Banking Trojan หลบการตรวจของ Antivirus และ Browser โดยใช้เทคนิคใหม่

By | 2018-06-05T12:04:13+00:00 June 5th, 2018|Blog|0 Comments

ทีมงานด้านความมั่นคงปลอดภัยของ IBM พบ Banking Trojan ที่ชื่อว่า MnuBot และ เขียนด้วย Delphi ที่ใช้เทคนิคซับซ้อน โดยใช้การเชื่อมต่อและรับคำสั่งผ่านทาง Microsoft SQL จากภายนอกเพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันทั่วไป

 

Credit: ShutterStock.com

จากรายงานพบว่าพฤติกรรมของมัลแวร์ตัวนี้คือมีการฝัง Credentials ที่เข้ารหัสไว้เพื่อใช้เชื่อมต่อไปยัง C&C เซิร์ฟเวอร์ที่เป็นฐานข้อมูล MSSQL เพื่อเรียกคำสั่งใหม่และสั่งการตัวเอง โดยนักวิจัยคาดว่าผู้คิดค้นกรรมวิธีนี้ต้องการเลี่ยงการตรวจจับป้องกันโดยทำเป็นเหมือนทราฟฟิคปกติใช้งานฐานข้อมูลทั่วไป นอกจากนี้ยังมีข้อดีอื่นๆ คือเนื่องจากมัลแวร์ได้รับไฟล์ตั้งค่าจากเซิร์ฟเวอร์ SQL ธรรมดาปกติซึ่งไม่ต้องฝังข้อมูลมาก่อน ดังนั้นเจ้าของมัลแวร์จะเริ่มการปฏิบัติการเมื่อใดก็ได้ มากกว่านั้นถ้ารู้สึกว่าถูกแกะรอยอยู่ก็สามารถปิดเซิร์ฟเวอร์ทิ้งทำให้มัลแวร์ไม่เงียบไปโดยสิ้นเชิงและฝ่ายป้องกันก็ไม่สามารถทำ Reverse Engineer เพื่อศึกษาการโจมตีได้

 

การศึกษายังพบว่ามัลแวร์ถูกออกแบบ Modular ที่ประกอบด้วย 2 ส่วน

ส่วนแรกเพื่อเช็คว่าเจ้าของเครื่องติดมัลแวร์หรือยังโดยเช็คจากไฟล์ชื่อ Desk.txt ในโฟลเดอร์ AppData Roaming หากยังไม่เคยติดมัลแวร์มาก่อนจะเข้าไปสร้างไฟล์ชื่อนี้และเปิดสภาพแวดล้อมของหน้าจอผู้ใช้ใหม่ซึ่งจะไม่เห็นการปฏิบัติการของมัลแวร์ที่ซ่อนอยู่ โดยไฟล์นี้เองจะเอาไว้เก็บข้อมูลของหน้าจอที่ซ่อนอยู่และส่วนประกอบที่สองจะทราบตรงกันที่จุดนี้ด้วย

ส่วนที่สองจะเข้าสู่โหมด Remote Access Trojan อย่างเป็นทางการและเชื่อมต่อกับฐานข้อมูล MSSQL โดยมีความสามารถดังนี้

  1. รับไฟล์ตั้งค่าเวอร์ชันล่าสุด
  2. Execute คำสั่งจากไฟล์ตั้งค่าที่ได้มา
  3. ทำการดักจับคีย์
  4. ปลอมแปลงการคลิกของผู้ใช้งาน
  5. ปลอมแปลงอินพุตน์จากคีย์บอร์ดของผู้ใช้
  6. เก็บภาพของหน้าจอและบราวน์เซอร์
  7. รีสตาร์ทเครื่อง
  8. ยกเลิกการติดตั้งแอปพลิเคชัน
  9. สร้างการวางทับหน้า Portal ของแบงก์จริง (ลิสต์รายชื่อของธุรกรรมการเงินที่สนใจและการวางทับการแสดงผลได้รับมาจากการอัปเดตไฟล์ตั้งค่า)

 

อย่างไรก็ตาม MnuBot สร้างความประหลาดใจให้ทีมงานของ IBM ไม่น้อยเพราะปกติแล้ว Trojan ที่เขียนด้วย Delphi จะไม่ปรากฏความซับซ้อนมากเท่านี้ อีกทั้งยังมีการซ่อนตัวผ่านการใช้งานที่ดูเหมือนปกติอีกด้วย ซึ่งคาดว่าผู้สร้าง Trojan มีประสบการณ์ความเชี่ยวชาญสูงมาก แต่โชคยังดีที่การโจมตียังอยู่ในแถบบราซิลเท่านั้น

 

 

ที่มา : www.techtalkthai.com

 

 

บริษัท SC-sparksolution (www.sc-sparksolution.com) บริการรับทำ website E-commerce Application รองรับทั้ง iOS และ Android ใช้งานได้ทั้ง Smart Phone และ Tablet รับพัฒนาเว็บไซต์และแอพพลิเคชั่นบน iOS, Android รวมถึง Graphic Design หรือ Web Application โดยทีมงานที่มีประสบการณ์ ทำให้ธุรกิจของคุณสามารถแข่งขันในตลาดธุรกิจยุคดิจิตอลที่มีการเติบโตและแข่งขันกันสูงขึ้นในปัจจุบันได้อย่างไม่น้อยหน้าใคร เพราะ Website หรือ Application ก็เปรียบเสมือนหน้าร้านของบริษัทในโลกออนไลน์ สามารถเสริมภาพลักษณ์และความน่าเชื่อถือให้กับบริษัทอีกด้วย หากคุณสนใจจะทำApplication หรือเว็บไซด์ให้กับบริษัทของคุณ

ติดต่อขอใบเสนอราคาได้ที่นี่ http://www.sc-sparksolution.com/price