Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

5 มิถุนายน 2562

นักวิจัยของแคสเปอร์สกี ได้เปิดเผยถึงปฏิบัติการจารกรรมทางไซเบอร์ที่มีความซับซ้อนสูงซึ่งมีเป้าหมายในการโจรกรรมข้อมูลของหน่วยงานทางการทูต รัฐบาล และการทหารในเอเชียตะวันออกเฉียงใต้ ปฏิบัติการนี้ดำเนินมาอย่างต่อเนื่องเกือบ 6 ปีและได้เชื่อมโยงเข้ากับการโจมตีซึ่งตรวจพบในภูมิภาคเมื่อเร็ว ๆ นี้ การตรวจสอบเพิ่มเติมกับเครื่องมือและขั้นตอนที่ใช้ในปฏิบัติการทำให้ทีมนักวิจัยพบข้อสรุปว่า ผู้โจมตีเบื้องหลังปฏิบัติการนี้คือกลุ่มแพลทินัม (PLATINUM) กลุ่มโจรกรรมทางไซเบอร์ที่นักวิจัยต่างคิดว่าสาบสูญไปนานแล้ว โดยในปฏิบัติการซึ่งไม่มีใครสังเกตเห็นมาเป็นเวลานานนี้ ทางกลุ่มได้ใช้วิธีการเข้ารหัสข้อมูลด้วยเทคนิคที่เรียกว่า วิทยาการอำพรางข้อมูล (Steganography) ซึ่งจะช่วยปกปิดการปรากฏของข้อมูลใด ๆ ในขั้นตอนการปฏิบัติการ

นักวิจัยด้านความปลอดภัยได้เคยให้คำเตือนถึงอันตรายของวิทยาการอำพรางข้อมูลไว้บ้างแล้ว โดยวิทยาการอำพรางข้อมูลคือการทำงานที่มีการถ่ายโอนข้อมูลด้วยการจัดรูปแบบข้อมูล (Format) ที่ถูกซ่อนไว้ ซึ่งจะช่วยปกปิดข้อเท็จจริงที่ว่ามีข้อมูลกำลังถูกส่งออกอยู่ในขณะนี้ ด้วยวิธีการทำงานเช่นนี้ วิทยาการอำพรางข้อมูลจึงแตกต่างจากการเข้ารหัสสัญญาณข้อมูล (Cryptography) ซึ่งเป็นเพียงการปกปิดข้อมูลเท่านั้น เมื่อใช้วิทยาการอำพรางข้อมูล ผู้จารกรรมข้อมูลจะสามารถแฝงตัวอยู่ในระบบที่ถูกเจาะได้เป็นเวลานานโดยไม่สร้างความน่าสงสัยใด ๆ ซึ่งวิธีนี้เป็นวิธีที่กลุ่มแพลทินัมใช้เพื่อคุกคามหน่วยงานรัฐบาลและองค์กรที่เกี่ยวข้องในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ ซึ่งเป็นกลุ่มที่ถูกตรวจพบกิจกรรมคุกคามครั้งล่าสุดในปี ค.ศ. 2017

กรณีปฏิบัติการของกลุ่มแพลทินัมที่ได้รับการเปิดเผยเมื่อเร็ว ๆ นี้ก็คือ การตรวจพบคำสั่งของมัลแวร์ถูกฝังอยู่ในรหัส HTML ของเว็บไซต์ โดยปกติปุ่มแท็บ (Tab) และปุ่มเสปซบาร์ (Space bar) บนคีย์บอร์ดจะไม่เปลี่ยนแปลงเมื่อรหัส HTML ถูกใช้บนเว็บเพจ ดังนั้น ผู้คุกคามจึงเข้ารหัสคำสั่งด้วยลำดับการใช้งานของสองปุ่มนี้ ผลลัพธ์ก็คือ การตรวจสอบชุดคำสั่งโจมตีในเครือข่ายแทบจะเป็นเรื่องที่เป็นไปไม่ได้เลย เนื่องจากมัลแวร์จะปรากฏเพียงในระดับการเข้าถึงเว็บไซต์ที่ต้องสงสัยเท่านั้น ซึ่งแทบจะไม่สามารถสังเกตเห็นได้เลยในเครือข่ายสัญญาณโดยรวม

โดยในการตรวจหามัลแวร์นี้ ทีมนักวิจัยต้องตรวจสอบโปรแกรมต่าง ๆ ที่มีความสามารถในการอัพโหลดไฟล์ข้อมูลเข้าสู่อุปกรณ์ได้ ซึ่งในจำนวนนั้น ผู้เชี่ยวชาญสังเกตพบว่ามีหนึ่งโปรแกรมที่ทำงานผิดปกติ ยกตัวอย่างเช่น โปรแกรมนี้จะเข้าสู่ Dropbox ซึ่งเป็นบริการคลาวด์สาธารณะเพื่อทำการบริหารจัดการข้อมูลและถูกตั้งค่าให้ทำงานในบางช่วงเวลาเท่านั้น หลังจากนั้น ทีมนักวิจัยจึงตระหนักได้ว่า มันทำเช่นนี้เพื่อปกปิดกิจกรรมของมัลแวร์ท่ามกลางขั้นตอนการทำงานต่าง ๆ ในช่วงเวลาทำงานปกติ ซึ่งในช่วงเวลาทำงานปกตินั้น พฤติกรรมการทำงานของมันจะไม่ก่อให้เกิดความน่าสงสัยใดๆ เลย ซึ่งในความเป็นจริงนั้น ผู้ที่ใช้งานดาวน์โหลดกำลังทำให้ข้อมูลรั่วไหล ทั้งยังอัพโหลดข้อมูลและไฟล์ไปมากับอุปกรณ์ที่ติดมัลแวร์อยู่โดยไม่รู้ตัว

“นับตั้งแต่รับรู้ถึงการดำรงอยู่ของกลุ่มแพลทินัม ปฏิบัติการของกลุ่มล้วนมีความซับซ้อนและคิดค้นรูปแบบมาเป็นอย่างดี ซึ่งมัลแวร์ที่ใช้ในการโจมตีนี้ก็ไม่ใช่ข้อยกเว้น นอกเหนือจากวิทยาการอำพรางข้อมูล มันยังมีฟีเจอร์การทำงานอื่น ๆ ที่ช่วยให้มันสามารถโลดแล่นและทำงานรอดพ้นการตรวจจับได้เป็นเวลานาน ยกตัวอย่างเช่น มันสามารถ่ายโอนคำสั่ง มิใช่เพียงจากศูนย์บัญชาการเท่านั้น แต่จากเครื่องที่ติดมัลแวร์เครื่องหนึ่งไปสู่อีกเครื่องหนึ่งได้ ด้วยวิธีการนี้ มันจึงสามารถเข้าถึงอุปกรณ์ต่าง ๆ ที่เป็นส่วนหนึ่งในโครงสร้างพื้นฐานของอุปกรณ์ที่ติดมัลแวร์ซึ่งไม่ได้เชื่อมต่อกับอินเตอร์เน็ตได้ เมื่อพิจารณาทั้งหมดนี้แล้ว การค้นพบผู้คุกคามอย่างแพลทินัมที่ใช้วิทยาการอำพรางข้อมูล ถือเป็นสัญญาณเตือนว่า การคุกคามด้วยวิทยาการขั้นสูงที่แฝงตัวอยู่ได้นานกำลังเพิ่มระดับความซับซ้อนของกระบวนการทำงานเพื่อให้รอดพ้นการตรวจจับของเรดาร์ โดยผู้นำเสนอระบบความปลอดภัยต้องตระหนักสิ่งนี้ไว้เสมอในการพัฒนาโซลูชั่นด้านความปลอดภัย” อเล็กซีย์ ชูลมิน นักวิจัยด้านความปลอดภัยของแคสเปอร์สกี กล่าว

แคสเปอร์สกี นำเสนอมาตรการต่าง ๆ เพื่อช่วยลดความเสี่ยงของการตกเป็นเหยื่อปฏิบัติการอำพรางข้อมูล ดังนี้

  • จัดการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยให้แก่พนักงาน โดยอธิบายถึงวิธีการตรวจสอบและหลีกเลี่ยงแอปพลิเคชั่นการทำงานหรือไฟล์ข้อมูลที่มีโอกาสติดมัลแวร์ ยกตัวอย่างเช่น พนักงานไม่ควรดาวน์โหลดหรือเปิดใช้งานแอปพลิเคชั่นหรือโปรแกรมใด ๆ จากแหล่งที่ไม่น่าเชื่อถือหรือไม่รู้จัก
  • สำหรับการตรวจสอบการใช้งานระดับปลายสุด การตรวจสอบและการแก้ไขชุดเหตุการณ์ ให้ใช้โซลูชั่นอย่าง Kaspersky Endpoint Detection and Response
  • นอกจากการปกป้องการใช้งานระดับปลายสุดที่สำคัญ ควรใช้โซลูชั่นด้านความปลอดภัยมาตรฐานระดับองค์กร เพื่อให้สามารถตรวจพบการคุกคามขั้นสูงในระดับเครือข่ายได้ตั้งแต่เนิ่นๆ อาทิ Kaspersky Anti Targeted Attack Platform
  • มอบการเข้าถึงบริการข้อมูลข่าวกรองด้านการคุกคามใหม่ล่าสุด แก่ทีมงานศูนย์ปฏิบัติการเฝ้าระวังความปลอดภัยระบบเทคโนโลยีสารสนเทศ (Security Operation Center – SOC) ของคุณ เพื่อให้รับทราบถึงเครื่องมือ เทคนิค และกลวิธีใหม่ ๆ ของผู้คุกคามทางไซเบอร์ที่กำลังอุบัติขึ้น

ดูรายละเอียดทั้งหมดในรายงานได้ที่ Securelist.com  

 เกี่ยวกับ แคสเปอร์สกี แล็บ

แคสเปอร์สกี้ แล็บ บริษัทระดับโลกผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ซึ่งมีความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (Deep Threat Intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แล็บ ได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยสำหรับปกป้ององค์กรธุรกิจ โครงสร้างพื้นฐานที่สำคัญ องค์กรภาครัฐบาล และผู้บริโภคทั่วโลก ทั้งนี้กลุ่มผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครอบคลุมของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แล็บ ทำหน้าที่ปกป้องผู้ใช้งานมากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่งอีกมากกว่า 270,000 แห่งทั่วโลก ดูข้อมูลเพิ่มเติมได้ที่ www.kaspersky.com

กลุ่มแพลทินัมกลับมาแล้ว

ผู้เขียน: อังเดร ดอลกูเชฟ, วาซิลี เบิร์ดนิคอฟ, อิลยา โปเมรันต์เซฟ

ในเดือนมิถุนายน 2018 เราบังเอิญตรวจพบชุดตัวอย่างที่ผิดปกติกระจายอยู่ทั่วไปในประเทศแถบเอเชียใต้และเอเชียตะวันออกเฉียงใต้ ซึ่งพุ่งเป้าไปที่หน่วยงานทางการทูต รัฐบาล และการทหาร ปฏิบัติการซึ่งอาจเริ่มต้นมาตั้งแต่ปี ค.ศ. 2012 ใช้วิธีการหลายขั้นตอนและถูกขนานนามว่าปฏิบัติการ EasternRoppels โดยผู้ที่อยู่เบื้องหลังปฏิบัติการนี้ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มก่ออาชญากรรมทางคอมพิวเตอร์ แพลทินัม (PLATINUM) ได้ใช้เทคนิคการอำพรางข้อมูลอันซับซ้อนซึ่งยังไม่เป็นที่รู้จักกันก่อนหน้านี้ ในการปกปิดการสื่อสาร

ในขั้นแรก ผู้ปฏิบัติการจะใช้การสมัคร WMI เพื่อใช้ตัวดาวน์โหลด PowerShell (PowerShell downloader) เบื้องต้น แต่ในทางกลับกัน กลับใช้เพื่อดาวน์โหลดช่องโหว่ขนาดเล็กของ PowerShell แทน เราได้รวบรวมคำสั่ง WMI PowerShell เบื้องต้นจำนวนมากและสังเกตเห็นว่ามีที่อยู่ไอพี (IP Address) ที่ใช้ระบบบัญชาการและควบคุม (Command and Control – C&C) แบบ Hardcode ที่แตกต่างกัน, กุญแจการเข้ารหัส (Encryption key) ที่แตกต่างกัน, ใช้ค่า Salt ในการเข้ารหัส (ซึ่งแตกต่างกันในแต่ละตัวโหลดเบื้องต้น), และมีช่วงเวลาทำงานที่แตกต่างกันด้วย (ซึ่งหมายความว่ามัลแวร์จะทำงานเฉพาะช่วงเวลาที่กำหนดของทุกๆ วัน) โดยที่อยู่ระบบ C&C เหล่านี้มีตำแหน่งอยู่ในผู้ให้บริการโฮสต์แบบไม่เสียค่าใช้จ่าย และผู้โจมตีมีการใช้งานบัญชี Dropbox หลายบัญชีอย่างหนักมาก (เพื่อการเก็บข้อมูล Payload และข้อมูลอื่น ๆ ที่รั่วไหลออกมา) จุดประสงค์ของการใช้ช่องโหว่ PowerShell ก็คือการสร้างลายนิ้วมือเบื้องต้นของระบบเพื่อสนับสนุนชุดคำสั่งได้จำกัด นั่นคือเพียงแค่การดาวน์โหลดหรืออัพโหลดไฟล์และทำงานตามคำสั่ง PowerShell เท่านั้น

ในขณะเดียวกัน เราได้ตรวจพบการคุกคามอีกรูปแบบหนึ่งซึ่งเราเชื่อว่าเป็นขั้นที่ 2 ของชุดปฏิบัติการเดียวกัน  โดยเราตรวจพบช่องโหว่หนึ่งที่ถูกใช้งานในลักษณะของไฟล์ DLL (Dynamic Link Library) และทำงานเสมือนเป็น WinSock NSP (หรือ Nameservice Provider) เพื่อให้เกิดการรีบูตเครื่องได้ ช่องโหว่นี้จะมีการทำงานหลายอย่างที่เหมือนกับช่องโหว่ PowerShell ที่กล่าวมาข้างต้น นั่นคือ มีช่วงเวลาทำงานแบบ Hardcode, ใช้โดเมนและที่อยู่ระบบ C&C แบบไม่เสียค่าใช้จ่าย และอื่น ๆ ช่องโหว่นี้ยังมีการทำงานที่แตกต่างไปอีกเล็กน้อยในตัวมันเองซึ่งนับว่าน่าสนใจมาก ยกตัวอย่างเช่น มันสามารถซ่อนการสื่อสารทั้งหมดด้วยเซิร์ฟเวอร์ระบบ C&C โดยใช้วิทยาการอำพรางข้อมูลด้วยตัวอักษร

หลังจากวิเคราะห์ให้ลึกลงไปอีก เราก็พบว่าการคุกคาม 2 รูปแบบนี้มีความเกี่ยวข้องกัน เหนือสิ่งอื่นใด การโจมตีทั้งสองแบบนี้ใช้โดเมนเดียวกันในการเก็บข้อมูลที่รั่วไหลออกมา และเรายังค้นพบว่าเหยื่อบางรายถูกเจาะระบบโดยมัลแวร์ทั้งสองประเภทนี้ในเวลาเดียวกัน ดังนั้น จึงนับว่าควรค่าแก่การตรวจสอบในขั้นต่อไป โดยไฟล์ต่าง ๆ ที่ถูกใช้งานได้รับการปกป้องด้วยตัวเข้ารหัสให้ทำงานเฉพาะช่วงเวลา และหลังจากเปิดไฟล์ออก เราก็พบช่องโหว่อีกหนึ่งจุด ซึ่งก่อนหน้านี้ยังไม่มีใครทราบว่ามีความเกี่ยวข้องกับกลุ่มโจรกรรมทางไซเบอร์แพลทินัม (PLATINUM)

งานเขียนของเราทำได้เพียงอธิบายถึงช่องโหว่ซึ่งยังไม่มีใครทราบก่อนหน้านี้ สำหรับรายงานฉบับเต็มจะเปิดให้ลูกค้าของบริการรายงานข่าวกรองของแคสเปอร์สกี (Kaspersky Intelligence Reporting) เข้าถึงได้ (ติดต่อเพื่อรับบริการได้ที่ intelreports@kaspersky.com) 

ช่องโหว่เพื่อการอำพรางข้อมูล

ช่องโหว่ในระบบฐานสองจะถูกติดตั้งด้วยตัวเจาะข้อมูล (Dropper) ขั้นสูง ซึ่งเมื่อตัวเจาะถูกสั่งให้เริ่มทำงาน มันจะถอดรหัสไฟล์ต่าง ๆ ที่ถูกฝังอยู่ในส่วน “.arch” ของมัน

ขั้นต่อไป มันจะสร้างสารบบของช่องโหว่ เพื่อเข้าไปดำเนินงานและบันทึกไฟล์ที่เกี่ยวข้องกับมัลแวร์ในสารบบเหล่านี้ โดยมันเพียงใช้เส้นทางตามปกติเหมือนกับที่ซอฟต์แวร์ที่ถูกกฎหมายใช้นั่นเอง

โดยทั่วไป มัลแวร์จะทิ้งไฟล์ไว้ 2 รูปแบบ นั่นคือ ช่องโหว่โดยตัวของมันเองและไฟล์โครงแบบ (Configuration File)

หลังจากนี้ ตัวเจาะจะเปิดการทำงานของช่องโหว่ โดยติดตั้งมันเพื่อให้ระบกลไกทำงานต่อเนื่องและสามารถลบตัวเองออกไปได้ ไฟล์โครงแบบจะมีโปรแกรมเสริมนามสกุล .cfg หรือ .dat เสมอ และจะมีออปชั่นการทำงาน ซึ่งถูกเข้ารหัสด้วย AES-256 CBC และถูกเข้ารหัสไว้ดังนี้

  • pr – ย่อมาจาก “Poll Retries” สำหรับกำหนดช่วงเวลาเฉพาะเป็นนาที หลังจากที่มัลแวร์ส่งคำร้องไปยังเซิร์ฟเวอร์ระบบ C&C เพื่อขอชุดคำสั่งใหม่ในการปฏิบัติการ
  • ht – ไม่ถูกใช้งาน
  • sl – กำหนดวันและเวลาในการเริ่มการทำงานของมัลแวร์ เมื่อข้อมูลมาถึง มัลแวร์จะลบออปชั่นนี้ทิ้งไป
  • opt – ย่อมาจาก “Office Hours” ใช้กำหนดช่วงเวลาเป็นชั่วโมงและนาทีในระหว่างวันเมื่อมัลแวร์เริ่มทำงาน
  • die – ย่อมาจาก “Eradicate Days” ใช้กำหนดจำนวนวันที่มัลแวร์จะทำงานภายในเครื่องคอมพิวเตอร์ของเหยื่อ
  • Section “p” จะแสดงรายการที่อยู่ระบบ C&C ของมัลแวร์
  • Section “t” จะแสดงรายการ URL ที่ถูกกฎหมาย ซึ่งถูกใช้เพื่อให้มั่นใจว่าการเชื่อมต่ออินเตอร์เน็ตนั้นสามารถใช้งานได้

การแฝงตัวอยู่ในระบบ

ช่องโหว่หลักจะถูกใช้งานเสมือนเป็น Dynamic Link Library (DLL) และส่งออกการทำงานด้วยชื่อ “NSPStartup” หลังการเข้าสู่ระบบ ผู้ติดตั้งจะลงทะเบียนช่องโหว่นี้เสมือนเป็นผู้ให้บริการ winsock2 namespace provider ด้วยการช่วยเหลือจากการทำงานของ WSCInstallNameSpace API และทำงานโดยการเรียกใช้ WSCEnableNSProvider

ผลของการติดตั้งนี้ ในระหว่างการเรียกใช้ขั้นตอน “svchost -k netsvcs” ของการเปิดระบบ ผู้ให้บริการ namespace provider ที่ลงทะเบียนไว้จะถูกโหลดเข้าสู่ช่องที่อยู่ของขั้นตอน และจะมีการเรียกใช้การทำงาน “NSPStartup”

ปฏิสัมพันธ์กับระบบ C&C

เมื่อเริ่มขั้นตอนการทำงาน ช่องโหว่จะทำการเปรียบเทียบเวลาปัจจุบันกับค่า “วันลบออก”, วันกระตุ้นการทำงาน และ “ช่วงเวลาทำงาน” และกำหนด Proxy Credentials ที่ใช้งานได้ในส่วน “Credential Store”  และ “Protected Storage”

เมื่อปฏิบัติตามกฎทุกอย่างแล้ว ช่องโหว่จะเชื่อมต่อกับเซิร์ฟเวอร์มัลแวร์และดาวน์โหลดบนหน้า HTML

เมื่อมองอย่างผิวเผิน HTML จะบอกว่าเชิร์ฟเวอร์ระบบ C&C นั้นไม่ทำงาน ดังนี้

อย่างไรก็ดี สิ่งที่ปรากฏนี้เกิดจากวิทยาการอำพรางข้อมูล โดยเพจนี้มีชุดคำสั่งที่ฝังอยู่ซึ่งถูกเข้ารหัสด้วยกุญแจรหัสซึ่งก็ถูกฝังอยู่ในหน้าเพจนี้ด้วย ข้อมูลที่ถูกฝังอยู่นี้ถูกเข้ารหัสด้วยเทคนิคการอำพรางข้อมูล 2 รูปแบบและใส่ไว้ในแท็ก <–1234567890> (ดูรูปด้านล่าง)

ในบรรทัดที่ 31 ตัวแปร “align”, “bgcolor”, “colspan” และ “rowspan” ถูกแสดงตามลำดับอักษร แต่บนบรรทัดที่ 32 ตัวแปรเดียวกันกลับแสดงในลำดับที่แตกต่างกัน เทคนิคการอำพรางข้อมูลแบบแรกตั้งอยู่บนพื้นฐานของหลักการที่ว่า HTML จะไม่มีความแตกต่างในการจัดลำดับตัวแปรแท็ก เราจึงสามารถเข้ารหัสข้อความหนึ่งด้วยการเรียงลำดับตัวแปรต่าง ๆ ได้ โดยในบรรทัดที่ 31 ตามตัวอย่างด้านบนจะเห็นว่ามี 4 แท็ก นั่นคือจำนวนของการเรียงลำดับของแท็กทั้ง 4 คือ 4! = 24 ดังนั้น บรรทัดนี้จะมีการเข้ารหัสเป็น log2(24) = ข้อมูล 4 บิต ซึ่งช่องโหว่จะถอดรหัสของบรรทัดนี้และรวบรวมกุญแจรหัสของข้อมูลซึ่งถูกวางไว้ด้านขวาหลังแท็ก HTML ในขั้นตอนการเข้ารหัสตามปกติ แต่ใช้เทคนิคการอำพรางข้อมูลขั้นที่สอง

รูปภาพด้านบนแสดงให้เห็นว่าข้อมูลถูกเข้ารหัสเป็นกลุ่มของช่องว่างซึ่งถูกจำกัดจำนวนด้วยแท็บ แต่ละกลุ่มมีช่องว่างตั้งแต่ 0 – 7 จุดและจำนวนช่องว่างนั้นจะใช้แทนข้อมูล 3 บิตต่อไป ยกตัวอย่างเช่น กลุ่มแรกในบรรทัดที่ 944 มีช่องว่าง 6 จุด ซึ่งจะถูกถอดรหัสเป็น 610 = 1102

การถอดรหัสข้อมูลที่ถูกเข้ารหัสด้วยกุญแจ AES-256 CBC ซึ่งถูดถอดรหัสไว้ ก็คือรูปแบบหนึ่งของการดำเนินไปอย่างต่อเนื่องตามหลักตรรรกะ

ผลลัพธ์ที่ได้ก็คือ รายการชุดคำสั่งเพื่อการทำงาน ซึ่งถูกปกป้องไว้แบบเดียวกับไฟล์โครงแบบของช่องโหว่ ดังนี้

ข้อมูลคำสั่งดิบที่ได้จากหน้าเพจ HTML

การแปลคำสั่งดิบที่ได้จากหน้าเพจ HTML หลังการถอดรหัส

 คำสั่ง

ช่องโหว่ที่เราค้นพบนี้รองรับการอัพโหลด ดาวน์โหลด และใช้งานไฟล์ต่าง ๆ มันยังสามารถรับมือกับการร้องขอรายการขั้นตอนและรายการสารบบอีกด้วย ทั้งสามารถอัพเกรดและถอนการติดตั้งตัวมันเอง และปรับเปลี่ยนไฟล์โครงแบบของตัวเองได้เช่นกัน โดยแต่ละคำสั่งจะมีตัวแปรพารามิเตอร์เป็นของตัวเอง ยกตัวอย่างเช่น เซิร์ฟเวอร์ระบบ C&C ที่มันร้องขอการดาวน์โหลดหรืออัพโหลดไฟล์ต่าง ๆ หรือการแยกไฟล์ในขณะอัพโหลด เป็นต้น

ตัวจัดการโครงแบบ

เมื่อตรวจสอบต่อไป เราก็ค้นพบเครื่องมืออีกชิ้นหนึ่งที่ได้กลายมาเป็นตัวจัดการโครงแบบ (Configuration Manager) ซึ่งเป็นโปรแกรมที่สามารถทำงานเองได้ โดยมีจุดประสงค์เพื่อสร้างไฟล์โครงแบบและคำสั่งสำหรับช่องโหว่นั้น ซึ่งโปรแกรมอรรถประโยชน์นี้สามารถสร้างโครงแบบได้มากกว่า 150 ออปชั่น

ยกตัวอย่าง รูปภาพด้านล่างคือผลลัพธ์ของการใช้คำสั่ง showcfg

คำสั่งที่ 2 ซึ่งมันรองรับคือ updatecfg มีหน้าที่ใส่ค่าต่าง ๆ ซึ่งกำหนดไว้ในไฟล์โครงแบบโดยผู้ปฏิบัติการ

และเช่นกันที่ตัวจัดการโครงแบบจะรองรับการอัพโหลด ดาวน์โหลด การใช้งาน การค้นหา คำสั่ง UpdateConfig, AddKeyword, ChangeKeywordFile, ChangeKey, การอัพเกรด และถอนการติดตั้งเองได้ หลังการใช้งานคำสั่งใดๆ ก็ตาม มันจะสร้างไฟล์คำสั่งขึ้นมาหนึ่งไฟล์ซึ่งได้รับการปกป้องแบบเดียวกับไฟล์โครงแบบ เพื่อจัดเก็บไว้ในสารบบ “CommandDir” (ซึ่งเป็นช่องทางที่กำหนดไว้ในโครงแบบ ออปชั่น 11) ดังที่อธิบายไว้แล้วในหัวข้อ “ช่องโหว่ของการอำพรางข้อมูล” ช่องโหว่นี้จะไม่รับมือกับไฟล์คำสั่งและไม่รองรับคำสั่งอย่าง ChangeKeywordFile และ ChangeKey ดังนั้น เราจึงได้คำตอบว่าต้องมีช่องโหว่อีกหนึ่งแห่ง ซึ่งถูกสร้างขึ้นเป็นคู่ โดยมีตัวจัดการโครงแบบเหมือนที่เราได้พบแล้ว แม้จะปรากฏว่า โปรแกรมอรรถประโยชน์ดังกล่าวจะทำงานจากฝั่งผู้โจมตี เราก็ยังพบเหยื่อที่ถูกเจาะระบบด้วยโปรแกรมนี้และพบช่องโหว่ที่สัมพันธ์กันอยู่ในบริเวณใกล้เคียง โดยเราเรียกมันว่า ช่องโหว่ P2P (P2P Backdoor)

ช่องโหว่ P2P

ช่องโหว่นี้มีการทำงานหลายอย่างเหมือนกับช่องโหว่แบบที่กล่าวมาข้างต้น เห็นได้จากในคำสั่งหลายตัวล้วนมีชื่อเดียวกัน โดยไฟล์โครงแบบของช่องโหว่ทั้งสองรูปแบบมีออปชั่นต่าง ๆ ที่มีชื่อเฉพาะและถูกปกป้องในแบบเดียวกัน และช่องทางไปยังไฟล์ช่องโหว่ยังเป็นช่องทางที่ถูกกฎหมายอีกด้วย อย่างไรก็ดี ยังมีความแตกต่างที่สำคัญอยู่เช่นกัน โดยช่องโหว่แบบใหม่นี้จะทำงานกับออปชั่นจากโครงแบบได้มากกว่า รองรับคำสั่งได้มากกว่า สามารถสร้างปฏิสัมพันธ์กับเหยื่อที่ถูกเจาะข้อมูลรายอื่น ๆ และเชื่อมโยงกันเป็นเครือข่ายเดียวกันได้ (ดูรายละเอียดที่หัวข้อ “คำสั่ง”) และยังทำงานกับเซิร์ฟเวอร์ระบบ C&C ในแนวทางที่แตกต่างกัน นอกจากนี้ ช่องโหว่รูปแบบนี้ยังมีการบันทึกไฟล์ล็อก (logging) จำนวนมาก โดยเราพบไฟล์ log หนึ่งที่สร้างขึ้นตั้งแต่ปี ค.ศ. 2012 ในคอมพิวเตอร์ของเหยื่อรายหนึ่ง

การสร้างปฏิสัมพันธ์ระบบ C&C

ช่องโหว่นี้มีความสามารถในการสอดส่องการจราจรของเครือข่าย หลังจากช่องโหว่นี้ถูกเปิดทำงาน มันจะเริ่มสอดส่องอินเตอร์เฟซของแต่ละเครือข่าย เพื่อตรวจจับกลุ่มข้อมูลที่ถูกกำหนดโครงสร้างมาเป็นพิเศษ ซึ่งถูกส่งไปยัง ProbePort ของเหยื่อตามที่กำหนดไว้ในโครงแบบ เมื่อตัวสอดส่องพบกลุ่มข้อมูลลักษณะดังกล่าว มันจะแปลความหมายในรูปแบบของการร้องขอ เพื่อสร้างการเชื่อมโยงและตั้งค่า TransferPort (ซึ่งถูกกำหนดไว้ในโครงแบบ) ให้เป็นโหมดการฟัง ผู้ร้องขอจะเชื่อมต่อกับ TransferPort ของเหยื่อได้ทันทีและทั้งสองฝ่ายจะทำการทดสอบเพิ่มเติมและแลกเปลี่ยนกุญแจรหัสระหว่างกัน หลังจากนั้น ผู้ร้องขอการเชื่อมต่อจะส่งคำสั่งต่าง ๆ ไปยังเหยื่อ และเหยื่อจะดำเนินการตามคำสั่งเหล่านั้นอย่างมีปฏิสัมพันธ์กัน วิธีการนี้ทำให้ช่องโหว่ยังคงสภาพในโหมดการฟังได้โดยไม่ต้องมีซ็อกเก็ตในโหมดการฟังเลย โดยมันเพียงแค่สร้างซ็อกเก็ตการฟังเมื่อมันรู้ว่ามีบางคนกำลังพยายามเชื่อมต่ออยู่เท่านั้น

คำสั่ง

ช่องโหว่นี้รองรับคำสั่งเหมือนกับช่องโหว่เพื่อการอำพรางข้อมูลและยังใช้งานคำสั่งเพิ่มเติมด้วย ช่องโหว่นี้ใช้ประโยชน์จากบริการดัชนีของวินโดวส์และสามารถค้นหาไฟล์ที่มีคีย์เวิร์ดตามที่กำหนดโดยผู้โจมตีได้ การค้นหานี้จะเริ่มต้นด้วยการร้องขอจากผู้โจมตีหรือตามตารางเวลา โดยคีย์เวิร์ดของการค้นหาตามตารางนี้จะถูกจัดเก็บไว้ในไฟล์ขั้นสูง

คำสั่งทุกอย่างจะถูกจัดส่งไปยังช่องโหว่ผ่านไฟล์คำสั่ง โดยไฟล์คำสั่งจะถูกปกป้องในแบบเดียวกับโครงแบบ (ตามที่แสดงในรูปภาพด้านล่าง)

รูปภาพนี้ประกอบด้วยคำสั่งแสดงอัตลักษณ์ (id), คำสั่งวันที่ (dt), คำสั่งชื่อ (t) และการพิสูจน์ (cmd)

ผู้สร้างมัลแวร์ตัวนี้ยังติดตั้งความสามารถในการรวบรวมเหยื่อที่ถูกเจาะระบบให้เข้าไปอยู่ในเครือข่าย P2P อีกด้วย ซึ่งจะสนับสนุนปฏิบัติการของผู้โจมตี ยกตัวอย่างเช่น เมื่อเหยื่อสองรายใช้งานเครือข่ายภายในเดียวกัน แต่มีเพียงรายเดียวที่เชื่อมต่ออินเตอร์เน็ตได้ ในกรณีนี้ ผู้โจมตีสามารถส่งคำสั่งไปยังเหยื่อที่ไม่ได้เชื่อมต่อผ่านทางเหยื่อที่เชื่อมต่ออินเตอร์เน็ตได้ ซึ่งการใช้คำสั่งกับเหยื่อที่เชื่อมต่อซึ่งเป็นเป้าหมายของคำสั่งนั้น จะถูกกำหนดไว้โดยตรงในไฟล์คำสั่งนั่นเอง เมื่อผู้โจมตีเตรียมไฟล์แล้ว ก็จะใส่รายชื่อโฮสต์ที่ถูกเจาะข้อมูลซึ่งเชื่อมโยงกับการถ่ายโอนไฟล์ไปยังเป้าหมายในออปชั่น h1, h2, h3 และอื่น ๆ ลำดับการถ่ายโอนไฟล์คำสั่งผ่านเหยื่อรายต่างๆ ไปยังโฮสต์เป้าหมายจะถูกใส่รวมไว้ในออปชั่น p1, p2 และอื่น ๆ ยกตัวอย่างเช่น หากออปชั่น p1 เท่ากับ ‘2->3->1’ และ ออปชั่น p2 เท่ากับ ‘2->3->4’ ไฟล์คำสั่งจะถูกส่งไปยังโฮสต์ที่มีเลขดัชนี 1 และ 4 ผ่านโฮสต์ 2 และ 3 ตามลำดับ โดยแต่ละโฮสต์จะถูกเขียนไว้ดังนี้ %Host IP%:%Host ProbePort%:%Host TransferPort%

 

บทสรุป

เราได้ค้นพบการโจมตีรูปแบบใหม่โดยกลุ่มโจรกรรมนี้และสังเกตเห็นว่า ผู้ปฏิบัติการยังคงทำงานเพื่อปรับปรุงโปรแกรมอรรถประโยชน์สำหรับการคุกคามและใช้เทคนิคใหม่ ๆ ในการก่ออาชญากรรมทางคอมพิวเตอร์ที่มิดชิดแนบเนียนยิ่งขึ้น โดยเมื่อ 2 ปีที่ผ่านมา เราคาดการณ์ว่ามีการก่ออาชญากรรมคอมพิวเตอร์และผู้พัฒนามัลแวร์จำนวนเพิ่มมากขึ้นที่ใช้วิทยาการอำพรางข้อมูล และนี่คือข้อพิสูจน์ว่า ผู้ปฏิบัติการได้ใช้เทคนิคการอำพรางข้อมูลที่น่าสนใจทั้ง 2 รูปแบบนี้ในการก่ออาชญากรรมคอมพิวเตอร์จริง หากรายละเอียดเรื่องหนึ่งที่น่าสนใจมากก็คือ ผู้ปฏิบัติการพยายามใช้โปรแกรมอรรถประโยชน์ที่จำเป็นในรูปแบบชุดโปรแกรมขนาดใหญ่ ซึ่งเตือนให้เรารู้ว่าสถาปัตยกรรมที่ตั้งอยู่บนพื้นฐานของกรอบงานกำลังได้รับความนิยมสูงขึ้นเรื่อย ๆ ในวงการนี้ ท้ายสุด เมื่อพิจารณาจากตัวเข้ารหัสที่ผู้ปฏิบัติการใช้ ทำให้เราทราบได้ว่าการโจมตีนี้เชื่อมโยงกับกลุ่มแพลทินัม ซึ่งหมายความว่ากลุ่มโจรกรรมนี้ยังคงดำเนินการอยู่

สัญญาณบ่งชี้ว่าระบบถูกเจาะ (IoCs)

รายชื่อนี้แสดงเฉพาะสัญญาณบ่งชี้ว่าระบบถูกเจาะซึ่งเกี่ยวข้องกับรูปแบบการโจมตีที่อธิบายไว้ข้างต้น โดยสัญญาณบ่งชี้ว่าระบบถูกเจาะทั้งหมดมีให้ลูกค้าบริการรายงานข่าวกรองของแคสเปอร์สกี (Kaspersky Intelligence Reporting) สามารถเข้าถึงได้ (ติดต่อเพื่อรับบริการได้ที่ intelreports@kaspersky.com)

ตัวติดตั้งช่องโหว่เพื่อการอำพรางข้อมูล:

26a83effbe14b63683f0c3e0a3f657a9

4b4c3b57416c03ca7f57ff7241797456

58b10ac25df04a318a19260110d43894

Obsolete steganography backdoor launcher:

d95d939337d789046bbda2083f88a4a0

b22499568d51759cf13bf8c05322dba2

Steganography backdoor:

5591704fd870919930e8ae1bd0447706

9179a84643bd6d1c1b8e6fe0d2330dab

c7fda2be17735eeaeb6c56d30fc86215

d1936dc97566625b2bfcab3103c048cb

d1a5801abb9f0dc0a44f19b2208e2b9a

P2P backdoor:

0668df90c701cd75db2aa43a0481718d

e764a1ff12e68badb6d54f16886a128f

Config manager:

8dfabe7db613bcfc6d9afef4941cd769

37c76973a55134925c733f4f50108555

No tags for this post.

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

CIA sextortion scam

สแกมเมอร์ปลอมเป็นเจ้าหน้าที่ซีไอเอ หลอกไถ่เงิน 10,000 เหรียญสหรัฐ จากเหยื่อที่อ้างว่าเกี่ยวกับคดีอนาจาร

สแกมเมอร์ปลอมเป …

%d bloggers like this: