Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

กลุ่มจารกรรมข้อมูลแพลทินัมกลับมาอาละวาดอีกครั้ง โดยใช้วิทยาการอำพรางข้อมูลหลบหลีกการตรวจจับของระบบความปลอดภัย

5 มิถุนายน 2562

นักวิจัยของแคสเปอร์สกี ได้เปิดเผยถึงปฏิบัติการจารกรรมทางไซเบอร์ที่มีความซับซ้อนสูงซึ่งมีเป้าหมายในการโจรกรรมข้อมูลของหน่วยงานทางการทูต รัฐบาล และการทหารในเอเชียตะวันออกเฉียงใต้ ปฏิบัติการนี้ดำเนินมาอย่างต่อเนื่องเกือบ 6 ปีและได้เชื่อมโยงเข้ากับการโจมตีซึ่งตรวจพบในภูมิภาคเมื่อเร็ว ๆ นี้ การตรวจสอบเพิ่มเติมกับเครื่องมือและขั้นตอนที่ใช้ในปฏิบัติการทำให้ทีมนักวิจัยพบข้อสรุปว่า ผู้โจมตีเบื้องหลังปฏิบัติการนี้คือกลุ่มแพลทินัม (PLATINUM) กลุ่มโจรกรรมทางไซเบอร์ที่นักวิจัยต่างคิดว่าสาบสูญไปนานแล้ว โดยในปฏิบัติการซึ่งไม่มีใครสังเกตเห็นมาเป็นเวลานานนี้ ทางกลุ่มได้ใช้วิธีการเข้ารหัสข้อมูลด้วยเทคนิคที่เรียกว่า วิทยาการอำพรางข้อมูล (Steganography) ซึ่งจะช่วยปกปิดการปรากฏของข้อมูลใด ๆ ในขั้นตอนการปฏิบัติการ

นักวิจัยด้านความปลอดภัยได้เคยให้คำเตือนถึงอันตรายของวิทยาการอำพรางข้อมูลไว้บ้างแล้ว โดยวิทยาการอำพรางข้อมูลคือการทำงานที่มีการถ่ายโอนข้อมูลด้วยการจัดรูปแบบข้อมูล (Format) ที่ถูกซ่อนไว้ ซึ่งจะช่วยปกปิดข้อเท็จจริงที่ว่ามีข้อมูลกำลังถูกส่งออกอยู่ในขณะนี้ ด้วยวิธีการทำงานเช่นนี้ วิทยาการอำพรางข้อมูลจึงแตกต่างจากการเข้ารหัสสัญญาณข้อมูล (Cryptography) ซึ่งเป็นเพียงการปกปิดข้อมูลเท่านั้น เมื่อใช้วิทยาการอำพรางข้อมูล ผู้จารกรรมข้อมูลจะสามารถแฝงตัวอยู่ในระบบที่ถูกเจาะได้เป็นเวลานานโดยไม่สร้างความน่าสงสัยใด ๆ ซึ่งวิธีนี้เป็นวิธีที่กลุ่มแพลทินัมใช้เพื่อคุกคามหน่วยงานรัฐบาลและองค์กรที่เกี่ยวข้องในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ ซึ่งเป็นกลุ่มที่ถูกตรวจพบกิจกรรมคุกคามครั้งล่าสุดในปี ค.ศ. 2017

กรณีปฏิบัติการของกลุ่มแพลทินัมที่ได้รับการเปิดเผยเมื่อเร็ว ๆ นี้ก็คือ การตรวจพบคำสั่งของมัลแวร์ถูกฝังอยู่ในรหัส HTML ของเว็บไซต์ โดยปกติปุ่มแท็บ (Tab) และปุ่มเสปซบาร์ (Space bar) บนคีย์บอร์ดจะไม่เปลี่ยนแปลงเมื่อรหัส HTML ถูกใช้บนเว็บเพจ ดังนั้น ผู้คุกคามจึงเข้ารหัสคำสั่งด้วยลำดับการใช้งานของสองปุ่มนี้ ผลลัพธ์ก็คือ การตรวจสอบชุดคำสั่งโจมตีในเครือข่ายแทบจะเป็นเรื่องที่เป็นไปไม่ได้เลย เนื่องจากมัลแวร์จะปรากฏเพียงในระดับการเข้าถึงเว็บไซต์ที่ต้องสงสัยเท่านั้น ซึ่งแทบจะไม่สามารถสังเกตเห็นได้เลยในเครือข่ายสัญญาณโดยรวม

โดยในการตรวจหามัลแวร์นี้ ทีมนักวิจัยต้องตรวจสอบโปรแกรมต่าง ๆ ที่มีความสามารถในการอัพโหลดไฟล์ข้อมูลเข้าสู่อุปกรณ์ได้ ซึ่งในจำนวนนั้น ผู้เชี่ยวชาญสังเกตพบว่ามีหนึ่งโปรแกรมที่ทำงานผิดปกติ ยกตัวอย่างเช่น โปรแกรมนี้จะเข้าสู่ Dropbox ซึ่งเป็นบริการคลาวด์สาธารณะเพื่อทำการบริหารจัดการข้อมูลและถูกตั้งค่าให้ทำงานในบางช่วงเวลาเท่านั้น หลังจากนั้น ทีมนักวิจัยจึงตระหนักได้ว่า มันทำเช่นนี้เพื่อปกปิดกิจกรรมของมัลแวร์ท่ามกลางขั้นตอนการทำงานต่าง ๆ ในช่วงเวลาทำงานปกติ ซึ่งในช่วงเวลาทำงานปกตินั้น พฤติกรรมการทำงานของมันจะไม่ก่อให้เกิดความน่าสงสัยใดๆ เลย ซึ่งในความเป็นจริงนั้น ผู้ที่ใช้งานดาวน์โหลดกำลังทำให้ข้อมูลรั่วไหล ทั้งยังอัพโหลดข้อมูลและไฟล์ไปมากับอุปกรณ์ที่ติดมัลแวร์อยู่โดยไม่รู้ตัว

“นับตั้งแต่รับรู้ถึงการดำรงอยู่ของกลุ่มแพลทินัม ปฏิบัติการของกลุ่มล้วนมีความซับซ้อนและคิดค้นรูปแบบมาเป็นอย่างดี ซึ่งมัลแวร์ที่ใช้ในการโจมตีนี้ก็ไม่ใช่ข้อยกเว้น นอกเหนือจากวิทยาการอำพรางข้อมูล มันยังมีฟีเจอร์การทำงานอื่น ๆ ที่ช่วยให้มันสามารถโลดแล่นและทำงานรอดพ้นการตรวจจับได้เป็นเวลานาน ยกตัวอย่างเช่น มันสามารถ่ายโอนคำสั่ง มิใช่เพียงจากศูนย์บัญชาการเท่านั้น แต่จากเครื่องที่ติดมัลแวร์เครื่องหนึ่งไปสู่อีกเครื่องหนึ่งได้ ด้วยวิธีการนี้ มันจึงสามารถเข้าถึงอุปกรณ์ต่าง ๆ ที่เป็นส่วนหนึ่งในโครงสร้างพื้นฐานของอุปกรณ์ที่ติดมัลแวร์ซึ่งไม่ได้เชื่อมต่อกับอินเตอร์เน็ตได้ เมื่อพิจารณาทั้งหมดนี้แล้ว การค้นพบผู้คุกคามอย่างแพลทินัมที่ใช้วิทยาการอำพรางข้อมูล ถือเป็นสัญญาณเตือนว่า การคุกคามด้วยวิทยาการขั้นสูงที่แฝงตัวอยู่ได้นานกำลังเพิ่มระดับความซับซ้อนของกระบวนการทำงานเพื่อให้รอดพ้นการตรวจจับของเรดาร์ โดยผู้นำเสนอระบบความปลอดภัยต้องตระหนักสิ่งนี้ไว้เสมอในการพัฒนาโซลูชั่นด้านความปลอดภัย” อเล็กซีย์ ชูลมิน นักวิจัยด้านความปลอดภัยของแคสเปอร์สกี กล่าว

แคสเปอร์สกี นำเสนอมาตรการต่าง ๆ เพื่อช่วยลดความเสี่ยงของการตกเป็นเหยื่อปฏิบัติการอำพรางข้อมูล ดังนี้

  • จัดการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยให้แก่พนักงาน โดยอธิบายถึงวิธีการตรวจสอบและหลีกเลี่ยงแอปพลิเคชั่นการทำงานหรือไฟล์ข้อมูลที่มีโอกาสติดมัลแวร์ ยกตัวอย่างเช่น พนักงานไม่ควรดาวน์โหลดหรือเปิดใช้งานแอปพลิเคชั่นหรือโปรแกรมใด ๆ จากแหล่งที่ไม่น่าเชื่อถือหรือไม่รู้จัก
  • สำหรับการตรวจสอบการใช้งานระดับปลายสุด การตรวจสอบและการแก้ไขชุดเหตุการณ์ ให้ใช้โซลูชั่นอย่าง Kaspersky Endpoint Detection and Response
  • นอกจากการปกป้องการใช้งานระดับปลายสุดที่สำคัญ ควรใช้โซลูชั่นด้านความปลอดภัยมาตรฐานระดับองค์กร เพื่อให้สามารถตรวจพบการคุกคามขั้นสูงในระดับเครือข่ายได้ตั้งแต่เนิ่นๆ อาทิ Kaspersky Anti Targeted Attack Platform
  • มอบการเข้าถึงบริการข้อมูลข่าวกรองด้านการคุกคามใหม่ล่าสุด แก่ทีมงานศูนย์ปฏิบัติการเฝ้าระวังความปลอดภัยระบบเทคโนโลยีสารสนเทศ (Security Operation Center – SOC) ของคุณ เพื่อให้รับทราบถึงเครื่องมือ เทคนิค และกลวิธีใหม่ ๆ ของผู้คุกคามทางไซเบอร์ที่กำลังอุบัติขึ้น

ดูรายละเอียดทั้งหมดในรายงานได้ที่ Securelist.com  

 เกี่ยวกับ แคสเปอร์สกี แล็บ

แคสเปอร์สกี้ แล็บ บริษัทระดับโลกผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ซึ่งมีความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (Deep Threat Intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แล็บ ได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยสำหรับปกป้ององค์กรธุรกิจ โครงสร้างพื้นฐานที่สำคัญ องค์กรภาครัฐบาล และผู้บริโภคทั่วโลก ทั้งนี้กลุ่มผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครอบคลุมของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แล็บ ทำหน้าที่ปกป้องผู้ใช้งานมากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่งอีกมากกว่า 270,000 แห่งทั่วโลก ดูข้อมูลเพิ่มเติมได้ที่ www.kaspersky.com

กลุ่มแพลทินัมกลับมาแล้ว

ผู้เขียน: อังเดร ดอลกูเชฟ, วาซิลี เบิร์ดนิคอฟ, อิลยา โปเมรันต์เซฟ

ในเดือนมิถุนายน 2018 เราบังเอิญตรวจพบชุดตัวอย่างที่ผิดปกติกระจายอยู่ทั่วไปในประเทศแถบเอเชียใต้และเอเชียตะวันออกเฉียงใต้ ซึ่งพุ่งเป้าไปที่หน่วยงานทางการทูต รัฐบาล และการทหาร ปฏิบัติการซึ่งอาจเริ่มต้นมาตั้งแต่ปี ค.ศ. 2012 ใช้วิธีการหลายขั้นตอนและถูกขนานนามว่าปฏิบัติการ EasternRoppels โดยผู้ที่อยู่เบื้องหลังปฏิบัติการนี้ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มก่ออาชญากรรมทางคอมพิวเตอร์ แพลทินัม (PLATINUM) ได้ใช้เทคนิคการอำพรางข้อมูลอันซับซ้อนซึ่งยังไม่เป็นที่รู้จักกันก่อนหน้านี้ ในการปกปิดการสื่อสาร

ในขั้นแรก ผู้ปฏิบัติการจะใช้การสมัคร WMI เพื่อใช้ตัวดาวน์โหลด PowerShell (PowerShell downloader) เบื้องต้น แต่ในทางกลับกัน กลับใช้เพื่อดาวน์โหลดช่องโหว่ขนาดเล็กของ PowerShell แทน เราได้รวบรวมคำสั่ง WMI PowerShell เบื้องต้นจำนวนมากและสังเกตเห็นว่ามีที่อยู่ไอพี (IP Address) ที่ใช้ระบบบัญชาการและควบคุม (Command and Control – C&C) แบบ Hardcode ที่แตกต่างกัน, กุญแจการเข้ารหัส (Encryption key) ที่แตกต่างกัน, ใช้ค่า Salt ในการเข้ารหัส (ซึ่งแตกต่างกันในแต่ละตัวโหลดเบื้องต้น), และมีช่วงเวลาทำงานที่แตกต่างกันด้วย (ซึ่งหมายความว่ามัลแวร์จะทำงานเฉพาะช่วงเวลาที่กำหนดของทุกๆ วัน) โดยที่อยู่ระบบ C&C เหล่านี้มีตำแหน่งอยู่ในผู้ให้บริการโฮสต์แบบไม่เสียค่าใช้จ่าย และผู้โจมตีมีการใช้งานบัญชี Dropbox หลายบัญชีอย่างหนักมาก (เพื่อการเก็บข้อมูล Payload และข้อมูลอื่น ๆ ที่รั่วไหลออกมา) จุดประสงค์ของการใช้ช่องโหว่ PowerShell ก็คือการสร้างลายนิ้วมือเบื้องต้นของระบบเพื่อสนับสนุนชุดคำสั่งได้จำกัด นั่นคือเพียงแค่การดาวน์โหลดหรืออัพโหลดไฟล์และทำงานตามคำสั่ง PowerShell เท่านั้น

ในขณะเดียวกัน เราได้ตรวจพบการคุกคามอีกรูปแบบหนึ่งซึ่งเราเชื่อว่าเป็นขั้นที่ 2 ของชุดปฏิบัติการเดียวกัน  โดยเราตรวจพบช่องโหว่หนึ่งที่ถูกใช้งานในลักษณะของไฟล์ DLL (Dynamic Link Library) และทำงานเสมือนเป็น WinSock NSP (หรือ Nameservice Provider) เพื่อให้เกิดการรีบูตเครื่องได้ ช่องโหว่นี้จะมีการทำงานหลายอย่างที่เหมือนกับช่องโหว่ PowerShell ที่กล่าวมาข้างต้น นั่นคือ มีช่วงเวลาทำงานแบบ Hardcode, ใช้โดเมนและที่อยู่ระบบ C&C แบบไม่เสียค่าใช้จ่าย และอื่น ๆ ช่องโหว่นี้ยังมีการทำงานที่แตกต่างไปอีกเล็กน้อยในตัวมันเองซึ่งนับว่าน่าสนใจมาก ยกตัวอย่างเช่น มันสามารถซ่อนการสื่อสารทั้งหมดด้วยเซิร์ฟเวอร์ระบบ C&C โดยใช้วิทยาการอำพรางข้อมูลด้วยตัวอักษร

หลังจากวิเคราะห์ให้ลึกลงไปอีก เราก็พบว่าการคุกคาม 2 รูปแบบนี้มีความเกี่ยวข้องกัน เหนือสิ่งอื่นใด การโจมตีทั้งสองแบบนี้ใช้โดเมนเดียวกันในการเก็บข้อมูลที่รั่วไหลออกมา และเรายังค้นพบว่าเหยื่อบางรายถูกเจาะระบบโดยมัลแวร์ทั้งสองประเภทนี้ในเวลาเดียวกัน ดังนั้น จึงนับว่าควรค่าแก่การตรวจสอบในขั้นต่อไป โดยไฟล์ต่าง ๆ ที่ถูกใช้งานได้รับการปกป้องด้วยตัวเข้ารหัสให้ทำงานเฉพาะช่วงเวลา และหลังจากเปิดไฟล์ออก เราก็พบช่องโหว่อีกหนึ่งจุด ซึ่งก่อนหน้านี้ยังไม่มีใครทราบว่ามีความเกี่ยวข้องกับกลุ่มโจรกรรมทางไซเบอร์แพลทินัม (PLATINUM)

งานเขียนของเราทำได้เพียงอธิบายถึงช่องโหว่ซึ่งยังไม่มีใครทราบก่อนหน้านี้ สำหรับรายงานฉบับเต็มจะเปิดให้ลูกค้าของบริการรายงานข่าวกรองของแคสเปอร์สกี (Kaspersky Intelligence Reporting) เข้าถึงได้ (ติดต่อเพื่อรับบริการได้ที่ intelreports@kaspersky.com) 

ช่องโหว่เพื่อการอำพรางข้อมูล

ช่องโหว่ในระบบฐานสองจะถูกติดตั้งด้วยตัวเจาะข้อมูล (Dropper) ขั้นสูง ซึ่งเมื่อตัวเจาะถูกสั่งให้เริ่มทำงาน มันจะถอดรหัสไฟล์ต่าง ๆ ที่ถูกฝังอยู่ในส่วน “.arch” ของมัน

ขั้นต่อไป มันจะสร้างสารบบของช่องโหว่ เพื่อเข้าไปดำเนินงานและบันทึกไฟล์ที่เกี่ยวข้องกับมัลแวร์ในสารบบเหล่านี้ โดยมันเพียงใช้เส้นทางตามปกติเหมือนกับที่ซอฟต์แวร์ที่ถูกกฎหมายใช้นั่นเอง

โดยทั่วไป มัลแวร์จะทิ้งไฟล์ไว้ 2 รูปแบบ นั่นคือ ช่องโหว่โดยตัวของมันเองและไฟล์โครงแบบ (Configuration File)

หลังจากนี้ ตัวเจาะจะเปิดการทำงานของช่องโหว่ โดยติดตั้งมันเพื่อให้ระบกลไกทำงานต่อเนื่องและสามารถลบตัวเองออกไปได้ ไฟล์โครงแบบจะมีโปรแกรมเสริมนามสกุล .cfg หรือ .dat เสมอ และจะมีออปชั่นการทำงาน ซึ่งถูกเข้ารหัสด้วย AES-256 CBC และถูกเข้ารหัสไว้ดังนี้

  • pr – ย่อมาจาก “Poll Retries” สำหรับกำหนดช่วงเวลาเฉพาะเป็นนาที หลังจากที่มัลแวร์ส่งคำร้องไปยังเซิร์ฟเวอร์ระบบ C&C เพื่อขอชุดคำสั่งใหม่ในการปฏิบัติการ
  • ht – ไม่ถูกใช้งาน
  • sl – กำหนดวันและเวลาในการเริ่มการทำงานของมัลแวร์ เมื่อข้อมูลมาถึง มัลแวร์จะลบออปชั่นนี้ทิ้งไป
  • opt – ย่อมาจาก “Office Hours” ใช้กำหนดช่วงเวลาเป็นชั่วโมงและนาทีในระหว่างวันเมื่อมัลแวร์เริ่มทำงาน
  • die – ย่อมาจาก “Eradicate Days” ใช้กำหนดจำนวนวันที่มัลแวร์จะทำงานภายในเครื่องคอมพิวเตอร์ของเหยื่อ
  • Section “p” จะแสดงรายการที่อยู่ระบบ C&C ของมัลแวร์
  • Section “t” จะแสดงรายการ URL ที่ถูกกฎหมาย ซึ่งถูกใช้เพื่อให้มั่นใจว่าการเชื่อมต่ออินเตอร์เน็ตนั้นสามารถใช้งานได้

การแฝงตัวอยู่ในระบบ

ช่องโหว่หลักจะถูกใช้งานเสมือนเป็น Dynamic Link Library (DLL) และส่งออกการทำงานด้วยชื่อ “NSPStartup” หลังการเข้าสู่ระบบ ผู้ติดตั้งจะลงทะเบียนช่องโหว่นี้เสมือนเป็นผู้ให้บริการ winsock2 namespace provider ด้วยการช่วยเหลือจากการทำงานของ WSCInstallNameSpace API และทำงานโดยการเรียกใช้ WSCEnableNSProvider

ผลของการติดตั้งนี้ ในระหว่างการเรียกใช้ขั้นตอน “svchost -k netsvcs” ของการเปิดระบบ ผู้ให้บริการ namespace provider ที่ลงทะเบียนไว้จะถูกโหลดเข้าสู่ช่องที่อยู่ของขั้นตอน และจะมีการเรียกใช้การทำงาน “NSPStartup”

ปฏิสัมพันธ์กับระบบ C&C

เมื่อเริ่มขั้นตอนการทำงาน ช่องโหว่จะทำการเปรียบเทียบเวลาปัจจุบันกับค่า “วันลบออก”, วันกระตุ้นการทำงาน และ “ช่วงเวลาทำงาน” และกำหนด Proxy Credentials ที่ใช้งานได้ในส่วน “Credential Store”  และ “Protected Storage”

เมื่อปฏิบัติตามกฎทุกอย่างแล้ว ช่องโหว่จะเชื่อมต่อกับเซิร์ฟเวอร์มัลแวร์และดาวน์โหลดบนหน้า HTML

เมื่อมองอย่างผิวเผิน HTML จะบอกว่าเชิร์ฟเวอร์ระบบ C&C นั้นไม่ทำงาน ดังนี้

อย่างไรก็ดี สิ่งที่ปรากฏนี้เกิดจากวิทยาการอำพรางข้อมูล โดยเพจนี้มีชุดคำสั่งที่ฝังอยู่ซึ่งถูกเข้ารหัสด้วยกุญแจรหัสซึ่งก็ถูกฝังอยู่ในหน้าเพจนี้ด้วย ข้อมูลที่ถูกฝังอยู่นี้ถูกเข้ารหัสด้วยเทคนิคการอำพรางข้อมูล 2 รูปแบบและใส่ไว้ในแท็ก <–1234567890> (ดูรูปด้านล่าง)

ในบรรทัดที่ 31 ตัวแปร “align”, “bgcolor”, “colspan” และ “rowspan” ถูกแสดงตามลำดับอักษร แต่บนบรรทัดที่ 32 ตัวแปรเดียวกันกลับแสดงในลำดับที่แตกต่างกัน เทคนิคการอำพรางข้อมูลแบบแรกตั้งอยู่บนพื้นฐานของหลักการที่ว่า HTML จะไม่มีความแตกต่างในการจัดลำดับตัวแปรแท็ก เราจึงสามารถเข้ารหัสข้อความหนึ่งด้วยการเรียงลำดับตัวแปรต่าง ๆ ได้ โดยในบรรทัดที่ 31 ตามตัวอย่างด้านบนจะเห็นว่ามี 4 แท็ก นั่นคือจำนวนของการเรียงลำดับของแท็กทั้ง 4 คือ 4! = 24 ดังนั้น บรรทัดนี้จะมีการเข้ารหัสเป็น log2(24) = ข้อมูล 4 บิต ซึ่งช่องโหว่จะถอดรหัสของบรรทัดนี้และรวบรวมกุญแจรหัสของข้อมูลซึ่งถูกวางไว้ด้านขวาหลังแท็ก HTML ในขั้นตอนการเข้ารหัสตามปกติ แต่ใช้เทคนิคการอำพรางข้อมูลขั้นที่สอง

รูปภาพด้านบนแสดงให้เห็นว่าข้อมูลถูกเข้ารหัสเป็นกลุ่มของช่องว่างซึ่งถูกจำกัดจำนวนด้วยแท็บ แต่ละกลุ่มมีช่องว่างตั้งแต่ 0 – 7 จุดและจำนวนช่องว่างนั้นจะใช้แทนข้อมูล 3 บิตต่อไป ยกตัวอย่างเช่น กลุ่มแรกในบรรทัดที่ 944 มีช่องว่าง 6 จุด ซึ่งจะถูกถอดรหัสเป็น 610 = 1102

การถอดรหัสข้อมูลที่ถูกเข้ารหัสด้วยกุญแจ AES-256 CBC ซึ่งถูดถอดรหัสไว้ ก็คือรูปแบบหนึ่งของการดำเนินไปอย่างต่อเนื่องตามหลักตรรรกะ

ผลลัพธ์ที่ได้ก็คือ รายการชุดคำสั่งเพื่อการทำงาน ซึ่งถูกปกป้องไว้แบบเดียวกับไฟล์โครงแบบของช่องโหว่ ดังนี้

ข้อมูลคำสั่งดิบที่ได้จากหน้าเพจ HTML

การแปลคำสั่งดิบที่ได้จากหน้าเพจ HTML หลังการถอดรหัส

 คำสั่ง

ช่องโหว่ที่เราค้นพบนี้รองรับการอัพโหลด ดาวน์โหลด และใช้งานไฟล์ต่าง ๆ มันยังสามารถรับมือกับการร้องขอรายการขั้นตอนและรายการสารบบอีกด้วย ทั้งสามารถอัพเกรดและถอนการติดตั้งตัวมันเอง และปรับเปลี่ยนไฟล์โครงแบบของตัวเองได้เช่นกัน โดยแต่ละคำสั่งจะมีตัวแปรพารามิเตอร์เป็นของตัวเอง ยกตัวอย่างเช่น เซิร์ฟเวอร์ระบบ C&C ที่มันร้องขอการดาวน์โหลดหรืออัพโหลดไฟล์ต่าง ๆ หรือการแยกไฟล์ในขณะอัพโหลด เป็นต้น

ตัวจัดการโครงแบบ

เมื่อตรวจสอบต่อไป เราก็ค้นพบเครื่องมืออีกชิ้นหนึ่งที่ได้กลายมาเป็นตัวจัดการโครงแบบ (Configuration Manager) ซึ่งเป็นโปรแกรมที่สามารถทำงานเองได้ โดยมีจุดประสงค์เพื่อสร้างไฟล์โครงแบบและคำสั่งสำหรับช่องโหว่นั้น ซึ่งโปรแกรมอรรถประโยชน์นี้สามารถสร้างโครงแบบได้มากกว่า 150 ออปชั่น

ยกตัวอย่าง รูปภาพด้านล่างคือผลลัพธ์ของการใช้คำสั่ง showcfg

คำสั่งที่ 2 ซึ่งมันรองรับคือ updatecfg มีหน้าที่ใส่ค่าต่าง ๆ ซึ่งกำหนดไว้ในไฟล์โครงแบบโดยผู้ปฏิบัติการ

และเช่นกันที่ตัวจัดการโครงแบบจะรองรับการอัพโหลด ดาวน์โหลด การใช้งาน การค้นหา คำสั่ง UpdateConfig, AddKeyword, ChangeKeywordFile, ChangeKey, การอัพเกรด และถอนการติดตั้งเองได้ หลังการใช้งานคำสั่งใดๆ ก็ตาม มันจะสร้างไฟล์คำสั่งขึ้นมาหนึ่งไฟล์ซึ่งได้รับการปกป้องแบบเดียวกับไฟล์โครงแบบ เพื่อจัดเก็บไว้ในสารบบ “CommandDir” (ซึ่งเป็นช่องทางที่กำหนดไว้ในโครงแบบ ออปชั่น 11) ดังที่อธิบายไว้แล้วในหัวข้อ “ช่องโหว่ของการอำพรางข้อมูล” ช่องโหว่นี้จะไม่รับมือกับไฟล์คำสั่งและไม่รองรับคำสั่งอย่าง ChangeKeywordFile และ ChangeKey ดังนั้น เราจึงได้คำตอบว่าต้องมีช่องโหว่อีกหนึ่งแห่ง ซึ่งถูกสร้างขึ้นเป็นคู่ โดยมีตัวจัดการโครงแบบเหมือนที่เราได้พบแล้ว แม้จะปรากฏว่า โปรแกรมอรรถประโยชน์ดังกล่าวจะทำงานจากฝั่งผู้โจมตี เราก็ยังพบเหยื่อที่ถูกเจาะระบบด้วยโปรแกรมนี้และพบช่องโหว่ที่สัมพันธ์กันอยู่ในบริเวณใกล้เคียง โดยเราเรียกมันว่า ช่องโหว่ P2P (P2P Backdoor)

ช่องโหว่ P2P

ช่องโหว่นี้มีการทำงานหลายอย่างเหมือนกับช่องโหว่แบบที่กล่าวมาข้างต้น เห็นได้จากในคำสั่งหลายตัวล้วนมีชื่อเดียวกัน โดยไฟล์โครงแบบของช่องโหว่ทั้งสองรูปแบบมีออปชั่นต่าง ๆ ที่มีชื่อเฉพาะและถูกปกป้องในแบบเดียวกัน และช่องทางไปยังไฟล์ช่องโหว่ยังเป็นช่องทางที่ถูกกฎหมายอีกด้วย อย่างไรก็ดี ยังมีความแตกต่างที่สำคัญอยู่เช่นกัน โดยช่องโหว่แบบใหม่นี้จะทำงานกับออปชั่นจากโครงแบบได้มากกว่า รองรับคำสั่งได้มากกว่า สามารถสร้างปฏิสัมพันธ์กับเหยื่อที่ถูกเจาะข้อมูลรายอื่น ๆ และเชื่อมโยงกันเป็นเครือข่ายเดียวกันได้ (ดูรายละเอียดที่หัวข้อ “คำสั่ง”) และยังทำงานกับเซิร์ฟเวอร์ระบบ C&C ในแนวทางที่แตกต่างกัน นอกจากนี้ ช่องโหว่รูปแบบนี้ยังมีการบันทึกไฟล์ล็อก (logging) จำนวนมาก โดยเราพบไฟล์ log หนึ่งที่สร้างขึ้นตั้งแต่ปี ค.ศ. 2012 ในคอมพิวเตอร์ของเหยื่อรายหนึ่ง

การสร้างปฏิสัมพันธ์ระบบ C&C

ช่องโหว่นี้มีความสามารถในการสอดส่องการจราจรของเครือข่าย หลังจากช่องโหว่นี้ถูกเปิดทำงาน มันจะเริ่มสอดส่องอินเตอร์เฟซของแต่ละเครือข่าย เพื่อตรวจจับกลุ่มข้อมูลที่ถูกกำหนดโครงสร้างมาเป็นพิเศษ ซึ่งถูกส่งไปยัง ProbePort ของเหยื่อตามที่กำหนดไว้ในโครงแบบ เมื่อตัวสอดส่องพบกลุ่มข้อมูลลักษณะดังกล่าว มันจะแปลความหมายในรูปแบบของการร้องขอ เพื่อสร้างการเชื่อมโยงและตั้งค่า TransferPort (ซึ่งถูกกำหนดไว้ในโครงแบบ) ให้เป็นโหมดการฟัง ผู้ร้องขอจะเชื่อมต่อกับ TransferPort ของเหยื่อได้ทันทีและทั้งสองฝ่ายจะทำการทดสอบเพิ่มเติมและแลกเปลี่ยนกุญแจรหัสระหว่างกัน หลังจากนั้น ผู้ร้องขอการเชื่อมต่อจะส่งคำสั่งต่าง ๆ ไปยังเหยื่อ และเหยื่อจะดำเนินการตามคำสั่งเหล่านั้นอย่างมีปฏิสัมพันธ์กัน วิธีการนี้ทำให้ช่องโหว่ยังคงสภาพในโหมดการฟังได้โดยไม่ต้องมีซ็อกเก็ตในโหมดการฟังเลย โดยมันเพียงแค่สร้างซ็อกเก็ตการฟังเมื่อมันรู้ว่ามีบางคนกำลังพยายามเชื่อมต่ออยู่เท่านั้น

คำสั่ง

ช่องโหว่นี้รองรับคำสั่งเหมือนกับช่องโหว่เพื่อการอำพรางข้อมูลและยังใช้งานคำสั่งเพิ่มเติมด้วย ช่องโหว่นี้ใช้ประโยชน์จากบริการดัชนีของวินโดวส์และสามารถค้นหาไฟล์ที่มีคีย์เวิร์ดตามที่กำหนดโดยผู้โจมตีได้ การค้นหานี้จะเริ่มต้นด้วยการร้องขอจากผู้โจมตีหรือตามตารางเวลา โดยคีย์เวิร์ดของการค้นหาตามตารางนี้จะถูกจัดเก็บไว้ในไฟล์ขั้นสูง

คำสั่งทุกอย่างจะถูกจัดส่งไปยังช่องโหว่ผ่านไฟล์คำสั่ง โดยไฟล์คำสั่งจะถูกปกป้องในแบบเดียวกับโครงแบบ (ตามที่แสดงในรูปภาพด้านล่าง)

รูปภาพนี้ประกอบด้วยคำสั่งแสดงอัตลักษณ์ (id), คำสั่งวันที่ (dt), คำสั่งชื่อ (t) และการพิสูจน์ (cmd)

ผู้สร้างมัลแวร์ตัวนี้ยังติดตั้งความสามารถในการรวบรวมเหยื่อที่ถูกเจาะระบบให้เข้าไปอยู่ในเครือข่าย P2P อีกด้วย ซึ่งจะสนับสนุนปฏิบัติการของผู้โจมตี ยกตัวอย่างเช่น เมื่อเหยื่อสองรายใช้งานเครือข่ายภายในเดียวกัน แต่มีเพียงรายเดียวที่เชื่อมต่ออินเตอร์เน็ตได้ ในกรณีนี้ ผู้โจมตีสามารถส่งคำสั่งไปยังเหยื่อที่ไม่ได้เชื่อมต่อผ่านทางเหยื่อที่เชื่อมต่ออินเตอร์เน็ตได้ ซึ่งการใช้คำสั่งกับเหยื่อที่เชื่อมต่อซึ่งเป็นเป้าหมายของคำสั่งนั้น จะถูกกำหนดไว้โดยตรงในไฟล์คำสั่งนั่นเอง เมื่อผู้โจมตีเตรียมไฟล์แล้ว ก็จะใส่รายชื่อโฮสต์ที่ถูกเจาะข้อมูลซึ่งเชื่อมโยงกับการถ่ายโอนไฟล์ไปยังเป้าหมายในออปชั่น h1, h2, h3 และอื่น ๆ ลำดับการถ่ายโอนไฟล์คำสั่งผ่านเหยื่อรายต่างๆ ไปยังโฮสต์เป้าหมายจะถูกใส่รวมไว้ในออปชั่น p1, p2 และอื่น ๆ ยกตัวอย่างเช่น หากออปชั่น p1 เท่ากับ ‘2->3->1’ และ ออปชั่น p2 เท่ากับ ‘2->3->4’ ไฟล์คำสั่งจะถูกส่งไปยังโฮสต์ที่มีเลขดัชนี 1 และ 4 ผ่านโฮสต์ 2 และ 3 ตามลำดับ โดยแต่ละโฮสต์จะถูกเขียนไว้ดังนี้ %Host IP%:%Host ProbePort%:%Host TransferPort%

 

บทสรุป

เราได้ค้นพบการโจมตีรูปแบบใหม่โดยกลุ่มโจรกรรมนี้และสังเกตเห็นว่า ผู้ปฏิบัติการยังคงทำงานเพื่อปรับปรุงโปรแกรมอรรถประโยชน์สำหรับการคุกคามและใช้เทคนิคใหม่ ๆ ในการก่ออาชญากรรมทางคอมพิวเตอร์ที่มิดชิดแนบเนียนยิ่งขึ้น โดยเมื่อ 2 ปีที่ผ่านมา เราคาดการณ์ว่ามีการก่ออาชญากรรมคอมพิวเตอร์และผู้พัฒนามัลแวร์จำนวนเพิ่มมากขึ้นที่ใช้วิทยาการอำพรางข้อมูล และนี่คือข้อพิสูจน์ว่า ผู้ปฏิบัติการได้ใช้เทคนิคการอำพรางข้อมูลที่น่าสนใจทั้ง 2 รูปแบบนี้ในการก่ออาชญากรรมคอมพิวเตอร์จริง หากรายละเอียดเรื่องหนึ่งที่น่าสนใจมากก็คือ ผู้ปฏิบัติการพยายามใช้โปรแกรมอรรถประโยชน์ที่จำเป็นในรูปแบบชุดโปรแกรมขนาดใหญ่ ซึ่งเตือนให้เรารู้ว่าสถาปัตยกรรมที่ตั้งอยู่บนพื้นฐานของกรอบงานกำลังได้รับความนิยมสูงขึ้นเรื่อย ๆ ในวงการนี้ ท้ายสุด เมื่อพิจารณาจากตัวเข้ารหัสที่ผู้ปฏิบัติการใช้ ทำให้เราทราบได้ว่าการโจมตีนี้เชื่อมโยงกับกลุ่มแพลทินัม ซึ่งหมายความว่ากลุ่มโจรกรรมนี้ยังคงดำเนินการอยู่

สัญญาณบ่งชี้ว่าระบบถูกเจาะ (IoCs)

รายชื่อนี้แสดงเฉพาะสัญญาณบ่งชี้ว่าระบบถูกเจาะซึ่งเกี่ยวข้องกับรูปแบบการโจมตีที่อธิบายไว้ข้างต้น โดยสัญญาณบ่งชี้ว่าระบบถูกเจาะทั้งหมดมีให้ลูกค้าบริการรายงานข่าวกรองของแคสเปอร์สกี (Kaspersky Intelligence Reporting) สามารถเข้าถึงได้ (ติดต่อเพื่อรับบริการได้ที่ intelreports@kaspersky.com)

ตัวติดตั้งช่องโหว่เพื่อการอำพรางข้อมูล:

26a83effbe14b63683f0c3e0a3f657a9

4b4c3b57416c03ca7f57ff7241797456

58b10ac25df04a318a19260110d43894

Obsolete steganography backdoor launcher:

d95d939337d789046bbda2083f88a4a0

b22499568d51759cf13bf8c05322dba2

Steganography backdoor:

5591704fd870919930e8ae1bd0447706

9179a84643bd6d1c1b8e6fe0d2330dab

c7fda2be17735eeaeb6c56d30fc86215

d1936dc97566625b2bfcab3103c048cb

d1a5801abb9f0dc0a44f19b2208e2b9a

P2P backdoor:

0668df90c701cd75db2aa43a0481718d

e764a1ff12e68badb6d54f16886a128f

Config manager:

8dfabe7db613bcfc6d9afef4941cd769

37c76973a55134925c733f4f50108555

No tags for this post.

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

เตือนภัย !! ชาว เทรด Forex ระวังโบรกเกอร์ใช้ระบบฝากเงินเข้าบัญชีเทรดที่ไม่ปลอดภัย

มีโบรกเกอร์บางเ …

%d bloggers like this: