Skip to content

มารู้จักมัลแวร์ Fileless ที่ทำงานอยู่บนนอกเครือข่ายกัน

 

มัลแวร์ Fileless ได้กลายเป็นข่าวพาดหัวในช่วงปีที่ผ่านมาโดยถือเป็นหนึ่งในประเภทภัยคุกคามที่โดดเด่นที่สุดในปัจจุบันจากข้อมูลของ Cisco การโจมตีแบบไม่ใช้ไฟล์เป็นภัยคุกคามที่กำหนดเป้าหมายปลายทางที่พบบ่อยที่สุดในช่วงครึ่งปีแรกของปี 2020 เพื่อป้องกันมัลแวร์ประเภทนี้อย่างมีประสิทธิภาพองค์กรต่างๆจำเป็นต้องสร้างความเข้าใจอย่างลึกซึ้งเกี่ยวกับวิธีการทำงานของมัลแวร์ตัวนี้

บทความจาก Help Net Security ของ Mac Laliberte นักวิเคราะห์ความปลอดภัยอาวุโส เขียนไว้ว่าติดตาม “Anatomy of an Endpoint Attack” ล่าสุดจาก WatchGuard ข้อมูลเบื้องต้นเกี่ยวกับมัลแวร์  Fileless และการแพร่กระจายด้วยวิธีการทำงานจริง จากห้องทดลองภัยคุกคามของ WatchGuard มัลแวร์นี้ถูกหยุดด้วยวิธีของเราได้  

ส่วนใหญ่แล้ว Fileless มัลแวร์จะเริ่มต้นด้วยการจัดการไฟล์ด้วยการคลิก/เปิดไฟล์ต้นฉบับ แต่ก็ยังมีอีกรูปแบบหนึ่งที่ไม่จำเป็นต้องใช้ไฟล์ต้นฉบับ อันนี้ Type A, ส่วนอีกแบบคือใช้ประโยชน์จากช่องโหว่ในการเรียกใช้โค้ดในแอพพลิเคชั่น อันนี้ Type B, ซึ่งมีการใช้ข้อมูลประจำตัวของแอพฯที่ขโมยมาเพื่อละเมิดความสามารถของแอพพลิเคชันที่เชื่อมต่อเครือข่ายเพื่อเรียกใช้คำสั่งระบบ ทาง WatchGuard Threat Lab ระบุว่ามีการแพร่กระจายของมัลแวร์อย่างต่อเนื่องซึ่งใช้เทคนิกเหล่านี้ ซึ่งทาง Lab ทำการตรวจสอบการแจ้งเตือนผ่านคอลโซลบนคลาวน์ เกี่ยวกับภัยคุกคามด้วย Panda AD360 และรวบรวมข้อมูลที่ชี้ว่ามีการส่งข่อมูลระยะไกลของ server ในสถาพแวดล้อมของผู้ที่ตกเป็นเหยื่อ เพื่อระบุและแก้ไขภัยคุกคามก่อนที่มัลแวร์จะทำงานสำเร็จ

การแพร่กระจายนี้มีจุดเริ่มต้นที่ผิดปกติ นั่นคือ Microsoft SQL Server หน้าที่หลักของ SQL Server คือการจัดเก็บข้อมูลลงในเร็คคอร์ดรวมกันเป็นคลังข้อมูลขนาดใหญ่ แต่ก็ยังมีขั้นตอนที่สามารถให้เรียกใช้ข้อมูลพื้นฐานที่สามารถสั่งจากระบบบน Server ได้ซึ่งไม่เป็นผลดีเท่าไหร่ และแนวทางปฏิบัติที่ดีที่สุดจากฝั่ง Microsoft ระบุว่าให้ใช้บัญชีที่มีการจำกัดสิทธิ์การเข้าถึงฐานข้อมูลจะเพิ่มความปลอดภัยยิ่งขึ้น ซึ่งผู้ดูแลระบบจำนวนมากยังคงใช้ SQL Server ด้วยบัญชีที่สามารถให้แอพพลิเคชั่นพื้นฐานสามารถสั่งข้อมูลใดๆผ่านตัว Server ได้ ก่อนที่จะเริ่มมีการโจมตี ผู้โจมตีได้รหัสการเข้าถึงข้อมูลสำหรับ SQL Server ซึ่งทางเราก็ไม่แน่ใจว่าได้มาอย่างไร แต่เป็นไปได้ว่าอาจจะมาจาก Email ที่เป็น Phishing เพียงแค่บังคับให้เค้ามาคลิกลิงค์ก็จะสามารถทำการ brute force ข้อมูลการเข้าถึงที่ตั้งไว้แบบง่ายดายได้โดยเวลาอันสั้น ซึ่งแน่นอนว่าผู้ร้ายสามารถเลือกรูปแบบการโจมตีได้หลากหลายเมื่อสามารถเข้าถึงตัว Server ได้ ไม่ว่าจะแอบเอาข้อมูลออกไป หรือทำการทำลายข้อมูล หรือการโจมตีที่เป็นที่นิยมกันในปัจจุบันคือการเข้ารหัส..
สามารถอ่านบทความฉบับเต็มได้ที่นี่ และสามารถดูข้อมูลเชิงลึกเกี่ยวกับ Fileless Malware และแนวทางการปฏิบัติที่ดีที่สุดในการป้องกันการโจมตีเหล่านี้

สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing

โทร : 02-2479898 ต่อ 87 

เรียบเรียงเป็นภาษาไทยโดย  :  คุณ กิตติศักดิ์  อนุวงศ์สกุล