เครื่องมือใหม่ที่ชื่อว่า 'Defendnot' สามารถปิดการทำงานของ Microsoft Defender บนอุปกรณ์ Windows ได้ โดยการลงทะเบียนโปรแกรม Antivirus ปลอม แม้ว่าจะไม่มี Antivirus จริงติดตั้งอยู่ก็ตาม

เทคนิคนี้ใช้ประโยชน์จาก API ของ Windows Security Center (WSC) ที่ไม่ได้มีการเปิดเผยทางเอกสาร โดยปกติแล้ว Antivirus จะใช้เพื่อแจ้งให้ Windows ทราบว่ามีการติดตั้งแล้ว และกำลังจัดการการป้องกันแบบ Real-time สำหรับอุปกรณ์นั้น

เมื่อมีการลงทะเบียนโปรแกรม Antivirus ปลอมแล้ว ระบบของ Windows จะปิดการทำงานของ Microsoft Defender โดยอัตโนมัติ เพื่อหลีกเลี่ยงความขัดแย้งจากการที่มีแอปพลิเคชันรักษาความปลอดภัยหลายตัวบนอุปกรณ์เดียวกัน

เครื่องมือ Defendnot ที่ถูกสร้างโดยนักวิจัยที่ชื่อว่า es3n1n ใช้ช่องโหว่ของ API ดังกล่าว โดยทำการลงทะเบียนผลิตภัณฑ์ Antivirus ปลอมที่ผ่านการตรวจสอบความถูกต้องของ Windows ได้ทั้งหมด

เครื่องมือนี้มีพื้นฐานมาจากโปรเจกต์ก่อนหน้านี้ที่ชื่อว่า no-defender ซึ่งใช้โค้ดจากโปรแกรม Antivirus ของ third-party อื่น เพื่อปลอมแปลงการลงทะเบียนกับ WSC (Windows Security Center) อย่างไรก็ตาม เครื่องมือเวอร์ชั่นก่อนหน้านั้นถูกลบออกจาก GitHub หลังจากที่ผู้พัฒนา Antivirus รายนั้น ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA (แจ้งให้ลบเนื้อหาเนื่องจากละเมิดลิขสิทธิ์)

นักพัฒนา ระบุไว้ใน blog post ว่า "หลังจากเปิดตัวไปไม่กี่สัปดาห์ โปรเจกต์นี้ก็ได้รับความสนใจอย่างมาก และได้รับดาว (stars) บน GitHub ไปประมาณ 1,500 ดวง หลังจากนั้น นักพัฒนาโปรแกรม Antivirus ที่ถูกใช้ ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA และตัวเขาก็ไม่อยากจะไปยุ่งเกี่ยวกับเรื่องนั้นอีก ก็เลยลบทุกอย่างทิ้งแล้วก็จบเรื่องไป"

Defendnot หลีกเลี่ยงปัญหาลิขสิทธิ์ด้วยการสร้างฟังก์ชันการทำงานขึ้นมาใหม่ทั้งหมดผ่านไฟล์ DLL ของโปรแกรม Antivirus ปลอม

โดยปกติแล้ว WSC API จะได้รับการป้องกันผ่านระบบ Protected Process Light (PPL), digital signatures ที่ถูกต้อง และคุณสมบัติอื่น ๆ

เพื่อหลีกเลี่ยงข้อกำหนดเหล่านี้ Defendnot จะทำการแทรกไฟล์ DLL ของตนเองเข้าไปยังโปรเซสของระบบที่ชื่อว่า Taskmgr.

Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้

(more…)

Microsoft Defender มีการตรวจจับ และแจ้งผู้ใช้ที่มีการสมัครใช้งาน Microsoft 365 Personal หรือ Family แบบอัตโนมัติเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

คุณสมบัติการปกป้องความเป็นส่วนตัวของ Microsoft Defender (เรียกอีกอย่างว่า Defender VPN) ช่วยปกป้องความเป็นส่วนตัว และความปลอดภัยของผู้ใช้เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ หรือเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งข้อมูล และตัวตนของผู้ใช้อาจถูกเปิดเผย หรือถูกขโมยได้

เพื่อการดำเนินการดังกล่าว โปรแกรมจะเข้ารหัส และกำหนดเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตของผู้ใช้ผ่านเซิร์ฟเวอร์ของ Microsoft และซ่อน IP address ของผู้ใช้ โดยใช้ VPN (Virtual Private Network)

Microsoft ประกาศเมื่อวันที่ 30 กันยายน 2024 ว่า Defender VPN ได้รับการอัปเกรดให้แจ้งเตือนผู้ใช้โดยอัตโนมัติว่ามีความเสี่ยงต่อการถูกโจมตี และตอนนี้สามารถกำหนดค่าให้เปิดใช้งานแบบอัตโนมัติเพื่อให้เกิดความปลอดภัยมากขึ้น

Microsoft ระบุว่า ได้เพิ่มการตรวจจับ Wi-Fi ที่ไม่ปลอดภัย (Wi-Fi ที่น่าสงสัย) การตรวจจับเหล่านี้สามารถทำได้โดยใช้ Defender heuristics ในการตรวจสอบลักษณะต่าง ๆ หลายประการของ Wi-Fi hotspot เพื่อระบุว่าน่าสงสัยหรือไม่

เช่นเดียวกับ Wi-Fi ที่ไม่ปลอดภัย ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับ Wi-Fi ที่ไม่ปลอดภัยด้วยเช่นกัน และสามารถเปิด Defender VPN เพื่อความปลอดภัยมากขึ้น

ระบบนี้สามารถช่วยป้องกันผู้ใช้จากผู้โจมตีที่มีการทำ rogue wireless access point ปลอม เพื่อหลอกล่อให้ผู้ใช้เชื่อมต่อ และผู้โจมตีจะทำการโจมตีแบบ Evil Twin หลังจากที่เหยื่อเชื่อมต่อได้แล้ว รวมถึงผู้โจมตีจะสามารถขโมยข้อมูลที่สำคัญในการโจมตีแบบ Man-in-the-Middle (MiTM) หรือใช้เทคนิคฟิชชิ่งเพื่อขโมยข้อมูลเพิ่มเติม

ปัจจุบันการแจ้งเตือน Wi-Fi ที่ไม่ปลอดภัยนั้นใช้งานได้เฉพาะใน Defender สำหรับ Android, iOS และ Windows เท่านั้น โดยที่ใน macOS นั้นจะเปิดตัวเร็ว ๆ นี้

นอกจากนี้บริษัทได้เพิ่มการ support สำหรับ Defender VPN บนระบบ Windows และ macOS และเปิดให้ใช้งานในเยอรมนี และแคนาดา โดยจะมีการเพิ่มประเทศอื่น ๆ ในอีกไม่กี่เดือนข้างหน้า

Microsoft ระบุว่า กำลังเพิ่มการปกป้องความเป็นส่วนตัวให้กับอีก 10 ประเทศในยุโรป เอเชีย และภูมิภาคละตินอเมริกาในเร็ว ๆ นี้

การปกป้องความเป็นส่วนตัวเป็นฟีเจอร์ที่รวมอยู่กับ Microsoft Defender สำหรับแต่ละบุคคล ซึ่งเปิดตัวครั้งแรกเมื่อปีที่แล้ว ในเดือนกันยายน 2023 บนอุปกรณ์ Android ในสหรัฐอเมริกา

สิ่งสำคัญที่ต้องทราบคือ Microsoft ระบุว่า Defender VPN จะส่งข้อมูลบริการที่ไม่ระบุชื่อไปยังเซิร์ฟเวอร์ของบริษัท แต่จะไม่รวบรวมข้อมูลการเรียกดู ประวัติ รายละเอียดส่วนบุคคล หรือตำแหน่งทางกายภาพของอุปกรณ์ของผู้ใช้

ข้อมูลบริการที่ไม่ระบุชื่อนี้ประกอบด้วยรายละเอียดต่าง ๆ เช่น ระยะเวลาการใช้งาน VPN, ปริมาณแบนด์วิดท์ VPN ที่ใช้ และชื่อ Wi-Fi hotspot ที่ตรวจพบว่าอาจเป็นอันตรายเพื่อวัตถุประสงค์ในการวิเคราะห์ภัยคุกคาม (บริษัทระบุว่าข้อมูลนี้จะถูกส่งไปที่เซิร์ฟเวอร์หลังจากได้รับความยินยอมจากผู้ใช้เท่านั้น)

หากไม่ใช่ผู้ใช้ Microsoft Defender ที่มีการสมัครใช้งาน Microsoft 365 Family หรือ Personal ผู้ใช้ยังสามารถปกป้องตนเองได้โดยเปิดใช้ multi-factor authentication ในบัญชี และปิดการเชื่อมต่อ Wi-Fi แบบอัตโนมัติ เพื่อให้แน่ใจว่าอุปกรณ์จะไม่เชื่อมต่อกับเครือข่ายไร้สายที่อาจเป็นอันตราย

ที่มา : BLEEPINGCOMPUTER

นักวิจัยของ Zscaler บริษัทด้านความปลอดภัย ได้เผยแพร่รายงานการพบการเปลี่ยนแปลงเครื่องมือการโจมตีของกลุ่ม Hacker โดยพบการใช้เครื่องมือ open-source command and control (C2) framework ที่มีชื่อว่า Havoc แทนที่เครื่องมือเดิมอย่าง Cobalt Strike และ Brute Ratel

Havoc เป็นเครื่องมือ open-source command and control (C2) framework ที่มีโมดูลหลากหลายซึ่งช่วยให้ Pentester และ hacker สามารถทำงานต่าง ๆ บนอุปกรณ์ที่ถูกโจมตีได้ รวมถึงการดำเนินการคำสั่ง, การจัดการ process, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การจัดการ Windows token และการดำเนินการจาก shellcode โดยทั้งหมดนี้สามารถทำได้ ผ่าน web-based management console ซึ่งจะช่วยให้ hacker สามารถมองเห็นอุปกรณ์ เหตุการณ์ และ Output จากเครื่องเหยื่อได้ทั้งหมด โดยความสามารถที่น่าสนใจที่สุดของ Havoc คือการทำงาน cross-platform และหลบเลี่ยงการตรวจจับจาก Microsoft Defender บนอุปกรณ์ Windows 11 โดยใช้วิธีการต่าง ๆ เช่น sleep obfuscation, return address stack spoofing และ indirect syscalls เป็นต้น

การค้นพบ Havoc

ทีมวิจัยจาก Zscaler ThreatLabz ได้ตรวจพบว่า shellcode loader ที่ถูกทิ้งไว้บนระบบที่โดนโจมตีจะไปปิดการใช้งาน Event Tracing for Windows (ETW) และเพย์โหลดสุดท้ายของ Havoc Demon จะถูกโหลดโดยไม่มีส่วนหัวของ DOS และ NT เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึง framework นี้ยังถูกปรับใช้ผ่านแพ็คเกจ npm ที่เป็นอันตราย (Aabquerys) อีกด้วย

โดย Demon.

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)

Microsoft กำลังจะเปิดใช้งาน "Attack Surface Reduction" บน Microsoft Defender เป็นค่าเริ่มต้น เพื่อความปลอดภัยจากการโจมตีของแฮกเกอร์เพื่อขโมยข้อมูลของ Windows จาก LSASS Process

เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้ มักจะพยายามโจมตีไปยังอุปกรณ์อื่น ๆ ในระบบต่อโดยใช้ Credential ที่หามาได้ หรือใช้ประโยชน์จากช่องโหว่อื่น ๆ

วิธีการปกติที่มักถูกใช้ในการขโมย Credential บน Windows คือหลังจากได้สิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่ทำการโจมตีได้สำเร็จ ผู้โจมตีจะทำการ dump เอาข้อมูลบน memory ของ Process LSASS (Local Security Authority Server Service) ที่ทำงานอยู่บน Windows

ข้อมูลที่ได้มาจะประกอบไปด้วย NTLM hashes ของ Windows Credentials ของผู้ใช้ที่ลงชื่อเข้าใช้คอมพิวเตอร์ที่สามารถนำไปใช้ในการโจมตีแบบ Pass-the-Hash เพื่อลงชื่อเข้าใช้อุปกรณ์อื่น

(more…)

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews