Maze Ransomware ใช้เทคนิคการซ่อนตัวใหม่โดยใช้ VM

Peter Mackenzie นักวิจัยจาก SophosLabs ได้เปิดเผยถึงผู้ปฏิบัติการ Maze ransomware ใช้ในการหลบหลีกการตรวจจับโดยการเข้ารหัสไฟล์จาก VM ที่แชร์ไฟล์กับโฮสต์ โดยเทคนิคนี้เคยถูกใช้โดย Ragnar Locker ransomware มาก่อน
เมื่อเดือนพฤษภาคม 2020 ที่ผ่านมาพบ Ragnar Locker ransomware ทำการติดตั้ง VM ของ Windows XP จากนั้นใช้ประโยชน์จากคุณสมบัติของ VirtualBox ที่ทำให้ VM สามารถ mount เพื่อแชร์โฟลเดอร์และไดรฟ์ในเครือข่ายกับโฮสต์ได้ ซึ่งเมื่อรัน ransomware ใน VM ก็จะ
สามารถเเพร่กระจายเข้าไปยังโฮสต์ได้

ในปัจจุบัน นักวิจัยจาก SophosLabs ออกมาเปิดเผยว่าพบการใช้เทคนิคแบบเดียวกันโดยผู้ปฏิบัติการ Maze ransomware ซึ่งได้ทำการติดตั้งซอฟต์แวร์ VirtualBox ที่มาพร้อมกับ VM Windows 7 บนเซิร์ฟเวอร์ของเหยื่อ และเมื่อเครื่อง VM ทำงานจะทำการเรียกไฟล์ batch ที่ชื่อ startup_vrun.

นักวิจัยช่องโหว่ของรัสเซีย เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ zero-day ใน VirtualBox พร้อมขั้นตอนการทดสอบโจมตี

Sergey Zelenyuk ได้ทำการทดสอบเจาะช่องโหว่ VirtualBox ที่ติดตั้งบน Ubuntu 16.04 และ 18.04 ทั้ง x86 และ x64 ได้สำเร็จและทำการเผยแพร่โดยยังไม่แจ้งให้ทางผู้พัฒนาทราบ โดยอาศัยช่องโหว่ใน Network Address Translation (NAT) บน Intel PRO / 1000 MT Desktop (82540EM) ซึ่งเป็นค่าเริ่มต้นที่อนุญาตให้ Guest สามารถเข้าถึงเครือข่ายภายนอกได้ ช่องโหว่ส่งผลให้ผู้โจมตีที่มีสิทธิ์ root / administrator ใน Guest สามารถเพิ่มสิทธิ์ของตนเองได้ถึง ring 3 หรือ user mode ของ hardware (จากทั้งหมด 4 ระดับ) ได้ จากนั้นสามารถใช้เทคนิคที่มีอยู่เพื่อเพิ่มสิทธิ์ไปเป็น ring 0 หรือ kernel mode ได้ ผ่าน /dev/vboxdrv แล้วเข้าควบคุมระบบทั้งหมด โดยอาศัยช่องโหว่ที่เกิดจากทำ overflow

ก่อนหน้านี้ Sergey Zelenyuk ได้มีการรายงานช่องโหว่ของตัว VirtualBox สำหรับเวอร์ชัน 5.2.10 แต่ด้วยเหตุผลบางอย่าง Oracle ได้แก้ไขปัญหาในเวอร์ชัน 5.2.18 โดยไม่ได้ให้เครดิตแก่นักวิจัยในการค้นหาและรายงานช่องโหว่นี้

ที่มา: bleepingcomputer