มีการตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน ซึ่งมุ่งเป้าไปยังเว็บเซิร์ฟเวอร์ของเกาหลีใต้ โดยผู้ไม่หวังดีได้ใช้มัลแวร์ MeshAgent และ SuperShell เพื่อโจมตีระบบปฏิบัติการ Windows และ Linux
การโจมตีแบบข้ามแพลตฟอร์มครั้งนี้ แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการโจมตี โดยผู้ไม่หวังดีจะอาศัยช่องโหว่ในการอัปโหลดไฟล์เพื่อยึดครองเซิร์ฟเวอร์ในสภาพแวดล้อมต่าง ๆ อย่างถาวร (more…)
เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)
Tor ได้ประกาศเปิดตัว Oniux ซึ่งเป็นเครื่องมือแบบ command-line tool ตัวใหม่สำหรับการกำหนดเส้นทางการเชื่อมต่อของแอปพลิเคชันบน Linux ให้ผ่านเครือข่าย Tor อย่างปลอดภัย เพื่อให้การเชื่อมต่อผ่านเครือข่ายแบบไม่ระบุตัวตน
แตกต่างจากวิธีคลาสสิกอย่างเช่น torsocks ซึ่งอาศัยเทคนิค user-space โดย Oniux จะใช้ namespaces ของ Linux เพื่อสร้าง isolated network ที่แยกออกมาสำหรับแต่ละแอปพลิเคชัน โดยจะช่วยป้องกันข้อมูลรั่วไหลได้ แม้ว่าแอปพลิเคชันนั้นเป็นอันตราย หรือกำหนดค่าไม่ถูกต้องก็ตาม
Linux namespaces เป็น kernel feature ที่ช่วยให้กระบวนการต่าง ๆ ทำงานในสภาพแวดล้อมที่แยกออกจากกันได้ โดยแต่ละกระบวนการจะมี specific system resources เช่น networking, processes หรือ file mounts
Oniux ใช้ Linux namespaces เพื่อแยกแอปพลิเคชันออกจากกันในระดับเคอร์เนล ทำให้ traffic ทั้งหมดของแอปถูกบังคับให้วิ่งผ่านเครือข่าย Tor เท่านั้น
Tor ระบุในบล็อกโพสต์ว่า "เรารู้สึกตื่นเต้นที่จะแนะนำ oniux เป็น command-line utility ที่ช่วยแยกเครือข่าย Tor สำหรับแอปพลิเคชันของบริษัทที่ใช้ Linux namespaces"
โดย oniux สร้างขึ้นบนพื้นฐานของ Arti และ onionmasq ซึ่งจะสามารถแยกโปรแกรม Linux ออกมาอยู่ใน namespace ของตัวเอง และบังคับให้ส่งข้อมูลผ่านเครือข่าย Tor และลดความเสี่ยงที่ข้อมูลอาจจะรั่วไหลออกไป
เครื่องมือนี้ทำงานโดยการวางแต่ละแอปไว้ใน network namespace ของตัวเอง ซึ่งจะไม่มีสิทธิ์เข้าถึงอินเทอร์เฟซของโฮสต์ และแทนที่ด้วยการเชื่อมต่อผ่านอินเทอร์เฟซเสมือนที่ชื่อว่า onion0 ซึ่งจะเชื่อมต่อผ่าน Tor โดยใช้ onionmasq
นอกจากนี้ยังใช้ namespaces เพื่อ inject ไฟล์ /etc/resolv.
นักวิจัยด้านความปลอดภัยได้สาธิตวิธีการ Non-Invasive ที่สามารถ Bypass การเข้ารหัสของ Microsoft BitLocker บนอุปกรณ์ Windows ได้ภายในเวลาเพียง 5 นาที โดยไม่ต้องแก้ไขฮาร์ดแวร์ทาง physical
ช่องโหว่ Bitpixie (CVE-2023-21563) สามารถทำให้ผู้ไม่หวังดีสามารถดึงคีย์การเข้ารหัส BitLocker ออกมาได้ในระยะเวลาสั้น ๆ ซึ่งอาจทำให้ข้อมูลสำคัญบนอุปกรณ์ขององค์กร และข้อมูลของผู้ใช้งานทั่วไปที่ไม่มีการยืนยันตัวตนก่อนบูต (Pre-Boot Authentication) ถูกเปิดเผย
ช่องโหว่ Bitpixie ถูกพบครั้งแรกในปี 2022 และถูกนำเสนอที่งาน Chaos Communication Congress (38C3) โดยนักวิจัยด้านความปลอดภัย Thomas Lambertz ซึ่งใช้ประโยชน์จากช่องโหว่ระดับ Critical ในการเข้ารหัสของ BitLocker บน Windows
ต่างจากการโจมตีแบบ TPM Sniffing ที่ใช้ฮาร์ดแวร์แบบเก่า ที่ต้องใช้ทักษะ และความรู้เฉพาะทาง Bitpixie ใช้การโจมตีด้วยซอฟต์แวร์เพียงอย่างเดียว และไม่ทิ้งร่องรอยทาง physical
นักวิจัย Marc Tanner จาก Compass Security ระบุว่า "การใช้ประโยชน์จากช่องโหว่ Bitpixie นั้นเป็นแบบ "Non-Invasive" ไม่ต้องมีการแก้ไขอุปกรณ์ และไม่จำเป็นต้องสร้างดิสก์อิมเมจ ดังนั้นจึงสามารถเจาะระบบได้อย่างรวดเร็ว (ประมาณ 5 นาที)"
ช่องโหว่นี้มีเป้าหมายเฉพาะระบบที่ใช้ BitLocker โดยไม่มีการยืนยันตัวตนก่อนบูต ซึ่งเป็นการตั้งค่าเริ่มต้นของอุปกรณ์ Windows หลายเครื่อง
Exploits บน Linux และ Windows PE
นักวิจัยด้านความปลอดภัยได้พัฒนาวิธีการโจมตีที่แตกต่างกันสองวิธี โดยแต่ละวิธีมีข้อกำหนด และความสามารถที่แตกต่างกัน
การโจมตีบน Linux ใช้กระบวนการหลายขั้นตอน โดยเริ่มจากการเข้าสู่ Windows Recovery Environment และใช้การบูตเครือข่าย (PXE) เพื่อดาวน์โหลด Windows Boot Manager ที่มีช่องโหว่
จากนั้น Bootloader ที่ถูก downgraded นี้สามารถควบคุมเพื่อดึง BitLocker Volume Master Key (VMK) จากหน่วยความจำของระบบ ซึ่งช่วยให้สามารถถอดรหัสดิสก์ได้ทั้งหมด
สำหรับระบบที่บล็อกส่วนประกอบที่ signed โดย third-party เช่น Lenovo secured-core PCs นักวิจัยได้สร้างเทคนิคการโจมตีที่ใช้ Windows PE ซึ่งใช้เพียงแค่ส่วนประกอบที่ signed โดย Microsoft เท่านั้น
นักวิจัยระบุว่า "วิธีการนี้ใช้เฉพาะ components หลักที่ได้รับการ signed จาก Microsoft และสามารถใช้กับอุปกรณ์ที่ได้รับผลกระทบทั้งหมด ตราบใดที่อุปกรณ์นั้นเชื่อถือ Certificate ของ Microsoft Windows Production PCA 2011"
ทั้งสองวิธีนี้ต้องการเพียงการเข้าถึงแบบ physical access ชั่วคราว, การเชื่อมต่อเครือข่าย และไม่ต้องใช้อุปกรณ์ฮาร์ดแวร์เฉพาะทาง
การป้องกันการโจมตีแบบ BitLocker Bypass
ช่องโหว่หลักของการตั้งค่าเริ่มต้นใน BitLocker เกิดจากการใช้การป้องกัน TPM เพียงอย่างเดียว โดยไม่มีปัจจัยการยืนยันตัวตนเพิ่มเติม
นักวิจัยระบุว่า "ช่องโหว่นี้ยังคงมีอยู่ เนื่องจากข้อจำกัดในการจัดเก็บ Certificate ใน UEFI โดย Certificate Secure Boot ใหม่ คาดว่าจะยังไม่พร้อมใช้งานก่อนปี 2026"
Microsoft พยายามแก้ไขปัญหานี้ แต่เนื่องจากข้อจำกัดเชิงสถาปัตยกรรม และข้อกำหนดความเข้ากันได้ของเวอร์ชันเก่า ช่องโหว่นี้จึงยังสามารถถูกโจมตีได้ผ่านเทคนิค Bootloader downgrade
องค์กรสามารถลดความเสี่ยงได้ด้วยการเปิดใช้งานการยืนยันตัวตนก่อนบูต โดยบังคับให้ผู้ใช้งานต้องใส่ PIN หรือใช้ USB key ก่อนที่ระบบจะเริ่มทำงาน
การอัปเดตความปลอดภัยของ Microsoft KB5025885 ยังช่วยลดความเสี่ยง โดยการเพิ่ม Certificates Secure Boot ใหม่ และเพิกถอน Certificates เก่า
แนวทางป้องกันเพิ่มเติมที่แนะนำ ได้แก่ การปิดใช้งานการบูตผ่านเครือข่ายจากการตั้งค่า BIOS/UEFI และการใช้ BitLocker PIN แบบกำหนดเอง
ทีมวิจัยสรุปว่า "ช่องโหว่ Bitpixie รวมถึงการโจมตีที่ใช้ฮาร์ดแวร์ และซอฟต์แวร์ทั่วไป สามารถลดความเสี่ยงได้โดยการบังคับใช้การยืนยันตัวตนก่อนบูต" พร้อมเน้นย้ำว่าการตั้งค่าเริ่มต้นของ BitLocker ที่ไม่มีความปลอดภัยเพิ่มเติมยังคงเสี่ยงต่อการถูกโจมตี
ที่มา : gbhackers
พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)
OpenVPN ซึ่งเป็นซอฟต์แวร์ VPN แบบโอเพ่นซอร์สที่ได้รับความนิยมอย่างแพร่หลาย ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้ไม่หวังดีสามารถทำให้เซิร์ฟเวอร์ล่ม และในบางกรณีอาจรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)
มหาวิทยาลัย และองค์กรภาครัฐในอเมริกาเหนือ และเอเชียตกเป็นเป้าหมายของมัลแวร์บนระบบ Linux ที่ไม่เคยถูกพบมาก่อนที่ชื่อว่า Auto-Color ระหว่างเดือนพฤศจิกายนถึงธันวาคม 2024 ตามผลการค้นพบใหม่จาก Palo Alto Networks Unit 42
นักวิจัยด้านความปลอดภัย Alex Armstrong รายงานมัลแวร์ในทางเทคนิคว่า "เมื่อติดตั้งแล้ว Auto-Color จะทำให้ผู้โจมตีเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้เต็มรูปแบบ ทำให้ยากต่อการลบออกโดยไม่ต้องใช้ซอฟต์แวร์เฉพาะทาง"
Auto-color เป็นชื่อที่ได้มาจากชื่อไฟล์ที่เพย์โหลดในขั้นเริ่มต้นเปลี่ยนชื่อตัวเองหลังจากติดตั้ง ปัจจุบันยังไม่มีข้อมูลว่ามัลแวร์ดังกล่าวเข้าถึงเป้าหมายได้อย่างไร แต่ที่ทราบคือมันต้องการให้เหยื่อรันไฟล์นี้บนระบบ Linux ของตัวเองอย่างแน่นอน
ลักษณะเด่นอย่างหนึ่งของมัลแวร์นี้คือเทคนิคที่ใช้ในการหลบเลี่ยงการตรวจจับ ซึ่งรวมถึงการใช้ชื่อไฟล์ที่ดูไม่เป็นอันตราย เช่น door หรือ egg การซ่อนการเชื่อมต่อกับ command-and-control (C2 Server) และการใช้ประโยชน์จากอัลกอริทึมการเข้ารหัสเพื่อปกปิดข้อมูลการเชื่อมตอ่ และการกำหนดค่าต่าง ๆ
เมื่อเปิดใช้งานด้วยสิทธิ์ root แล้ว มัลแวร์จะดำเนินการติดตั้งไลบรารีที่เป็นอันตรายชื่อว่า "libcext.
พบมัลแวร์ rootkit ตัวใหม่บนระบบ Linux ชื่อ 'Pumakit' ซึ่งใช้เทคนิคการซ่อนตัว และการยกระดับสิทธิ์ขั้นสูงเพื่อปกปิดการมีอยู่ในระบบ
มัลแวร์ดังกล่าวเป็นชุดซอฟต์แวร์หลายส่วน ประกอบไปด้วย Dropper, ไฟล์ปฏิบัติการที่ทำงานในหน่วยความจำ, kernel module rootkit และ shared object (SO) userland rootkit
Pumakit ถูกพบโดย Elastic Security ในไฟล์ไบนารีชื่อ 'cron' ที่ถูกอัปโหลดไว้บน VirusTotal เมื่อวันที่ 4 กันยายน 2024 โดยทางทีมงานได้ระบุว่า ยังไม่ทราบอย่างแน่ชัดว่าใครเป็นผู้ใช้งาน หรือเป้าหมายของมัลแวร์คืออะไร
โดยปกติ เครื่องมือเหล่านี้จะถูกใช้โดยผู้ไม่หวังดีที่มีความเชี่ยวชาญสูง ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ และระบบขององค์กร เพื่อขโมยข้อมูล, ข้อมูลทางการเงิน และก่อให้เกิดการหยุดชะงักของระบบ
The Pumakit
Pumakit ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจาก dropper ที่ชื่อ 'cron' ซึ่งจะดำเนินการดาวน์โหลดเพย์โหลดที่ฝังอยู่ใน ('/memfd:tgt' และ '/memfd:wpn') ทั้งหมดจากหน่วยความจำ
เพย์โหลด '/memfd:wpn' ทำงานใน child process โดยจะดำเนินการตรวจสอบสภาพแวดล้อม และแก้ไข kernel image ก่อนที่จะติดตั้งโมดูล LKM rootkit ('puma.
มีการค้นพบมัลแวร์ UEFI bootkit ตัวแรกที่มุ่งเป้าไปที่ระบบระบบปฏิบัติการ Linux โดยเฉพาะ ซึ่งถือเป็นการเปลี่ยนแปลงจากก่อนหน้านี้ที่มักจะมุ่งเป้าไปที่ระบบระบบปฏิบัติการ Windows ซึ่งภัยคุกคามแบบ bootkit มักจะแอบซ่อนได้ดี และถูกกำจัดได้ยาก
มัลแวร์ Linux ที่ชื่อว่า 'Bootkitty' เป็นมัลแวร์ที่ทำงานได้เฉพาะใน Ubuntu บางเวอร์ชัน และบางการตั้งค่าเท่านั้น โดยยังไม่ใช่การโจมตีเต็มรูปแบบที่ใช้สำหรับการโจมตีจริง
Bootkit เป็นมัลแวร์ที่ออกแบบมาเพื่อแพร่กระจายตัวในกระบวนการบูตของคอมพิวเตอร์ โดยที่ตัวมันเองจะเริ่มทำงานก่อนที่ระบบปฏิบัติการจะทำงาน ทำให้มันจะสามารถควบคุมระบบได้ในระดับ low level
ข้อดีของการใช้วิธีนี้คือ bootkit สามารถหลบเลี่ยงการตรวจจับของเครื่องมือด้าน Security ที่ทำงานในระดับ system level ได้ และสามารถปรับเปลี่ยน components ของระบบ หรือมีการเรียกใช้โค้ดที่เป็นอันตรายได้โดยไม่เสี่ยงที่จะถูกตรวจจับ
นักวิจัยจาก ESET ที่ค้นพบ Bootkitty เตือนว่า การค้นพบครั้งนี้เป็นการพัฒนาครั้งสำคัญของมัลแวร์ UEFI bootkit แม้ว่าผลกระทบจริงในขณะนี้จะยังไม่ร้ายแรงมาก
Linux bootkit กำลังถูกพัฒนาขึ้น
ESET ค้นพบ Bootkitty หลังจากตรวจสอบไฟล์ที่น่าสงสัย (bootkit.
มีการค้นพบ backdoor ตัวใหม่บน Linux ชื่อ 'WolfsBane' ซึ่งเชื่อว่าเป็นการดัดแปลงมาจากมัลแวร์บน Windows ที่ใช้โดยกลุ่มแฮ็กเกอร์จีนที่ชื่อ 'Gelsemium'
(more…)