แฮ็กเกอร์ใช้ประโยชน์จาก Windows Container Isolation Framework เพื่อ Bypass Endpoint Security

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

มัลแวร์ตัวใหม่ Whiffy Recon ระบุตำแหน่งอุปกรณ์ที่ติดมัลแวร์ผ่าน Wi-Fi ทุก 1 นาที

มัลแวร์ SmokeLoader กําลังถูกใช้เพื่อส่งมัลแวร์แบบใหม่เป็นมัลแวร์สแกน Wi-Fi ที่เรียกว่า Whiffy Recon บนเครื่อง Windows ที่ถูกโจมตี

Secureworks Counter Threat Unit (CTU) ระบุในแถลงการณ์ที่แชร์กับ The Hacker News ว่ามัลแวร์ตัวใหม่นี้จะมีการดําเนินการเพียงครั้งเดียวเท่านั้น โดยในทุก ๆ 60 วินาที มันจะวิเคราะห์ตำแหน่งของระบบที่ติดมัลแวร์โดยสแกนจุดเชื่อมต่อ Wi-Fi ในบริเวณใกล้เคียงเป็น data point โดยที่ใช้ geolocation API ของ Google เพื่อระบุตําแหน่งของระบบที่ติดมัลแวร์ จากนั้นตําแหน่งที่ส่งกลับโดย Google Geolocation API จะถูกส่งกลับไปยังผู้โจมตี

SmokeLoader เป็นมัลแวร์ที่มีจุดประสงค์เพียงอย่างเดียวคือการ drop เพย์โหลดเพิ่มเติมไปยังโฮสต์ที่ถูกโจมตี โดยตั้งแต่ปี 2014 เป็นต้นมา มัลแวร์ดังกล่าวได้ถูกเสนอขายให้กับกลุ่มผู้โจมตีในรัสเซีย โดยทั่วไปจะมีการเผยแพร่ผ่านรูปแบบอีเมลฟิชชิ่ง

Whiffy Recon ทํางานโดยการตรวจสอบ service WLAN AutoConfig (WLANSVC) บนระบบที่ติดมัลแวร์ และจะหยุดการทำงานทันทีถ้าไม่พบว่ามี service ดังกล่าวอยู่ ซึ่งเป็นที่น่าสังเกตว่ามัลแวร์จะไม่สนใจว่ายังทํางานต่อได้หรือไม่

โดยวิธีที่ทำให้มัลแวร์ยังคงทำงานอยู่สามารถทำได้โดยการใช้ shortcut เพิ่มลงในโฟลเดอร์ Windows Startup

Don Smith, VP ที่ Secureworks CTU ระบุว่า สิ่งที่เกี่ยวข้องกับการค้นพบ Whiffy Recon ยังเป็นเรื่องที่น่ากังวล เนื่องจากยังไม่ทราบถึงแรงจูงใจในการกระทําของผู้โจมตีที่ชัดเจน

มัลแวร์นี้ถูก config ลงทะเบียนไว้กับ เซิร์ฟเวอร์ Remote Command and Control (C2) โดยการส่งผ่าน "botID" ที่สร้างขึ้นบน port HTTP จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ success และรหัสลับเฉพาะที่ตามมาในภายหลัง ซึ่งบันทึกอยู่ในไฟล์ชื่อ "%APPDATA%\Roaming\wlan\str-12.bin"

ขั้นตอนที่สองของการโจมตี คือ การสแกนจุดเชื่อมต่อ Wi-Fi ผ่าน Windows WLAN API ในทุก ๆ 60 วินาที ผลลัพธ์ของการสแกนจะถูกส่งต่อไปยัง Google Geolocation API เพื่อระบุตำแหน่งของระบบเป็นสามตำแหน่ง และส่งข้อมูลนั้นไปยังเซิร์ฟเวอร์ C2 ในรูปแบบของสตริง JSON ในท้ายที่สุด

โดยพฤติกรรมการโจมตีในรูปแบบนี้ยังไม่ค่อยถูกใช้ในกลุ่มผู้โจมตี เพราะยังขาดความสามารถในการสร้างรายได้ แต่เป็นเรื่องที่น่าเป็นห่วงที่อาจถูกนำมาใช้ในการโจมตีอื่นได้ในอนาคต

 

ที่มา : thehackernews

Sophos ถูกแอบอ้างโดยแรนซัมแวร์ตัวใหม่ที่ชื่อว่า SophosEncrypt

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

นักวิจัยเผยแพร่ PoC ของช่องโหว่ Windows Win32k ซึ่งกำลังถูกนำมาใช้ในการโจมตี

นักวิจัย ได้เผยแพร่ตัวสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) สำหรับช่องโหว่ในการเพิ่มระดับสิทธิ์เฉพาะของ Windows ที่กำลังถูกใช้ในการโจมตีอยู่ ซึ่งช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของ Patch Tuesday เดือนพฤษภาคม 2023

Win32k subsystem (Win32k.sys kernel driver) เป็นระบบจัดการตัวจัดการหน้าต่าง เอาต์พุตหน้าจอ อินพุต และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นอินเทอร์เฟซระหว่างฮาร์ดแวร์อินพุตประเภทต่าง ๆ ทำให้เมื่อสามารถโจมตีช่องโหว่นี้ได้สำเร็จ ก็จะสามารถยกระดับสิทธิ์ หรือสั่งรันคำสั่งได้ตามที่ต้องการ (more…)

Buhti กลุ่มแรนซัมแวร์ใหม่ มุ่งเป้าการโจมตีไปยัง Windows และ Linux

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)

Microsoft เผยแพร่วิธีการตรวจจับการโจมตีจากช่องโหว่ใน Outlook [EndUser]

Microsoft เผยแพร่คำแนะนำเพื่อช่วยให้ผู้ใช้งานสามารถตรวจจับ หรือค้นหาสัญญาณของการโจมตีจากช่องโหว่ใน Microsoft Outlook

CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ใน Outlook client for Windows ทำให้สามารถขโมย NTLM Hash โดยที่ผู้ (more…)

พบช่องโหว่การแก้ไข ‘opt-in’ ใน Windows ที่มีอายุกว่า 10 ปี ถูกใช้ในการโจมตี 3CX

พบช่องโหว่การแก้ไข 'opt-in' ใน Windows ที่มีอายุกว่า 10 ปี ถูกใช้ในการโจมตี 3CX เมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา โดยช่องโหว่ดังกล่าวสามารถแก้ไขปลอมแปลง ไฟล์อันตรายให้กลายเป็นไฟล์ที่ได้รับการรับรองอย่างถูกต้อง และพบการแก้ไขเพื่อป้องกันช่องโหว่ดังกล่าวจะถูกลบออกเมื่อทำการอัปเดตเป็น Windows 11

โดยเมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา เกิดเหตุการณ์การโจมตีในรูปแบบ supply chain attack โดยเริ่มต้นจากการโจมตีไปที่ 3CX บริษัทด้าน VoIP IPBX software หลังจากนั้นก็ทำการส่ง 3CX desktop client ที่ถูกฝังมัลแวร์ไปยังลูกค้าที่ใช้บริการ (more…)

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังการอัปเดต Microsoft Defender [EndUser]

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus ซึ่งส่งผลให้เกิดความผิดพลากในการแจ้งเตือนที่ระบุว่า Local Security Authority (LSA) Protection ปิดอยู่ ถึงแม้จะเปิดอยู่ก็ตาม

LSA Protection หรือ Local Security Authority (LSA) Protection เป็นคุณลักษณะด้านความปลอดภัยที่ปกป้องข้อมูลที่มีความสำคัญของ Windows จาก Process Local Security Authority Subsystem Service (LSASS) เช่น การป้องกันข้อมูลประจำตัวถูกขโมยออกไปด้วยการบล็อก LSA code injection และการทำ process memory dumping (more…)

PlugX Trojan ปลอมตัวเป็นเครื่องมือตรวจสอบข้อผิดพลาดของ Windows ในการโจมตีล่าสุด

PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

Citrix ออกแพตซ์อัปเดตแก้ไขช่องโหว่ระดับ Critical ใน Workspace, Virtual Apps และ Desktops

Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer