มัลแวร์แบบแยกส่วน - วิธีการโจมตีแบบซ่อนตัวแบบใหม่เพื่อขโมยข้อมูล

ซอฟต์แวร์ที่เป็นอันตราย - มัลแวร์ - การโจมตีในรูปแบบและขนาดที่แตกต่างกันมากมาย นอกจากนี้ ความซับซ้อนของมัลแวร์ยังได้พัฒนาไปอย่างมากในช่วงหลายปีที่ผ่านมา ผู้โจมตีตระหนักดีว่าการพยายามแทรกแพ็คเกจมัลแวร์ทั้งหมดเข้าสู่ระบบในคราวเดียวอาจไม่ใช่วิธีที่มีประสิทธิภาพสูงสุดเสมอไป

เมื่อเวลาผ่านไป มัลแวร์ได้กลายเป็นโมดูลาร์ มัลแวร์บางตัวอาจใช้โมดูลที่แตกต่างกันเพื่อเปลี่ยนผลกระทบต่อระบบเป้าหมาย มัลแวร์แบบแยกส่วนคืออะไรและทำงานอย่างไร มาดูบทความต่อไปนี้กันดีกว่า!

มัลแวร์แบบแยกส่วน - วิธีการโจมตีแบบซ่อนตัวแบบใหม่เพื่อขโมยข้อมูล

• มัลแวร์แบบโมดูลาร์คืออะไร?
• ตัวอย่างโมดูลมัลแวร์
  • VPNFilter
  • T9000
  • ดาน่าบอต
  • Marap, AdvisorBot และ CobInt
  • ทำร้ายร่างกาย
  • ไดมอนด์ฟ็อกซ์
• วิธีป้องกันการโจมตีมัลแวร์แบบโมดูลาร์

มัลแวร์แบบโมดูลาร์คืออะไร?

มัลแวร์แบบโมดูลาร์เป็นภัยคุกคามที่เป็นอันตรายซึ่งโจมตีระบบในระยะต่างๆ แทนที่จะโจมตีโดยตรง โมดูลมัลแวร์กลับใช้แนวทางรอง

โดยการติดตั้งเฉพาะส่วนประกอบที่จำเป็นก่อน จากนั้น แทนที่จะสร้างเสียงประโคมและแจ้งเตือนผู้ใช้ถึงการมีอยู่ โมดูลแรกมุ่งเป้าไปที่ระบบและความปลอดภัยทางไซเบอร์ ส่วนไหนที่มีหน้าที่รับผิดชอบหลัก, มีการใช้วิธีการป้องกันประเภทใด, โดยที่มัลแวร์สามารถค้นหาจุดอ่อนได้, ช่องโหว่ใดที่มีโอกาสประสบความสำเร็จสูงสุด เป็นต้น

หลังจากตรวจพบสภาพแวดล้อมภายในเครื่องได้สำเร็จ โมดูลมัลแวร์ระยะแรกสามารถสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ได้ จากนั้น C2 สามารถตอบสนองด้วยการส่งคำแนะนำเพิ่มเติมพร้อมกับโมดูลมัลแวร์เพิ่มเติมเพื่อใช้ประโยชน์จากสภาพแวดล้อมเฉพาะที่มัลแวร์ทำงานอยู่

มัลแวร์แบบแยกส่วนมีประโยชน์มากกว่ามัลแวร์ที่รวมฟังก์ชันการทำงานทั้งหมดไว้ในเพย์โหลดเดียว โดยเฉพาะ:

• ผู้สร้างมัลแวร์สามารถเปลี่ยนข้อมูลระบุตัวตนของมัลแวร์ได้อย่างรวดเร็วเพื่อหลบเลี่ยงโปรแกรม ป้องกันไวรัส และโปรแกรมรักษาความปลอดภัยอื่นๆ
• โมดูลมัลแวร์ช่วยให้สามารถขยายฟังก์ชันการทำงานไปยังสภาพแวดล้อมที่หลากหลายได้ ในเรื่องนี้ ผู้สร้างมัลแวร์สามารถตอบสนองต่อเป้าหมายเฉพาะ หรือทำเครื่องหมายโมดูลเฉพาะเพื่อใช้ในสภาพแวดล้อมเฉพาะได้
• โมดูลดั้งเดิมมีขนาดเล็กมากและเปลี่ยนง่ายกว่า
• การรวมโมดูลมัลแวร์หลายตัวเข้าด้วยกันช่วยให้นักวิจัยด้านความปลอดภัยคาดการณ์สิ่งที่จะเกิดขึ้นต่อไป

มัลแวร์แบบแยกส่วนไม่ใช่ภัยคุกคามใหม่ นักพัฒนามัลแวร์ใช้โปรแกรมมัลแวร์แบบโมดูลาร์อย่างมีประสิทธิภาพมาเป็นเวลานาน ความแตกต่างก็คือนักวิจัยด้านความปลอดภัยกำลังเผชิญกับโมดูลมัลแวร์มากขึ้นในสถานการณ์ที่หลากหลาย นักวิจัยยังค้นพบบ็อตเน็ต Necurs ขนาดใหญ่ (ที่น่าอับอายในการเผยแพร่ ตัวแปรแรนซัมแวร์ Dridex และ Locky ) ที่แพร่กระจายโมดูลมัลแวร์

ตัวอย่างโมดูลมัลแวร์

มีตัวอย่างโมดูลมัลแวร์ที่น่าสนใจมากมาย นี่คือบางส่วนของพวกเขา

VPNFilter

VPNFilterเป็นมัลแวร์เวอร์ชันล่าสุดที่โจมตีเราเตอร์และอุปกรณ์Internet of Things (IoT)มัลแวร์นี้ทำงานในสามขั้นตอน

มัลแวร์ระยะแรกจะติดต่อกับเซิร์ฟเวอร์สั่งการและควบคุมเพื่อดาวน์โหลดโมดูลระยะที่สอง โมดูลขั้นที่สองรวบรวมข้อมูล ดำเนินการคำสั่ง และสามารถแทรกแซงในการจัดการอุปกรณ์ (รวมถึงความสามารถในการ "หยุด" เราเตอร์ อุปกรณ์ IoT หรือ NAS) ขั้นตอนที่สองยังสามารถดาวน์โหลดโมดูลขั้นตอนที่สามซึ่งทำหน้าที่เป็นปลั๊กอินสำหรับขั้นตอนที่สอง โมดูลสามขั้นตอนประกอบด้วยแพ็กเก็ตการตรวจจับการรับส่งข้อมูล SCADA โมดูลการติดไวรัส และโมดูลที่อนุญาตให้มัลแวร์ระยะที่ 2 สื่อสารโดยใช้ เครือ ข่ายTor

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ VPNFilter ได้จากบทความต่อไปนี้: วิธีตรวจจับมัลแวร์ VPNFilter ก่อนที่จะทำลายเราเตอร์

T9000

นักวิจัยด้านความปลอดภัยของ Palo Alto Networks ค้นพบมัลแวร์ T9000 (ไม่เกี่ยวข้องกับ Terminator หรือ Skynet)

T9000 เป็นเครื่องมือรวบรวมข้อมูลและข้อมูล เมื่อติดตั้งแล้ว T9000 จะช่วยให้ผู้โจมตีสามารถ "จับข้อมูลที่เข้ารหัส จับภาพหน้าจอของแอปพลิเคชันเฉพาะ และกำหนดเป้าหมาย ผู้ใช้ Skype โดยเฉพาะ " รวมถึงไฟล์ผลิตภัณฑ์ Microsoft Office T9000 มาพร้อมกับโมดูลต่างๆ ที่ออกแบบมาเพื่อหลีกเลี่ยงผลิตภัณฑ์รักษาความปลอดภัยที่แตกต่างกัน 24 รายการ โดยเปลี่ยนกระบวนการติดตั้งไม่ให้ถูกตรวจพบ

ดาน่าบอต

DanaBot เป็นโทรจันธนาคาร แบบหลายขั้นตอน พร้อมปลั๊กอินต่าง ๆ ที่ผู้โจมตีใช้เพื่อขยายฟังก์ชันการทำงาน ตัวอย่างเช่น ในเดือนพฤษภาคม 2018 DanaBot ถูกตรวจพบในการโจมตีธนาคารของออสเตรเลียหลายครั้ง ในเวลานั้น นักวิจัยค้นพบชุดปลั๊กอินตรวจจับการติดเชื้อ ปลั๊กอินการดูระยะไกล VNC ปลั๊กอินการรวบรวมข้อมูล และปลั๊กอิน Tor ที่ช่วยให้การสื่อสารปลอดภัย

“DanaBot เป็นโทรจันการธนาคาร ซึ่งหมายความว่ามันจำเป็นต้องกำหนดเป้าหมายทางภูมิศาสตร์ในระดับหนึ่ง” ตามบล็อก Proofpoint DanaBot “แม้จะมีมาตรการป้องกันหลายประการดังที่เราได้เห็นในการรณรงค์ของสหรัฐฯ แต่ก็ยังง่ายที่จะเห็นการเติบโตอย่างต่อเนื่อง การขยายตัวทางภูมิศาสตร์ และความซับซ้อนของมัลแวร์ อันตรายกำลังเพิ่มขึ้น ตัวมัลแวร์เองมีคุณสมบัติต่อต้านการวิเคราะห์หลายประการ เช่นเดียวกับโมดูลการขโมยข้อมูลและการควบคุมระยะไกลที่อัปเดตเป็นประจำ ซึ่งเพิ่มภัยคุกคามต่อเป้าหมาย”

Marap, AdvisorBot และ CobInt

บทความนี้กำลังรวมโมดูลมัลแวร์สามรูปแบบไว้ในส่วนเดียว เนื่องจากนักวิจัยด้านความปลอดภัยที่น่าทึ่งที่ Proofpoint ได้สำรวจทั้งสามโมดูลในเวลาเดียวกัน โมดูลมัลแวร์เหล่านี้มีลักษณะคล้ายกันแต่มีการใช้งานที่แตกต่างกัน นอกจากนี้ CobInt ยังเป็นส่วนหนึ่งของแคมเปญ Cobalt Group ซึ่งเป็นองค์กรอาชญากรรมที่มีความเกี่ยวข้องกับอาชญากรไซเบอร์จำนวนมากในภาคการธนาคารและการเงิน

Marap และ AdvisorsBot ถูกสร้างขึ้นเพื่อกำหนดเป้าหมายระบบเป้าหมายทั้งหมดสำหรับการป้องกันและจัดทำแผนที่เครือข่าย จากนั้นพิจารณาว่ามัลแวร์ควรดาวน์โหลดเพย์โหลดทั้งหมดหรือไม่ หากระบบเป้าหมายตรงตามความต้องการ (เช่น มีคุณค่า) มัลแวร์จะเข้าสู่การโจมตีระยะที่สอง

เช่นเดียวกับโมดูลมัลแวร์เวอร์ชันอื่นๆ Marap, AdvisorsBot และ CobInt มีกระบวนการสามขั้นตอน ขั้นแรกมักจะเป็นอีเมลที่มีไฟล์แนบที่ติดมัลแวร์เพื่อวัตถุประสงค์ในการแสวงหาประโยชน์เบื้องต้น หากช่องโหว่เสร็จสิ้น มัลแวร์จะร้องขอขั้นตอนที่สองทันที ขั้นตอนที่สองประกอบด้วยโมดูลการลาดตระเวนเพื่อประเมินมาตรการรักษาความปลอดภัยและภูมิทัศน์เครือข่ายของระบบเป้าหมาย หากมัลแวร์แจ้งว่าทุกอย่างเป็นไปตามลำดับ ขั้นตอนสุดท้ายจะดาวน์โหลดโมดูลที่สาม รวมถึงเพย์โหลดหลักด้วย

ทำร้ายร่างกาย

Mayhem เป็นโมดูลมัลแวร์เวอร์ชันเก่ากว่าเล็กน้อย ปรากฏตัวครั้งแรกในปี 2014 อย่างไรก็ตาม Mayhem ยังคงเป็นตัวอย่างของมัลแวร์โมดูลาร์ที่ยอดเยี่ยม มัลแวร์ดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่ Yandex โดยมีเป้าหมายไปที่เว็บเซิร์ฟเวอร์Linux และ Unix มันติดตั้งผ่านสคริปต์ PHP ที่เป็นอันตราย

เมื่อติดตั้งแล้ว สคริปต์สามารถเรียกใช้ปลั๊กอินหลายตัวที่กำหนดการใช้งานมัลแวร์อย่างเหมาะสมที่สุด

ปลั๊กอินประกอบด้วยโปรแกรม ถอดรหัสรหัสผ่านแบบ Brute Force ที่กำหนดเป้าหมาย บัญชี FTP, WordPress และ Joomla โปรแกรมรวบรวมข้อมูลเว็บเพื่อค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่อื่น ๆ และ OpenSLL ที่ใช้ประโยชน์จาก Heartbleed

ไดมอนด์ฟ็อกซ์

โมดูลมัลแวร์ขั้นสุดท้ายในบทความของวันนี้ก็เป็นหนึ่งในเวอร์ชันที่สมบูรณ์ที่สุดเช่นกัน นี่เป็นหนึ่งในสิ่งที่น่ากังวลที่สุดด้วยเหตุผลบางประการ

ประการแรก DiamondFox เป็นบอตเน็ตแบบโมดูลาร์ที่ขายในฟอรัมใต้ดินต่างๆ อาชญากรไซเบอร์ที่มีศักยภาพสามารถซื้อแพ็คเกจบอตเน็ตแบบโมดูลาร์ DiamondFox เพื่อเข้าถึงความสามารถในการโจมตีขั้นสูงที่หลากหลาย เครื่องมือนี้ได้รับการอัปเดตเป็นประจำ และเช่นเดียวกับบริการออนไลน์อื่นๆ ตรงที่มีการสนับสนุนลูกค้าแบบส่วนตัว (มันยังมีบันทึกการเปลี่ยนแปลง!)

เหตุผลที่สอง บ็อตเน็ตแบบโมดูลาร์ของ DiamondFox มาพร้อมกับปลั๊กอินมากมาย คุณสมบัติเหล่านี้เปิดและปิดผ่านแดชบอร์ด ซึ่งเหมาะกับแอปสมาร์ทโฮม ปลั๊กอินประกอบด้วยเครื่องมือสอดแนมที่เหมาะสม เครื่องมือขโมยข้อมูลประจำตัว เครื่องมือ DDoS คีย์ล็อกเกอร์เมลสแปม และแม้แต่เครื่องสแกน RAM

จะป้องกันการโจมตีมัลแวร์แบบแยกส่วนได้อย่างไร

ในปัจจุบัน ยังไม่มีเครื่องมือเฉพาะที่สามารถปกป้องผู้ใช้จากตัวแปรโมดูลมัลแวร์ได้ นอกจากนี้ โมดูลมัลแวร์บางตัวยังมีขอบเขตทางภูมิศาสตร์ที่จำกัด ตัวอย่างเช่น Marap, AdvisorsBot และ CobInt ส่วนใหญ่พบในประเทศรัสเซียและ CIS

นักวิจัยของ Proofpoint ได้แสดงให้เห็นว่าแม้จะมีข้อจำกัดทางภูมิศาสตร์ในปัจจุบัน หากอาชญากรรายอื่นเห็นองค์กรอาชญากรรมที่จัดตั้งขึ้นโดยใช้มัลแวร์แบบโมดูลาร์ พวกเขาจะปฏิบัติตามอย่างแน่นอน

การตระหนักถึงวิธีที่โมดูลมัลแวร์เข้าถึงระบบของคุณเป็นสิ่งสำคัญ กรณีที่บันทึกไว้ส่วนใหญ่ใช้ไฟล์แนบอีเมลที่ติดมัลแวร์ ซึ่งมักจะมีเอกสาร Microsoft Office ที่มีสคริปต์ VBA ที่เป็นอันตราย ผู้โจมตีใช้วิธีนี้เนื่องจากส่งอีเมลที่ติดมัลแวร์ไปยังเป้าหมายที่เป็นไปได้นับล้านได้อย่างง่ายดาย นอกจากนี้ ช่องโหว่เริ่มต้นมีขนาดเล็กมากและปลอมตัวเป็นไฟล์ Office ปกติได้ง่าย

และเช่นเคย ตรวจสอบให้แน่ใจว่าคุณได้ปรับปรุงระบบของคุณให้ทันสมัยและพิจารณาลงทุนในซอฟต์แวร์แอนตี้ไวรัสที่มีคุณภาพ มันคุ้มค่า!

ดูเพิ่มเติม:

• คุณรู้จักมัลแวร์กี่ประเภทและรู้วิธีป้องกันอย่างไร
• มัลแวร์ประเภทต่างๆ
• ความเสี่ยงจากมัลแวร์และวิธีหลีกเลี่ยง