Tags:
Node Thumbnail

จากข่าว เซิร์ฟเวอร์ CCleaner ถูกแฮ็ก โปรแกรมถูกฝังมัลแวร์ ตอนนี้เริ่มมีรายละเอียดของมัลแวร์ตัวนี้ออกมาว่ามันไม่ธรรมดา เพราะมันถูกออกแบบเพื่อตั้งใจโจมตีคอมพิวเตอร์ภายในบริษัทใหญ่ๆ อย่าง Intel, HTC, Samsung, Sony, Microsoft, Cisco ด้วย

รายละเอียดเรื่องนี้มาจาก Cisco Talos หน่วยวิเคราะห์ข้อมูลด้านความปลอดภัยของ Cisco ที่เป็นบริษัทหนึ่งที่ค้นพบมัลแวร์ตัวนี้และแจ้งไปยัง Piriform บริษัทผู้พัฒนา CCleaner (ปัจจุบันเป็นบริษัทลูกของ Avast)

Talos บอกว่าพบทราฟฟิกผิดปกติจากระบบตรวจสอบ exploit detection ตัวใหม่ พอสอบสวนแล้วพบว่ามาจาก CCleaner v5.33 ซึ่งมีต้นทางมาจากเซิร์ฟเวอร์ของ CCleaner โดยตรง และตัวไฟล์ถูก sign ด้วยใบรับรองดิจิทัลอย่างถูกต้องด้วย นั่นแปลว่า CCleaner ถูกเจาะตั้งแต่ก่อนกระบวนการ sign ด้วยซ้ำ

มัลแวร์ตัวนี้จะดึงข้อมูลในคอมพิวเตอร์แล้วส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (ในวงการเรียกกันว่า Command and Control หรือ C2) สิ่งที่น่าสนใจคือมัลแวร์จะส่งข้อมูลกลับไปยังหมายเลขไอพีอันหนึ่ง แต่ถ้าไม่ได้รับการตอบกลับ (เซิร์ฟเวอร์อาจถูกสั่งปิด) มันมีฟีเจอร์ชื่อ Domain Generation Algorithm ที่ส่งข้อมูลไปยังโดเมนเนมแบบสุ่มตามเวลา

No Description

อัลอริทึม Domain Generation Algorithm จะใช้ตัวเลขปี-เดือน เข้ามาเป็นอินพุตเพื่อสร้างโดเมนเนมขึ้นมาใหม่ (ไม่ hardcode เพื่อให้แอนตี้ไวรัสจับได้) ดังนั้นในแต่ละเดือน มัลแวร์จะส่งข้อมูลกลับไปยังโดเมนคนละอันกันเพื่อหลบเลี่ยงการตรวจจับ

No Description

จากสถิติของ Cisco Umbrella ระบบมอนิเตอร์ทราฟฟิกอินเทอร์เน็ตของ Cisco จะเห็นว่าทราฟฟิกของโดเมนในเดือนสิงหาคม จะมีเฉพาะแค่เดือนสิงหาคม พอเปลี่ยนเป็นเดือนกันยายนแล้วก็เปลี่ยนมาใช้โดเมนอีกตัวแทน

No Description

No Description

นอกจากตัวมัลแวร์แล้ว ภายหลัง Cisco Talos ยังได้ข้อมูลจากเซิร์ฟเวอร์ C2 ของมัลแวร์ตัวนี้ (Talos ไม่ระบุว่าได้ข้อมูลมาอย่างไร บอกเพียงว่าตอนแรกไม่แน่ใจว่าเป็นไฟล์ของแท้ แต่ภายหลังคิดว่าน่าจะใช่) และพบว่ามีระบุ DomainList ที่แฮ็กเกอร์พยายามโจมตีด้วย ซึ่งในจำนวนนี้ก็มีโดเมนของบริษัทดังๆ อย่าง Singtel, HTC, Samsung, Sony, VMware, Intel, Microsoft, O2, Vodafone, Epson, MSI, DLink, Gmail รวมถึง Cisco เองด้วย แสดงให้เห็นว่าแฮ็กเกอร์มีความตั้งใจปล่อยมัลแวร์ตัวนี้ เพื่อไปดึงข้อมูลสำคัญจากเครื่องคอมพิวเตอร์ในเครือข่ายของบริษัทเหล่านี้

No Description

ที่มา - Cisco Talos (1) , Cisco Talos (2)

Get latest news from Blognone

Comments

By: adente
Contributor SUSE Symbian Windows
on 22 September 2017 - 10:02 #1009105
adente's picture

ทึ่งตรงที่มันมีระบบไดนามิคโดเมนนี้แหละ อีกหน่อยคงมีระบบ asymmetric domain key กันละ 555

By: Krit04
iPhone Windows
on 22 September 2017 - 10:05 #1009106
Krit04's picture

แอพประจำเครื่องเลยครับ ตอนใช้ Windows OS รอดตัวไปตอนนี้ไม่ได้ใช้แล้ว

By: Perl
Contributor iPhone Ubuntu
on 22 September 2017 - 11:18 #1009129
Perl's picture

พวกบริษัท IT ใหญ่ๆ พวกนี้เว็บมันเคยล่มที่ไหนกัน

By: topty
Contributor
on 22 September 2017 - 11:45 #1009137

อัลอริทึม Domain Generation Algorithm จะใช้ตัวเลขปี-เดือน เข้ามาเป็นอินพุต

อัลอริทึม => อัลกอริทึม

By: Architec
Contributor Windows Phone Android Windows
on 22 September 2017 - 12:18 #1009144

ทุกวันนี้เขียนโปรแกรมลบเองครับ(ว่างมาก) ใช้ของที่ติดมากับ Windows ก็นานเกิน

By: btoy
Contributor Android Windows
on 22 September 2017 - 13:15 #1009153
btoy's picture

ถือว่าแสบไม่เบาแฮะ


..: เรื่อยไป

By: indyend
Android Ubuntu
on 22 September 2017 - 18:02 #1009229
indyend's picture

แม้แต่ OS ก็มีปัญหาเรื่องน้ำหนัก