Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android

Ramnit Worm ได้กลับมาปรากฏตัวอีกครั้งในเวอร์ชัน Android แม้ว่าโดยพื้นฐานมันจะเป็น Window-base ก็ตาม คำถามคือ Ramnit ถูกดัดแปลงให้รันได้บน Android และแพร่ผ่าน Google Play ได้จริงหรือ? การระบาดครั้งนี้ผู้ใช้งานได้รับผลกระทบอย่างไรและป้องกันอุปกรณ์ได้อย่างไร? วันนี้เรามีคำตอบจาก Symantec มาให้ความรู้และแนะนำผู้ใช้งานให้ปลอดภัยจาก Ramnit และ Threat อื่นๆ ที่อาจะเกิดขึ้นในอนาคต
Ramnit Worm (W32.Ramnit) ปรากฏตัวครั้งแรกเมื่อปี 2010 (CVE-2010-2568CVE-2013-0422CVE-2013-1493) โจมตีบน Windows-based เพื่อให้มั่นใจว่ามันจะสามารถกระได้รวดเร็วและกำจัดได้ยาก ผู้พัฒนาออกแบบให้มันแพร่กระจายผ่าน Removable หรือ Fixed Drive และติดได้บนไฟล์ต่างๆ เช่น .exe .dll .html .htm กระบวนการติดมัลแวร์บน HTML ไฟล์ใช้ 2 เทคนิคคือ
  1. แทรก VBScript ในหน้า HTML สำหรับปล่อยและรันไฟล์
  2. แทรก Hidden iframe ในหน้า HTML เพื่อดาวน์โหลดไฟล์เมื่อเหยื่อเปิดเพจใน Browser
Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android ในเดือนมีนาคมปีนี้ มีกว่า 100 แอปพลิเคชันที่ติดมัลแวร์คล้ายๆ กันถูกลบออกจาก Google Play และเมื่อเร็วๆ นี้ก็มีการโจมตีระลอกใหม่อีกครั้งมี 92 แอปพลิเคชันที่เกี่ยวข้อง อีกทั้งยังมีผู้ใช้งานดาวน์โหลดไปแล้วถึง 250,000 ครั้ง ส่วนหนึ่งของแอปพลิเคชันเหล่านั้นเป็นแอปพลิเคชันเพื่อการศึกษาจากค่าย Lesmana Studio และอีกส่วนเป็นแอปพลิเคชันสอนการออกแบบจากผู้พัฒนาที่ชื่อว่า Arrpya App ซึ่งแอปพลิเคชันเหล่านี้ไม่ปรากฏบน Google Play แล้ว
Ramnit ถูกดัดแปลงให้รันได้บน Andorid และแพร่ผ่าน Google Play ได้จริงหรือ? แม้ว่าหลายปีก่อนจะมีการกวาดล้างครั้งใหญ่ไปแล้วแต่คาดว่า Ramnit ก็คงยังหลงเหลืออยู่ที่ไหนสักแห่ง เรื่องทั้งหมดน่าเกิดขึ้นเพราะนักพัฒนา Android แอปพลิเคชันไปใช้งานเครื่องที่ติด Ramnit อยู่หรือเผลอไปรวมไฟล์ที่มีมัลแวร์อยู่เข้าไปจากนั้นก็ส่งงานไปที่ Google Play แม้ว่า Google จะมีการตรวจสอบแอปพลิเคชันที่อัพโหลดมาแต่เราไม่รู้ขั้นตอนในการตรวจสอบ ดังนั้นเราจึงไม่ทราบได้ว่าทำไม Ramnit ถึงรอดจากการตรวจสอบนั้น
อันที่จริงแล้ว Ramnit ไม่สามารถรันบนอุปกรณ์ Android ได้จริง กรณีที่จะติดได้นั้น คือ ต้องนำอุปกรณ์ไปต่อกับเครื่อง Windows แล้วก็เปิดไฟล์ที่ติดมัลแวร์ด้วย Browser บนเครื่อง Window อย่างไรก็ตาม ถ้าผู้ใช้มีการติดตั้งโปรแกรม Antivirus หรือ Endpoint Protection ก็จะปลอดภัยจาก Worm ตัวนี้และภัยคุกคามอื่นๆ แม้ว่าภัยครั้งนี้จะดูเหมือนว่ามันไม่ได้รุนแรงมากนักแต่มันพิสูจน์แล้วว่าการตรวจสอบแอปพลิเคชันของผู้ให้บริการแอปพลิเคชันนั้นไม่พอเพียงและอาจเป็นช่องทางให้มัลแวร์ตัวอื่นๆ เกิดขึ้นต่อไป ในครั้งนี้ Symantec ได้แจ้ง Google ให้ทำการลบแอปพลิเคชันเหล่านี้แล้ว เพื่อความปลอดภัยของผู้ใช้งานมือถือทาง Symantec มีข้อแนะนำดังนี้
  • อัพเดต Software ให้ล่าสุดเสมอ
  • อย่าดาวน์โหลดแอปพลิเคชันจากไซต์ที่ไม่น่าไว้วางใจ
  • ใช้งานแอปพลิเคชันจากผู้ผลิตที่ไว้ใจได้เท่านั้น
  • ระมัดระวังการให้สิทธิ์กับแอปพลิเคชัน
  • หาโปรแกรมด้านการรักษาความมั่นคงปลอดภัยบนมือถือมาใช้ เช่น Norton หรืออื่นๆ
  • พยายามสำรองข้อมูลสำคัญไว้อย่างสม่ำเสมอ
สามารถดูข้อมูลเพิ่มเติมของ Ramnit ได้ที่นี่ https://www.symantec.com/security_response/writeup.jsp?docid=2010-011922-2056-99

Comments

Post a Comment

Popular posts from this blog

นักวิจัยปล่อยโค้ดที่ทำให้เกิดจอฟ้ากับเครื่อง Windows จำนวนมากบน GitHub

Image
ผู้เชี่ยวชาญด้านฮาร์ดแวร์ชาวโรมาเนียได้ปล่อยโค้ด PoC ที่สามารถทำให้คอมพิวเตอร์ส่วนใหญ่ที่ใช้งาน Windows เกิดจอฟ้า แม้ว่าจะล็อกเครื่องอยู่ก็ตาม โดยโค้ดที่เผยแพร่นั้นได้อาศัยช่องโหว่จากการจัดการ image ของ Filesystem แบบ NTFS ซึ่งถูกค้นพบโดย Marius Tivadar นักวิจัยด้านความมั่นคงปลอดภัยจาก Bitdefender การใช้งานโค้ดดังกล่าวทำได้ผ่านการเสียบ Thumb Drive ในช่อง USB เพียงไม่กี่วินาทีเท่านั้นก็จะทำให้ Windows เกิดอาการทำงานผิดพลาดจนแสดงผลจอฟ้า อย่างไรก็ตามแม้ว่าคอมพิวเตอร์จะปิดการเล่นอัตโนมัติหรือ Autoplay ไว้แต่ก็สามารถใช้โค้ดนี้ได้เช่นกันหาก Windows Defender หรือเครื่องมืออื่นๆ เข้ามาสแกนอ่านใน Thumb Drive ในกรณีของเครื่องคอมพิวเตอร์ที่ล็อกเครื่องเอาไว้แล้วยังสามารถใช้โค้ด PoC ได้ผลนั้น นักวิจัยได้ให้ความเห็นว่าพฤติกรรมของ OS ที่ควรเปลี่ยนคือ “ ไม่ควรอนุญาตให้เครื่องที่ล็อกอยู่สามารถโหลด Driver หรือ Execute โค้ดจากอุปกรณ์ภายนอกที่เสียบเข้ามาได้ ” อย่างไรก็ตามทาง Microsoft ไม่ได้แก้ไข Bug นี้แม้ว่านักวิจัยจะได้รายงานเข้าไปแล้วตั้งแต่ กรกฎาคม 2017 และลดระดับความสำคัญของ Bug ลงเนื่องจากคิดว่...
Read more

ผู้เชี่ยวชาญพบมัลแวร์ใช้ Windows BITS เพื่อติดต่อเซิร์ฟเวอร์ควบคุม

Image
ผู้เชี่ยวชาญจาก ESET ได้ออกมาเปิดเผยเรื่องราวของมัลแวร์ใช้ Windows BITS เพื่อลอบติดต่อกับเซิร์ฟเวอร์ควบคุม โดยคาดว่าจะเป็นกลุ่มของแฮ็กเกอร์ที่มีนามแฝงว่า Stealth Falcon Background Intelligence Transfer Service ( BITS ) เป็นส่วนประกอบหนึ่งใน Windows ที่ถูกใช้เพื่อนำส่งการอัปเดตต่างๆ สู่ผู้ใช้งานเมื่อไม่ได้ใช้งานเครือข่าย เช่น Windows Update, Microsoft Update, Server Update และ System Center Configuration Update เป็นต้น รวมถึง Windows Defender ก็ใช้ช่องทางนี้เพื่ออัปเดต Signature ด้วย ทั้งนี้แอปพลิเคชันอื่นก็มีความเป็นไปได้ที่จะเข้ามาใช้ช่องทางนี้ อย่างตอนนี้ที่ Mozilla กำลังพยายามพัฒนาให้ Firefox สามารถใช้ BITS เพื่ออัปเดตได้ อย่างไรก็ตามดูเหมือนว่าเหรียญย่อมมีสองด้านเสมอเพราะหลายปีที่ผ่านมา BITS เคยถูกใช้ในแคมเปญการโจมตีมาแล้วหลายครั้ง ซึ่งมีแนวโน้มว่าจะพบเห็นได้บ่อยขึ้นด้วย โดยล่าสุด ESET ก็ได้เผยถึงกลุ่ม Stealth Falcon ที่ได้ใช้ช่องทางนี้กับ Backdoor ของตนเพื่อลอบติดต่อกับเซิร์ฟเวอร์ ที่คาดว่าหลายองค์กรไม่ค่อยใส่ใจกับทราฟฟิคทางของ BITS เท่าไหร่นัก สำหรับ Stealth Falcon นั้นเป็...
Read more

รู้สาเหตุแล้ว ประเทศในแถบเอเชียตะวันออกเฉียงใต้เน็ตช้าเพราะสายเคเบิลใต้ทะเลขาด

Image
หลายประเทศในเขตเอเชียตะวันออกเฉียงใต้ต้องประสบปัญหาจากการใช้อินเทอร์เน็ตในช่วงไม่กี่วันมานี้ จากการตรวจสอบล่าสุดพบว่ามีสาเหตุมาจากสายเคเบิลใต้ทะเลที่เชื่อมต่อระหว่างเอเชียและประเทศต่างๆ ถูกตัดขาดหลายจุดอันเนื่องมาจากพายุไต้ฝุ่น ส่งผลให้อินเทอร์เน็ตของ ISP หลายรายในเขตเอเชียตะวันออกเฉียงใต้ทำงานได้ช้าลงหรือหยุดทำงาน แหล่งข่าวหลายแห่งออกมาระบุว่า สายเคเบิลใต้ทะเลที่เป็นเกตเวย์ออกอินเทอร์เน็ตที่ได้รับ ความเสียหายในช่วงสัปดาห์ที่ผ่านมาประกอบด้วย 4 สาย ได้แก่ Asia-American Gateway (AAG) – สายเคเบิลที่เชื่อมระหว่างเอเชียตะวันออกเฉียงใต้และสหรัฐฯ ระยะทางกว่า 20,000 กิโลเมตร ได้รับความเสียหาย 2 จุดห่างจากสถานีปลายทางที่ฮ่องกง 66 กิโลเมตร และ 85 กิโลเมตร Intra-Asia (IA) – สายเคเบิลของเครือข่าย Tata Global Network (TGN) ที่เชื่อมสิงคโปร์ เวียดนาม ฟิลิปปินส์ ฮ่องกง ญี่ปุ่น และสหรัฐฯ เข้าด้วยกัน ได้รับความเสียหายห่างจากฮ่องกง 54 กิโลเมตร ASE (Asia Submarine-cable Express) – สายเคเบิลของ NTT, PLDT, Telekom Malaysia และ Starhub ที่เชื่อมญี่ปุ่น ฮ่องกง ฟิลิปปินส์ มาเลเซีย และสิงคโปร์ ได้รับค...
Read more