นักวิจัยของ Zscaler บริษัทด้านความปลอดภัย ได้เผยแพร่รายงานการพบการเปลี่ยนแปลงเครื่องมือการโจมตีของกลุ่ม Hacker โดยพบการใช้เครื่องมือ open-source command and control (C2) framework ที่มีชื่อว่า Havoc แทนที่เครื่องมือเดิมอย่าง Cobalt Strike และ Brute Ratel

Havoc เป็นเครื่องมือ open-source command and control (C2) framework ที่มีโมดูลหลากหลายซึ่งช่วยให้ Pentester และ hacker สามารถทำงานต่าง ๆ บนอุปกรณ์ที่ถูกโจมตีได้ รวมถึงการดำเนินการคำสั่ง, การจัดการ process, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การจัดการ Windows token และการดำเนินการจาก shellcode โดยทั้งหมดนี้สามารถทำได้ ผ่าน web-based management console ซึ่งจะช่วยให้ hacker สามารถมองเห็นอุปกรณ์ เหตุการณ์ และ Output จากเครื่องเหยื่อได้ทั้งหมด โดยความสามารถที่น่าสนใจที่สุดของ Havoc คือการทำงาน cross-platform และหลบเลี่ยงการตรวจจับจาก Microsoft Defender บนอุปกรณ์ Windows 11 โดยใช้วิธีการต่าง ๆ เช่น sleep obfuscation, return address stack spoofing และ indirect syscalls เป็นต้น

การค้นพบ Havoc

ทีมวิจัยจาก Zscaler ThreatLabz ได้ตรวจพบว่า shellcode loader ที่ถูกทิ้งไว้บนระบบที่โดนโจมตีจะไปปิดการใช้งาน Event Tracing for Windows (ETW) และเพย์โหลดสุดท้ายของ Havoc Demon จะถูกโหลดโดยไม่มีส่วนหัวของ DOS และ NT เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึง framework นี้ยังถูกปรับใช้ผ่านแพ็คเกจ npm ที่เป็นอันตราย (Aabquerys) อีกด้วย

โดย Demon.

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)

Microsoft กำลังจะเปิดใช้งาน "Attack Surface Reduction" บน Microsoft Defender เป็นค่าเริ่มต้น เพื่อความปลอดภัยจากการโจมตีของแฮกเกอร์เพื่อขโมยข้อมูลของ Windows จาก LSASS Process

เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้ มักจะพยายามโจมตีไปยังอุปกรณ์อื่น ๆ ในระบบต่อโดยใช้ Credential ที่หามาได้ หรือใช้ประโยชน์จากช่องโหว่อื่น ๆ

วิธีการปกติที่มักถูกใช้ในการขโมย Credential บน Windows คือหลังจากได้สิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่ทำการโจมตีได้สำเร็จ ผู้โจมตีจะทำการ dump เอาข้อมูลบน memory ของ Process LSASS (Local Security Authority Server Service) ที่ทำงานอยู่บน Windows

ข้อมูลที่ได้มาจะประกอบไปด้วย NTLM hashes ของ Windows Credentials ของผู้ใช้ที่ลงชื่อเข้าใช้คอมพิวเตอร์ที่สามารถนำไปใช้ในการโจมตีแบบ Pass-the-Hash เพื่อลงชื่อเข้าใช้อุปกรณ์อื่น

(more…)

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews