‘Coldroot’ โทรจันที่ Antivirus ส่วนใหญ่ยังจับไม่ได้ปรับปรุงเทคนิคเล็งผู้ใช้ macOS
นาย Patrick Wardle หัวหน้านักวิจัยที่ Digita Security ได้ค้นพบ Remote Access Trojan (RAT) ที่ชื่อ Coldroot ถูกวางขายอยู่ภายในตลาดมืดตั้งแต่วันที่ 1 มกราคมปี 2017 ซึ่งมีโค้ดหลายเวอร์ชันปรากฏอยู่บน GitHub เกือบ 2 ปีมาแล้ว อีกทั้งปัจจุบันยังมีการปรับให้ใช้งานบน macOS ได้ด้วยเทคนิคที่ซับซ้อนมากขึ้น ที่สำคัญนักวิจัยได้เตือนว่า Antivirus ส่วนใหญ่ยังไม่สามารถตรวจจับได้
จากการทดลองของ Wardle พบว่า RAT สามารถใช้งานได้ทั้ง Windows Linux และ macOS โดยตัวอย่างไฟล์ RAT ที่ Wardle ทดสอบนั้นพยายามอ้างตัวเป็น ‘Apple Audio Driver’ แต่ความน่าสงสัยคือเมื่อตรวจสอบโดย What’s Your Sign มันไม่มีพบการถูกรับรองความน่าเชื่อถือและมีความพยายามไปอ้างถึง TCC.db โดยมันคือฐานข้อมูลที่เก็บรายชื่อของแอปพลิเคชันว่ามีสิทธิ์เข้าถึงอะไรได้บ้าง “หากแก้ไขฐานข้อมูลนี้ได้มันจะสามารถกำหนดการปฏิสัมพันธ์กับ UI ของระบบหรือแอปพลิเคชันอื่นได้ หรือแม้แต่การดักจับคีย์ (Kerlogger) ซึ่งการแก้ไขฐานข้อมูลโดยตรงนี้จะสามารถหลบเลี่ยงการแจ้งเตือนของระบบต่อผู้ใช้งานได้“–“Wardle กล่าว
สิ่งที่ RAT ตัวนี้ทำคือพยายามอ้างตัวเป็น Driver ‘com.apple.audio.driver2.app’ ซึ่งถ้าถูกคลิกมันจะแสดงหน้าต่างร้องขอการพิสูจน์ตัวตนของ MacOS Credentials หากผู้ใช้หลงเชื่อมันจะสามารถเข้าไปแก้ไข TCC.db และแสดงความสามารถดักจับแป้นพิมพ์ต่อไปได้ อย่างไรก็ตาม MacOS High Sierra เวอร์ชันปัจจุบันมีการป้องกัน TCC.db ด้วย System Integrity Protection (SIP) แล้วดังนั้นการแก้ไขฐานข้อมูลนี้จะใช้ได้กับ MacOS เวอร์ชันเก่าเท่านั้นซึ่ง Wardle แนะนำให้ผู้ใช้ป้องกันตัวโดยหมั่นอัปเดต OS เสมอ แต่ถ้าหาก Coldroot สามารถแก้ไข TCC.db ได้สำเร็จขั้นต่อไปมันจะทำให้สามารถเริ่มตัวเองได้เมื่อระบบถูกรีบูต ยิ่งกว่านั้นมันยังสามารถสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ได้เพื่อรอรับคำสั่งและมีการสร้างเซสซัน ‘REMOTEDESKTOPTHREAD’ เพื่อคอยส่งข้อมูลที่จับภาพหน้าจอของเหยื่อไปยังคนร้าย
จากการทดลองของ Wardle พบว่า RAT สามารถใช้งานได้ทั้ง Windows Linux และ macOS โดยตัวอย่างไฟล์ RAT ที่ Wardle ทดสอบนั้นพยายามอ้างตัวเป็น ‘Apple Audio Driver’ แต่ความน่าสงสัยคือเมื่อตรวจสอบโดย What’s Your Sign มันไม่มีพบการถูกรับรองความน่าเชื่อถือและมีความพยายามไปอ้างถึง TCC.db โดยมันคือฐานข้อมูลที่เก็บรายชื่อของแอปพลิเคชันว่ามีสิทธิ์เข้าถึงอะไรได้บ้าง “หากแก้ไขฐานข้อมูลนี้ได้มันจะสามารถกำหนดการปฏิสัมพันธ์กับ UI ของระบบหรือแอปพลิเคชันอื่นได้ หรือแม้แต่การดักจับคีย์ (Kerlogger) ซึ่งการแก้ไขฐานข้อมูลโดยตรงนี้จะสามารถหลบเลี่ยงการแจ้งเตือนของระบบต่อผู้ใช้งานได้“–“Wardle กล่าว
สิ่งที่ RAT ตัวนี้ทำคือพยายามอ้างตัวเป็น Driver ‘com.apple.audio.driver2.app’ ซึ่งถ้าถูกคลิกมันจะแสดงหน้าต่างร้องขอการพิสูจน์ตัวตนของ MacOS Credentials หากผู้ใช้หลงเชื่อมันจะสามารถเข้าไปแก้ไข TCC.db และแสดงความสามารถดักจับแป้นพิมพ์ต่อไปได้ อย่างไรก็ตาม MacOS High Sierra เวอร์ชันปัจจุบันมีการป้องกัน TCC.db ด้วย System Integrity Protection (SIP) แล้วดังนั้นการแก้ไขฐานข้อมูลนี้จะใช้ได้กับ MacOS เวอร์ชันเก่าเท่านั้นซึ่ง Wardle แนะนำให้ผู้ใช้ป้องกันตัวโดยหมั่นอัปเดต OS เสมอ แต่ถ้าหาก Coldroot สามารถแก้ไข TCC.db ได้สำเร็จขั้นต่อไปมันจะทำให้สามารถเริ่มตัวเองได้เมื่อระบบถูกรีบูต ยิ่งกว่านั้นมันยังสามารถสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ได้เพื่อรอรับคำสั่งและมีการสร้างเซสซัน ‘REMOTEDESKTOPTHREAD’ เพื่อคอยส่งข้อมูลที่จับภาพหน้าจอของเหยื่อไปยังคนร้าย
ที่น่าตกใจคือ Wardle ได้ตรวจสอบกับ Virustotal ซึ่งพบว่าไม่มี Antivirus เจ้าไหนเลยจะสามารถตรวจจับตัวอย่างไฟล์ที่ใช้ในครั้งนี้ได้ ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่ https://digitasecurity.com/blog/2018/02/19/coldroot/
ที่มา : https://threatpost.com/year-old-coldroot-rat-targets-macos-still-evades-detection/129990/ และ https://www.bleepingcomputer.com/news/security/coldroot-rat-still-undetectable-despite-being-uploaded-on-github-two-years-ago/
Comments
Post a Comment