ESET เผยเทคนิคควบคุม Backdoor ผ่านไฟล์แนบในอีเมลโดยกลุ่มแฮ็กเกอร์รัสเซีย

Turla เป็นกลุ่มก่อการร้ายไซเบอร์รัสเซียที่มีชื่อเสียงโด่งดังมายาวนานปรากฏมาตั้งแต่ปี 2007 โดยมักพุ่งเป้าไปที่หน่วยงานรัฐบาล เจ้าหน้าที่ทางการและการทหาร จนกระทั่งเมื่อปีก่อนทีมงานนี้ไปก่อเหตุใช้ Backdoor เพื่อขโมยข้อมูลจากออฟฟิศการต่างประเทศของเยอรมัน มาวันนี้ ESET ได้เผยถึงการพัฒนาและวิธีการของ Backdoor ตัวนี้มาแฉให้เห็นกันแต่ความไม่ธรรมดาอยู่ที่วิธีการรับคำสั่งไม่ได้เป็น C&C จากเซิร์ฟเวอร์ภายนอกทั่วไปแต่ผ่านมาทางไฟล์แนบ PDF ในอีเมลนั่นเอง
ตามรูปด้านบนจะเห็นได้ว่า Backdoor ของ Turla มีวิวัฒนาการมาเรื่อยๆ อย่างยาวนานตั้งแต่ปี 2009 และมีความแนบเนียนมาตั้งแต่นั้น 2013 สามารถรันคำสั่งที่แนบมาใน XML ได้ รวมถึงเพิ่มการสนใจไปยัง Bat Email Client ที่ใช้กันในยุโรป กระทั่งปัจจุบันสามารถทำได้ถึงรันคำสั่ง PowerShell ไปโดยตรงในหน่วยความจำ
คงต้องเท้าความกันก่อนว่า APT ที่พบเห็นได้ทั่วไปมักมีการเชื่อมต่อรอรับคำสั่งจากเซิร์ฟเวอร์ต้นทาง เช่น ผ่านทาง HTTP/S เป็นต้น ซึ่งปัจจุบันมักโดนเพ่งเล็งจากผู้ให้บริการหรืออุปกรณ์ฝั่งป้องกันต่างๆ ดังนั้นไอเดียของมัลแวร์ตัวนี้จะใช้วิธีการรอรับคำสั่งผ่านทางไฟล์แนบ PDF ขั้นตอนที่น่าสนใจที่เกี่ยวข้องเป็นดังนี้
  • Backdoor ไม่ได้ใช้ช่องโหว่ของ PDF Reader หรือ ช่องโหว่ใน Microsoft Outlook เลย ทุกอย่างเป็นไปอย่างปกติผ่าน Messaging Application Programming Interface (MAPI) ของ Outlook เพื่อเข้าถึงกล่องรับอีเมล
  • Backdoor จะคอยเก็บ Log ข้อมูล Metadata ของอีเมล เช่น ที่อยู่ผู้ส่ง ผู้รับ ชื่อหัวเรื่อง ชื่อไฟล์แนบ จากนั้นก็ผสม Log กับข้อมูลอื่นๆ ที่มีส่งผ่านทางไฟล์ PDF ที่ถูกสร้างขึ้นมาแบบพิเศษไปหาแฮ็กเกอร์
  • การรอรับคำสั่งตัว Backdoor เองจะคอยเช็คไฟล์ PDF ที่แนบมาในอีเมลที่ภายในมีคำสั่งของแฮ็กเกอร์อยู่มาปฏิบัติการ
  • หากที่อยู่ผู้ส่งนั้นโดนบล็อกไป Backdoor แฮ็กเกอร์ก็สามารถเปลี่ยนที่อยู่อีเมลผู้ส่งใหม่ได้ไม่ตายตัว
  • ฺBackdoor มาในรูปแบบของโมดูล Dynamic Link Library (DLL) ซึ่งสามารถวางไว้บนไหนก็ได้บนฮาร์ดไดร์ฟและการติดตั้งทำได้ผ่าน RegSvr32.exe ปกติ สำหรับการทำให้เนียนมากขึ้นคือมีการแก้ไขไฟล์ Registry ด้วย (เป็นวิธีการปกติที่มักถูกใช้กับ Windows ที่ถูกแทรกแซงอยู่แล้ว) ด้วยเทคนิคที่เรียกว่า ‘COM object hijacking’ เพื่อหารันตีว่า Backdoor จะถูกใช้งานเมื่อเปิด Microsoft Outlook
ผู้สนใจสามารถอ่าน White Paper แบบเต็มๆ ได้ที่ ‘TURLA Outlook Backdoor‘ หรือรายละเอียดเชิงเทคนิคว่ามีส่วนไหนได้รับผลกระทบบ้างได้ที่ Indicator of Compromise บน GitHub ครับ

Comments

Post a Comment

Popular posts from this blog

เตือนเว็บ Office 365 ปลอม เสี่ยงถูกหลอกลง Trickbot Trojan ขโมยรหัสผ่าน

Image
MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้ เว็บปลอมดังกล่าวมีลักษณะคล้ายคลึงกับเว็บในเครือของ Microsoft เป็นอย่างมาก และลิงค์ต่างๆ บนเว็บไซต์ก็ชี้ไปยังเพจที่โฮสต์บนโดเมนของ Microsoft อีกด้วย ทำให้นอกจาก URL แล้ว เป็นเรื่องยากที่จะจำแนกว่าเป็นเว็บไซต์ปลอม ไม่กี่วินาทีหลังจากเข้าสู่เว็บปลอมดังกล่าว จะมีข้อความแจ้งเตือนเด้งขึ้นมา ระบุว่า เบราว์เซอร์ที่ใช้งานอยู่เป็นเวอร์ชันที่เก่าเกินไป อาจเสี่ยงเกิดความผิดพลาดหรือข้อมูลสูญหายได้ จำเป็นต้องได้รับการอัปเดตใหม่ ซึ่งข้อความเหล่านี้จะแตกต่างกันเล็กน้อยขึ้นอยู่กับว่าใช้ Google Chrome หรือ Firefox ดังแสดงในรูปด้านล่าง ถ้าเหยื่อเผลอคลิกปุ่ม Update จะเป็นการดาวน์โหลดไฟล์  upd365_58v01.exe  ลงสู่เครื่อง เมื่อสั่งรัน ไฟล์ดังกล่าวจะทำการติดตั้ง Trickbot Trojan โดยแทรกเข้าไปยัง svchost.exe เพื่อให้การตรวจจับทำได้ยาก จากนั้น Trojan จะทำการติดต่อกับ C&C Server แล้วเริ่มการทำงานโมดูลอื่นๆ เช่น systeminfo64 เพื่ออัปโหลดข้อมูลเกี่ยวกับคอมพิวเตอร์ของเหยื่อ โปรแกรมท...
Read more

แนะนำวิธีเปิดใช้ DNS over HTTPS บน Firefox

Image
ดูเหมือนว่าปัจจุบัน Firefox จะเป็นบราวเซอร์เพียงเจ้าเดียวเท่านั้นที่สามารถรองรับการใช้งาน DNS over HTTPS (DoH) แต่ไม่ได้เปิดเป็น Default และไม่มีแผนที่จะทำเช่นนั้นด้วย วันนี้เองทาง Zdnet ได้แนะนำวิธีการเปิดใช้งาน DoH ไว้ง่ายๆ เพียงไม่กี่ขั้นตอนครับ DNS over HTTPS ยังมีจุดประสงค์เหมือนเดิมเพียงแต่จะเข้ารหัสและส่งบนโปรโตคอล HTTPS พอร์ต 443 แทน Plaintext พอร์ต 53 ซึ่งข้อดีคือช่วยหลบเลี่ยงการสอดแนมของ Third-party ว่าเรากำลังใช้งานเว็บไซต์อะไรอยู่ รวมถึงการทำงานในระดับแอปพลิเคชันต้องอาศัยการรองรับจาก DNS Resolver ด้วย ดังนั้นแอปพลิเคชันที่รองรับ DoH จะสามารถลัดผ่านการคัดกรองจาก ISP หรือการบล็อกเพื่อเข้าถึงเนื้อหาที่ทางรัฐบาลหรือผู้ให้บริการท้องถิ่นป้องกันไว้ ด้วยเหตุที่ DoH อาจเพิ่มความสามารถในทางที่ไม่ดีด้วยทาง Mozilla จึงตัดสินใจไม่เปิดฟีเจอร์นี้เป็น Default นั่นเองแต่สามารถเลือกเปิดเองได้ 2 วิธีดังนี้ วิธีแรก : Firefox Settings 1.ไปนี่เมนูของ Firefox ->Tools->Preferences  2.General -> เลื่อนลงมาที่ Network Settings และเลือกปุ่ม Settings (รูปประกอบด้านล่าง) ที่มา :...
Read more

Kali Linux for Raspberry Pi 4 ออกแล้ว!

Image
เมื่อไม่กี่สัปดาห์ที่ผ่านมาเพิ่งมีการวางจำหน่าย Raspberry Pi 4 ซึ่งในวันนี้ข่าวดีคือ Offensive Security ได้ทำให้เหล่า Penetration Tester ทั้งหลายสามารถใช้งาน Kali Linux บน Raspberry Pi 4 กันได้แล้ว สำหรับใครที่ยังไม่ทราบเกี่ยวกับสเป็คของ Raspberry Pi 4 สามารถติดตามได้ ที่นี่  โดยการประกาศครั้งนี้ทาง Offensive Security คุยว่า Kali Linux จะใช้ประโยชน์ทุกอย่างจากสิ่งที่ Pi 4 มีให้ แต่ปัจจุบันยังรองรับได้แบบ 32 บิตเท่านั้น 64 บิตยังคงต้องรอกันไปก่อน สำหรับผู้สนใจสามารถดาวน์โหลด OS ได้ ที่นี่ ครับ พร้อมดูคำสั่งประกอบได้จาก คู่มือ อย่างไรก็ตามแจ้งไว้เล็กน้อยว่า Raspberry Pi 4 ยังมี ปัญหา จากการออกแบบที่ทำให้ไม่สามารถรองรับ USB-C ได้ทุกรุ่น เนื่องจากไม่รองรับสายที่มี Electronic Marked (สายจาก Apple หรือ Google Pixel เป็นต้น) โดยทางผู้ผลิตก็ยอมรับและคาดว่าจะแก้ไขได้ในอนาคต ที่มา :   https://www.bleepingcomputer.com/news/linux/kali-linux-now-available-for-raspberry-pi-4/  และ   https://www.techworm.net/2019/07/kali-linux-raspberry-pi-4.html
Read more