ใช้ช่องโหว่ Bypass ไปปิด Microsoft Defender 🚨
Windows Defender ที่เคยเป็นเหมือนเกราะป้องกันด่านแรกของ Windows ตอนนี้กลายเป็นเป้าหมายใหม่ของแก๊ง Akira ransomware ไปเรียบร้อย ทั้งที่ตลอดหลายปีมันพัฒนาจนแทบจะเป็นแอนตี้ไวรัสที่หลายคนพึ่งพาได้สบาย แต่แฮกเกอร์กลับหาวิธีปิดมันได้เนียน ๆ ผ่านการโจมตีแบบ “Bring Your Own Vulnerable Driver” (BYOVD) หรือการนำไดรเวอร์ที่มีช่องโหว่มาใช้ประโยชน์
.
กรณีนี้คือไดรเวอร์ Intel ชื่อ rwdrv.sys ที่ปกติใช้กับโปรแกรม ThrottleStop สำหรับปรับแต่งซีพียู ซึ่งขั้นตอนแรกของการโจมตีก็ไม่ได้ซับซ้อนอะไรเลย เพียงหลอกเหยื่อให้คลิกลิงก์ ดาวน์โหลดไฟล์ หรือติดตั้งซอฟต์แวร์ปลอม พอไดรเวอร์นี้ถูกติดตั้งก็จะเปิดทางให้แฮกเกอร์ได้สิทธิ์ระดับ Kernel จากนั้นจึงโหลดไดรเวอร์เสริม hlpdrv.sys เข้ามาปิด Microsoft Defender อย่างสมบูรณ์ด้วยการแก้ค่าใน Registry ผ่าน regedit.exe
.
เมื่อเกราะหลักถูกปิดไปแล้ว เท่ากับเปิดทางให้มัลแวร์ แรนซัมแวร์ หรือเครื่องมือเจาะระบบเข้ามาทำงานได้โดยไม่ถูกตรวจจับ ล่าสุดยังมีรายงานว่า Akira ransomware ขยายการโจมตีไปยังอุปกรณ์ VPN ของ SonicWall ด้วย ซึ่งบางแหล่งชี้ว่าอาจเกี่ยวข้องกับช่องโหว่ที่รู้จักกันอยู่แล้ว ไม่ใช่ zero-day อย่างที่หลายคนกังวล
.
ที่สำคัญคือวิธีนี้ไม่ได้เป็นแค่การทดสอบ แต่ถูกใช้จริงตั้งแต่กลางเดือนกรกฎาคมที่ผ่านมา และยังถูกพบซ้ำมากขึ้นเรื่อย ๆ จนผู้เชี่ยวชาญอย่าง GuidePoint Security ต้องออกกฎ YARA และเผยแพร่ IoCs ให้ผู้ดูแลระบบใช้ตรวจจับ
.
วิธีป้องกันสำหรับผู้ใช้ทั่วไป
- ใช้แอนตี้ไวรัสเสริม อย่าพึ่งพาแค่ Defender เพียงอย่างเดียว
- ระวังการคลิกลิงก์หรือการเปิดไฟล์แนบที่ไม่น่าไว้ใจ
- หลีกเลี่ยงการรันคำสั่งหรือสคริปต์ที่ไม่เข้าใจการทำงาน
- หมั่นอัปเดต Windows และโปรแกรมต่าง ๆ ให้เป็นเวอร์ชันล่าสุด
- เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ในทุกบัญชีที่ทำได้
.
ที่มา : cyberguy
การโจมตีอย่างใช้ช่องโหว่ Bring Your Own Vulnerable Driver (BYOVD) กลายเป็นเทคนิคที่แฮกเกอร์นำมาใช้ในการแทรกซึมระบบของผู้ใช้ Windows ได้อย่างซับซ้อนและยากที่จะตรวจจับ เพราะอาศัยไดรเวอร์ที่ถูกพัฒนาขึ้นเพื่อวัตถุประสงค์ที่ถูกต้อง แต่กลับกลายเป็นช่องทางเข้าสู่ระบบได้โดยไม่ถูกแอนตี้ไวรัสจับได้ กรณีของไดรเวอร์ rwdrv.sys ซึ่งถูกใช้งานปกติกับโปรแกรม ThrottleStop เพื่อปรับแต่งซีพียูนี้ ถือเป็นตัวอย่างที่ชัดเจนว่าแฮกเกอร์สามารถใช้ประโยชน์จากไดรเวอร์ที่เก่าหรือมีช่องโหว่ได้อย่างไร เมื่อไดรเวอร์นี้ถูกติดตั้งลงในระบบแล้ว จะเปิดสิทธิ์ระดับ Kernel ให้กับแฮกเกอร์ทันที ทำให้สามารถโหลดไดรเวอร์เสริมอย่าง hlpdrv.sys เพื่อจุดประสงค์ปิด Microsoft Defender โดยแก้ไข Registry ผ่าน regedit.exe ซึ่งเป็นความเสี่ยงระดับสูงอย่างยิ่งสำหรับการรักษาความปลอดภัยของระบบ การปิด Microsoft Defender ถือเป็นการปิดเกราะป้องกันหลักของ Windows ทำให้ระบบเปิดช่องโหว่ให้กับมัลแวร์หลายประเภท เช่น แรนซัมแวร์ Akira ที่มีการรายงานว่าเริ่มขยายการโจมตีไปยังอุปกรณ์ VPN ของ SonicWall ด้วย ซึ่งสะท้อนถึงปัญหาด้านความปลอดภัยที่ต้องคอยอัปเดตและตรวจสอบเครื่องมือใหม่ ๆ อย่างต่อเนื่อง สำหรับผู้ใช้ทั่วไป คำแนะนำที่สำคัญคืออย่าพึ่งพาแอนตี้ไวรัสของ Windows Defender เพียงอย่างเดียว ควรติดตั้งโปรแกรมแอนตี้ไวรัสเสริมที่เชื่อถือได้ และอย่างระมัดระวังในการคลิกลิงก์หรือเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ การหลีกเลี่ยงการรันคำสั่งหรือสคริปต์ที่ไม่เข้าใจเป็นสิ่งสำคัญ รวมถึงการอัปเดต Windows และซอฟต์แวร์ต่าง ๆ ให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อลดช่องโหว่ที่แฮกเกอร์อาจโจมตี สุดท้ายการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ในทุกบัญชีที่รองรับจะช่วยเพิ่มความปลอดภัยและลดความเสี่ยงจากการถูกแฮกบัญชีอย่างมาก ซึ่งทั้งหมดนี้เป็นแนวทางที่ผู้ใช้ควรตระหนักและปฏิบัติเพื่อลดความเสี่ยงจากการโจมตีผ่านช่องโหว่ BYOVD และภัยคุกคามอื่นๆ ที่กำลังขยายตัวอย่างรวดเร็วในปัจจุบัน การติดตามข่าวสารด้านความปลอดภัยไซเบอร์อย่างใกล้ชิด และการใช้เครื่องมือสแกนตรวจจับต่าง ๆ ที่ถูกพัฒนาขึ้นจากการวิเคราะห์ความเคลื่อนไหวของแฮกเกอร์เช่นกฎ YARA และ IoCs ที่เผยแพร่โดยผู้เชี่ยวชาญ เช่น GuidePoint Security จะช่วยให้องค์กรและผู้ใช้ทั่วไปสามารถป้องกันและตอบสนองกับภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น
