มาใช้ในลักษณะอื่นเพิ่มเติมได้ เช่น การระบุหาภัยคุกคามในลักษณะที่พิเศษที่มีอยู่ในระบบเป็นจำนวนมาก โซลูชันอย่าง EDR ยังมีฟีเจอร์สำคัญในการช่วยตอบสนองภัยคุกคามในลักษณะทั้ง containment, eradication และ recovery

โซลูชัน EDR สำหรับลินุกซ์นั้นรองรับดิสโทรลินุกซ์แบบเซิร์ฟเวอร์ได้แก่ RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS or higher LTS, SLES 12+, Debian 9+, และ Oracle Linux 7.2. ผู้ใช้งานที่สนใจทดสอบโซลูชันสามารถดูข้อมูลเพิ่มเติมได้จาก https://docs.