แคสเปอร์สกี แล็บ เผยช่องโหว่สำคัญในระบบวินโดวส์ที่กลุ่มอาชญกรลึกลับใช้แสวงหาประโยชน์

Lock and electronic printed circuit board with technology style against fiber optic background

เทคโนโลยีการตรวจจับอัตโนมัติของ แคสเปอร์สกี แล็บ ตรวจพบช่องโหว่แปลกปลอมในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ ซึ่งช่องโหว่นี้ถูกกลุ่มอาชญากรลึกลับใช้เพื่อแสวงหาประโยชน์ในการควบคุมการทำงานของอุปกรณ์เป้าหมายได้แบบเบ็ดเสร็จ โดยเป้าหมายของการโจมตีคือแกนกลางระบบ (Kernel) ผ่านช่องโหว่ที่สร้างขึ้น (Backdoor) จากองค์ประกอบหลักของระบบปฏิบัติการวินโดวส์เอง

ช่องโหว่คือมัลแวร์ประเภทหนึ่งที่มีอันตรายมาก เพราะเป็นสิ่งที่เปิดทางให้ผู้โจมตีสามารถเข้าทำการควบคุมเครื่องจักรที่ติดมัลแวร์ได้โดยตรงเพื่อจุดประสงค์ร้ายต่าง ๆ แม้ว่าการนำเสนอสิทธิพิเศษจากเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเป็นเรื่องที่ยากจะหลบซ่อนจากโซลูชั่นด้านความปลอดภัยของระบบ อย่างไรก็ตาม ช่องโหว่ที่ใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน (ซึ่งเรียกช่องโหว่แบบนี้ว่า Zero-day Vulnerability) จะมีโอกาสสูงมากในการรอดพ้นจากการตรวจจับของโซลูชั่น เพราะโซลูชั่นด้านความปลอดภัยทั่วไปจะไม่สามารถจดจำการติดมัลแวร์ของระบบหรือปกป้องผู้ใช้งานจากการโจมตีที่ยังไม่รู้จักได้

กระนั้น เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) ของแคสเปอร์สกี แล็บ ก็สามารถตรวจจับความพยายามของการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ โดยรูปแบบการโจมตีที่ตรวจพบคือ เมื่อไฟล์นามสกุล .exe ที่เป็นอันตรายเริ่มต้นทำงาน มันจะเริ่มการติดตั้งมัลแวร์ การโจมตีจะใช้ประโยชน์จากช่องโหว่แบบ Zero-day Vulnerability และใช้เอกสิทธิ์การคงอยู่อย่างถาวรในเครื่องจักรของเหยื่อ หลังจากนั้น มัลแวร์จะเริ่มต้นการทำงานของช่องโหว่ที่สร้างขึ้นจากองค์ประกอบหลักในระบบปฏิบัติการวินโดวส์ ซึ่งเป็นสิ่งที่มีอยู่ในเครื่องจักรทุกเครื่องที่ใช้งานระบบปฏิบัติงานนี้ในรูปแบบโครงสร้างคำสั่งขนาดเล็ก (Scripting framework) ที่เรียกว่า Windows PowerShell ด้วยวิธีการนี้ทำให้ผู้โจมตีสามารถแฝงตัวอย่างลับ ๆ  และหลบเลี่ยงการตรวจจับได้ ทำให้พวกมันมีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี หลังจากนั้น มัลแวร์จะดาวน์โหลดช่องโหว่อีกอันจากบริการจัดเก็บข้อความในระบบที่ถูกใช้งานบ่อย ซึ่งทำให้อาชญกรสามารถเข้ามาควบคุมระบบที่ติดมัลแวร์ได้ทั้งหมดแบบเบ็ดเสร็จ

“สำหรับการโจมตีรูปแบบนี้ เราสังเกตพบ 2 แนวโน้มหลักที่มักพบเห็นในอาชญากรรมทางคอมพิวเตอร์ (Advanced Persistent Threats – APTs) แนวโน้มแรกคือการใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร แนวโน้มที่สองคือการใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้ ซึ่งในการตรวจจับเทคนิคเหล่านี้ โซลูชั่นด้านความปลอดภัยจำเป็นต้องใช้เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) และเครื่องจักรสำหรับการตรวจสอบพฤติกรรมที่ผิดปกติในการใช้งานเว็บไซต์” อันทอน อิวานอฟ ผู้เชี่ยวชาญด้านความปลอดภัยแห่ง แคสเปอร์สกี แล็บ อธิบาย 

ผลิตภัณฑ์ของ แคสเปอร์สกี แล็บ สามารถตรวจจับการหาประโยชน์โดยมิชอบได้ ในรูปแบบของ: 

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

ช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน ที่ผ่านมา

แคสเปอร์สกี แล็บ ยังได้แนะนำมาตรการเพื่อป้องกันการสร้างช่องโหว่แบบ Zero-day Vulnerability ในระบบปฏิบัติการวินโดวส์ ดังนี้

  • เมื่อช่องโหว่ถูกปิดและมีการดาวน์โหลดโปรแกรม Patch เพื่อแก้ไขระบบ ผู้โจมตีจะหมดโอกาสในการใช้งานช่องโหว่นั้น จึงควรติดตั้ง Patch ของไมโครซอฟต์เพื่อปิดช่องโหว่ใหม่ให้เร็วที่สุด
  • หากคุณวิตกกังวลถึงความปลอดภัยขององค์กรของคุณในภาพรวม จงมั่นใจว่าซอฟต์แวร์ทุกตัวได้รับการอัพเดตทันทีที่มีการปล่อย Patch ด้านความปลอดภัยตัวใหม่ออกมา และใช้ผลิตภัณฑ์ด้านความปลอดภัยที่มีการประเมินช่องโหว่และการจัดการ Patch เพื่อให้มั่นใจได้ว่าขั้นตอนเหล่านี้จะทำงานโดยอัตโนมัติ
  • ใช้โซลูชั่นที่ผ่านการพิสูจน์แล้วซึ่งมีความสามารถในการตรวจสอบพฤติกรรมการใช้งานเว็บไซต์ เพื่อการป้องกันการโจมตีที่ยังไม่รู้จัก อาทิ โซลูชั่น Kaspersky Endpoint Security
  • มั่นใจว่าทีมงานด้านความปลอดภัยของคุณสามารถเข้าถึงข่าวสารภัยคุกคามอัจฉริยะที่มีข้อมูลเป็นปัจจุบัน โดยลูกค้าของKaspersky Intelligence Reporting สามารถรับรายงานข่าวสารเรื่องการพัฒนาในแวดวงภัยคุกคามล่าสุด หากต้องการรายละเอียดเพิ่มเติม ติตต่อที่ intelreports@kaspersky.com 
  • สิ่งสุดท้าย มั่นใจว่าพนักงานของคุณได้รับการฝึกอบรมในเรื่องพื้นฐานการรักษาความปลอดภัยทางไซเบอร์

อ่านรายละเอียดทั้งหมดในเรื่องช่องโหว่ในระบบได้ที่ Securelist

หากต้องการศึกษาเพิ่มเติมเกี่ยวกับเทคโนโลยีที่ช่วยตรวจจับช่องโหว่รูปแบบ Zero-days Vulnerability รวมถึงช่องโหว่รูปแบบอื่น ๆ ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ สามารถดูจากคลิปไฟล์ เว็บบินาร์ ของแคสเปอร์สกี แล็บ ได้

###

เกี่ยวกับ แคสเปอร์สกี แล็บ

แคสเปอร์สกี้ แล็บ บริษัทระดับโลกผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ซึ่งก่อตั้งมานานกว่า 21 ปี มีความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (Deep Threat Intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แล็บ ได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยสำหรับปกป้ององค์กรธุรกิจ โครงสร้างพื้นฐานที่สำคัญ องค์กรภาครัฐบาล และผู้บริโภคทั่วโลก ทั้งนี้กลุ่มผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครอบคลุมของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แล็บ ทำหน้าที่ปกป้องผู้ใช้งานมากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่งอีกมากกว่า 270,000 แห่งทั่วโลก ดูข้อมูลเพิ่มเติมได้ที่ www.kaspersky.com

About naruethai

Check Also

แคสเปอร์สกี้เผยสถิติปี 2020 พบไฟล์อันตรายเกิดใหม่เฉลี่ยวันละ 360,000 ไฟล์ เพิ่มขึ้น 5.2% จากปีก่อน

ในปี 2020 แคสเปอร์สกี้ตรวจพบไฟล์อันตรายเกิดใหม่เฉลี่ยแล้ววันละ 360,000 ไฟล์ คิดเป็นเพิ่มขึ้น 5.2% เมื่อเทียบกับปีที่แล้ว สาเหตุน่าจะมาจากการเติบโตขึ้นอย่างมากของโทรจัน (ไฟล์ตัวร้ายที่ก่ออันตรายได้มากมายหลายอย่าง รวมทั้งลบหรือแอบจารกรรมข้อมูลด้วย) และแบ็คดอร์ (โทรจันประเภทหนึ่งที่ผู้ก่อการร้ายสามารถเข้ามายึดควบคุมเครื่องของเหยื่อ) คิดเป็นอัตราเพิ่ม 40.5% …

ลาซารัสยังไม่หยุด! แคสเปอร์สกี้เผยเหตุการณ์โจมตีสองรายการเชื่อมโยงงานวิจัยวัคซีนสกัดโรคระบาด

ช่วงปลายปี 2020 นักวิจัยของแคสเปอร์สกี้ระบุพบความเคลื่อนไหวของ APT จำนวน 2 รายการที่มีเป้าหมายเป็นงานค้นคว้าวิจัยเกี่ยวกับ COVID-19 หน่วยงานของกระทรวงสาธารณสุข และบริษัทธุรกิจยาและเวชภัณฑ์ ซึ่งทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ประเมินว่าต้องมีความเกี่ยวโยงกับกลุ่มลาซารัส (Lazarus) อันอื้อฉาวอย่างแน่นอน