แฮกเกอร์ขายมัลแวร์ NtKiller ในดาร์กเว็บ
แฮกเกอร์อ้างมัลแวร์ NtKiller สามารถในการปิดการใช้งาน EDR ได้
ในการป้องกันเครื่องคอมพิวเตอร์จากมัลแวร์นั้น คงจะหนีไม่พ้นการใช้เครื่องมืออย่างแอนตี้ไวรัส หรือ เครื่องมือแบบครบเครื่องกว่าเช่น EDR (Endpoints Detection and Response) ทว่าแฮกเกอร์ก็เริ่มจะนำขึ้นครึ่งก้าวอีกครั้งด้วยมัลแวร์ตัวใหม่ที่มีความสามารถในการประมือกับเครื่องมือเหล่านี้ได้อย่างร้ายกาจ
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทีมวิจัยจาก KrakenLabs บริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยไซเบอร์ ทำการตรวจพบว่าแฮกเกอร์ หรือ กลุ่มแฮกเกอร์ที่มีชื่อว่า AlphaGhoul ได้ทำการพัฒนาแต่จัดจำหน่ายมัลแวร์ตัวใหม่ NtKiller ผ่านทางตลาดมืดใต้ดิน โดยได้โอ้อวดว่ามัลแวร์ดังกล่าวนั้นมีความสามารถในการเข้าปิดระบบรักษาความปลอดภัยชื่อดัง ยอดนิยมหลากหลายตัว เช่น Microsoft Defender, ESET, Kaspersky, Bitdefender, และ Trend Micro เป็นต้น นอกจากนั้นตัวมัลแวร์ยังมีโหมดการทำงานอย่างเกรี้ยวกราด (Aggressive Mode) เพื่อใช้งานการฝ่าเครื่องมือ EDR เกรดสำหรับการใช้งานในองค์กร (Enterprise) ได้อีกด้วย ซึ่งการจัดจำหน่ายมัลแวร์นั้นจะขายแบบเป็นโมดูล (Module) เริ่มจากโมดูลหลัก (Core) ที่ขายอยู่ที่ 500 ดอลลาร์สหรัฐ (15,620 บาท) ขณะที่ส่วนเสริมอื่น ๆ อย่าง UAC Bypass และ Rootkit จะถูกขายในราคา 300 ดอลลาร์สหรัฐต่อส่วนเสริม (9,370.20 บาท)
สำหรับข้อมูลในทางเทคนิคนั้นตัวมัลแวร์จะมีการสร้างความคงทนตัวเองอยู่บนระบบ หรือ Persistence ด้วยการฝังตัวเองให้มีการทำงานอัตโนมัติในช่วงการบูตระบบปฏิบัติการ (Startup) เพื่อชิงทำงานก่อนที่ระบบความปลอดภัยที่ถูกติดตั้งไว้จะเริ่มทำงาน ทั้งยังมีความสามารถในการต่อต้านการดีบั๊ก (Anti-Debugging) และ การถูกวิเคราะห์ (Anti-Analysis) ทำให้ไม่สามารถถูกตรวจสอบได้โดยเหล่านักวิจัยด้านภัยไซเบอร์
ในส่วนของส่วนเสริมความสามารถอย่างเช่น UAC Bypass นั้นจะเป็นการฝ่าระบบป้องกันของ User Account Control เพื่อที่จะช่วยให้มัลแวร์สามารถเข้าถึงสิทธิ์การใช้งานระบบในระดับสูง และในขณะเดียวกันการเพิ่มสิทธิ์นั้นจะไม่ส่งผลให้เกิดการแจ้งเตือนเหยื่อว่ามีผู้ใช้งานแปลกปลอมรุกรานมาอัปเกรดสิทธิ์บนระบบ ในขณะที่ส่วนของ Rootkit นั้นจะเป็นในแง่ของการสร้าง Persistence และล�่องหนหลบซ่อนตัวอยู่ภายในระบบอย่างเงียบเชียบไปในขณะเดียวกัน
ทั้งนี้ ทุกอย่างเป็นเพียงแค่การวิเคราะห์จากโฆษณาที่แฮกเกอร์ทำการโม้โอ้อวดไว้ภายในเว็บไซต์ใต้ดินเท่านั้น ยังไม่สามารถยืนยันได้ว่าความสามารถทั้งหมดนี้ทำได้จริงหรือไม่แต่อย่างใด เนื่องจากทางทีมวิจัยยังไม่สามารถเข้าถึงตัวมัลแวร์ตัวจริงได้ในขณะนี้
#ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack
จากประสบการณ์ที่เคยติดตามเรื่องการป้องกันและการโจมตีทางไซเบอร์ พบว่าเทคโนโลยี EDR หรือ Endpoints Detection and Response เป็นเครื่องมือสำคัญสำหรับองค์กรในการตรวจจับและตอบสนองต่อภัยคุกคามอย่างรวดเร็วและมีประสิทธิภาพ แต่เมื่อมีมัลแวร์อย่าง NtKiller ที่ออกแบบมาเพื่อหลบหลีกและปิดการทำงานของ EDR รวมทั้งแอนตี้ไวรัสชั้นนำต่าง ๆ อาจทำให้การป้องกันเดิมไม่สามารถรองรับการโจมตีขั้นสูงได้ การที่ NtKiller มีฟีเจอร์ Persistence ฝังในระบบเพื่อเริ่มทำงานก่อนระบบความปลอดภัย รวมทั้งเทคนิค Anti-Debugging และ Anti-Analysis ทำให้การวิเคราะห์หรือการตรวจจับโดยนักวิจัยหรือโปรแกรมรักษาความปลอดภัยเป็นไปได้ยากมาก นอกจากนี้โมดูลเสริมอย่าง UAC Bypass ช่วยให้มัลแวร์เพิ่มสิทธิ์บนระบบโดยไม่แจ้งเตือนผู้ใช้ ส่วน Rootkit ช่วยให้มัลแวร์ซ่อนตัวได้ลึกและคงทนต่อการตรวจจับ สิ่งที่แนะนำคือผู้ใช้งานและองค์กรควรตระหนักถึงภัยที่อาจเกิดจากมัลแวร์ประเภทนี้ และเพิ่มความระมัดระวังในการดาวน์โหลดหรือเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ รวมถึงต้องมีการอัปเดตซอฟต์แวร์และเครื่องมือรักษาความปลอดภัยอย่างต่อเนื่อง เพื่อเสริมความแข็งแกร่งในการป้องกัน เรียกว่าเป็นการเตรียมพร้อมรับมือกับภัยไซเบอร์ที่พัฒนาขึ้นอย่างรวดเร็วและต่อเนื่อง อย่างไรก็ตาม แม้ข่าวนี้จะยังไม่มีการตรวจสอบมัลแวร์จริง แต่ก็สะท้อนให้เห็นถึงความจำเป็นของการเสริมสร้างความรู้และความเข้าใจในเทคโนโลยีรักษาความปลอดภัยเพื่อให้ทันต่อวิธีการโจมตีที่ซับซ้อนมากขึ้นในปัจจุบัน
