มัลแวร์ CastleRAT โจมตีผู้ใช้งาน Windows แอบควบคุม
มัลแวร์ CastleRAT โจมตีผู้ใช้งาน Windows แอบควบคุมเครื่องอย่างเงียบเชียบ
มัลแวร์ประเภทหนึ่งที่เรียกว่าผู้อ่านหลายรายคงจะได้เห็นกันอย่างคุ้นเคย นั่นคือ มัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีมากมายหลายตัว ทั้งยังมีเกิดใหม่แทบทุกวันจนกำจัดไม่หมด และครั้งนี้ก็เป็นอีกหนึ่งตัวใหม่ที่จะมาสร้างความลำบากให้กับผู้ใช้งาน Windows อีกครั��้ง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท RAT ตัวใหม่ที่มีชื่อว่า CastleRAT โดยทีมวิจัยจาก Splunk บริษัทผู้เชี่ยวชาญการสร้างเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร ซึ่งทางทีมวิจัยได้ตรวจพบมัลแวร์ตัวนี้เป็นครั้งแรกในช่วงเดือนมีนาคมที่ผ่านมา ซึ่งตัวมัลแวร์นั้นจะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows โดยมัลแวร์ตัวนี้นอกจากจะมีความสามารถพื้นฐานที่ช่วยให้แฮกเกอร์สามารถเข้าควบคุมเครื่องของเหยื่อได้อย่างเบ็ดเสร็จแล้ว ตัวมัลแวร์ยังมีการแบ่งออกเป็น 2 เวอร์ชันอีกด้วย นั่นคือ
เวอร์ชัน Python ซึ่งเป็นเวอร์ชันขนาดเล็ก (Lightweight)
เวอร์ชัน C เป็นเวอร์ชันที่มาพร้อมกับความสามารถระดับสูง เช่น การดักจับการพิมพ์ (Keystoke), การลักลอบบันทึกหน้าจอ และการสร้างคว�ามคงทนบนระบบ (Persistance) ที่เหนือกว่า
ทางทีมวิจัยไม่ได้มีการระบุไว้ว่างแฮกเกอร์ใช้แคมเปญการแพร่กระจาย หรือการหลอกลวงเหยื่อในรูปแบบใดให้ดาวน์โหลด และติดตั้งมัลแวร์ แต่ได้มีการระบุข้อมูลการทำงานในเชิงเทคนิคไว้ว่า ตัวมัลแวร์หลังจากที่ทำการติดตั้งตัวเองบนระบบแล้ว จะทำการเก็บข้อมูลเชิงระบบจากเครื่องของเหยื่อ เช่น ชื่อคอมพิวเตอร์, ชื่อผู้ใช้งาน (Username), หมายเลข GUID, หมายเลขที่อยู่ IP เป็นต้น โดยตัวมัลแวร์จะทำการส่งข้อมูลดังกล่าวกลับไปยังเซิร์ฟเวอร์ C2 (Command and Control) ที่มีการเข้ารหัสแบบ RC4 ที่มีการใช้กุญแจรหัสแบบค่าคงที่ (Hardcoding) ซึ่งหลังจากที่แฮกเกอร์ได้รับข้อมูลดังกล่าวแล้ว ก็จะทำการส่งคำสั่งผ่านทางเซิร์ฟเวอร์ C2 เพื่อสั่งการให้มัลแวร์ทำงานในขั้นตอนถัดไป
ฟีเจอร์หนึ่งที่มีความน่าสนใจคือ ฟีเจอร์การขโมยข้อมูลที่อยู่บน Clipboard เพื่อขโมยข้อมูลอ่อนไหวต่าง ๆ ที่เหยื่อทำการคัดลอกไว้บน Clipboard เช่น ที่อยู่ในการส่ง หรือ รับเงินคริปโตเคอร์เรนซี, รหัสผ่านต่าง ๆ, ไปจนถึงรหัสกู้กระเป๋าเงินคริปโตเคอร์เรนซี ซึ่งตัวมัลแวร์จะทำการเข้ายึด (Hijacking) และแอบใช้คำสั่งวาง (Paste) แล้วทำการลักลอบส่งออกข้อมูล (Exfiltration) กลับไปยังเซิร์ฟเวอร์ C2 อย่างเงียบเชียบ
ซึ่งเคล็ดลับในการแอบลักลอบส่งข้อมูลอย่างเงียบเชียบนั่นคือ แทนที่ตัวมัลแวร์จะใช้งานช่องทางเครือข่าย (Network Sockets) ที่ถูกเปิดอยู่ หรือกระทั่งเรียกใช้งาน Network API ที่เสี่ยงต่อการถูกตรวจจับ ตัวมัลแวร์จะทำการคัดลอกข้อมูลต่าง ๆ ที่อยู่บน Clipboard แล้วใช้งานฟังก์ชัน SendInput() เพื่อวางข้อความไว้บนแอปพลิเคชันที่ดูไม่น่าสงสัยเพื่อหลอกลวงระบบการตรวจจับ แล้วจัดการส่งออกไปยังเซิร์ฟเวอร์ C2 โดยทางทีมวิจัยยังได้เปิดเผยตัวอย่างโค้ดการใช้ฟังก์ชันนี้มาด้วย ดังนี้
if (OpenClipboard (0164))
{
EmptyClipboard();
hMem = GlobalAlloc(0x2000u, v2 + 1);
Dest = GlobalLock(hMem);
strcpy(Dest, Source);
SetClipboardData(1u, hMem);
CloseClipboard();
pInputs[0].ki.wVk = VK_CONTROL;
pInputs[2].ki.wVk = 'V';
SendInput(4u, pInputs, 40);
}
ซึ่งในการป้องกันนั้น ทางทีมวิจัยได้แนะนำว่า ผู้ใช้งานระดับองค์กรจะต้องมีการจับตามอง (Monitor) พฤติกรรมของการใช้งานเครือข่ายของบริษัทอย่างสม่ำเสมอ เพื่อที่จะสามารถป้องกัน และเข้าแทรกแซงภัยดังกล่าวได้เมื่อถูกตรวจพบ
หลังจากได้รู้จักกับ CastleRAT ซึ่งเป็นมัลแวร์ในกลุ่ม Remote Access Trojan ที่มุ่งเป้าโจมตีผู้ใช้งาน Windows โดยสามารถขโมยข้อมูลที่อยู่ใน Clipboard ซึ่งเป็นข้อมูลส่วนตัวที่เราอาจคัดลอกไว้ เช่น รหัสผ่าน หรือที่อยู่คริปโตเคอร์เรนซี ผมขอแชร์ประสบการณ์และข้อควรระวังเพิ่มเติมสำหรับผู้ใช้งานทั่วไปและองค์กรครับ 1. ตรวจสอบและอัปเดตระบบเสมอ จากที่ผมติดตามข่าว พบว่าการมีระบบปฏิบัติการ Windows ที่ได้รับการอัปเดตล่าสุด จะช่วยลดช่องโหว่ที่มัลแวร์ใช้โจมตีได้พอสมควร 2. ใช้ซอฟต์แวร์แอนตี้ไวรัสและโปรแกรมความปลอดภัยที่น่าเชื่อถือ สาเหตุที่ CastleRAT ใช้โค้ดที่ส่งคำสั่งผ่านฟังก์ชัน SendInput() เพื่อหลอกระบบตรวจจับเป็นเทคนิคที่ฉลาดมาก ผู้ใช้ควรติดตั้งซอฟต์แวร์ที่สามารถตรวจจับพฤติกรรมที่ไม่ปกติในระบบ 3. ระวังการดาวน์โหลดไฟล์หรือคลิกลิงก์จากแหล่งที่ไม่น่าเชื่อถือ เนื่องจากทีมวิจัยไม่ได้ระบุชัดเจนวิธีแพร่กระจายของ CastleRAT แต่โดยปกติมัลแวร์ประเภท RAT มักใช้วิธีนี้ 4. อย่าคัดลอกข้อมูลสำคัญลง clipboard โดยไม่จำเป็น เลี่ยงการเก็บข้อมูลสำคัญบน clipboard นานเกินไป และล้าง clipboard หลังใช้งาน เช่น รหัสผ่านหรือที่อยู่กระเป๋าเงินคริปโต 5. สำหรับองค์กร ควรตั้งระบบเฝ้าระวังพฤติกรรมเครือข่าย และวิเคราะห์ log การใช้งานอย่างสม่ำเสมอ เพื่อพบความผิดปกติที่อาจเกิดจาก RAT จาก OCR โค้ดที่ทางทีมวิจัยเปิดเผย ช่วยให้เราเห็นภาพว่ามัลแวร์ใช้งานฟังก์ชันของ Windows API ในการจัดการ clipboard อย่างไร นี่เป็นเคล็ดลับของ CastleRAT ที่ทำให้ยากต่อการตรวจจับและแอบส่งข้อมูลออกไปยังเซิร์ฟเวอร์แฮกเกอร์ ท้ายที่สุด การรับรู้และเข้าใจพฤติกรรมของมัลแวร์ชนิดนี้จะช่วยให้เราปรับตัวและป้องกันภัยไซเบอร์ได้ดีขึ้น รักษาความปลอดภัยข้อมูลส่วนตัวเป็นเรื่องสำคัญที่ไม่ควรมองข้ามในยุคนี้ครับ
