มัลแวร์Remcos RAT กลับมาโจมตีระบบ Windows อีกครั้ง
มัลแวร์ Remcos RAT กลับมาโจมตีระบบ Windows อีกครั้ง ด้วยวิธีที่ร้ายกาจกว่าเดิม
มัลแวร์นั้นในช่วงที่ผ่านมาอาจจะได้เห็นข่าวการออกมาของมัลแวร์ใหม่หลายตัว แต่หลายตัวที่เคยโด่งดังในอดีตถึงแม้จะเงียบหายไปก็ใช่ว่าจะหายไปเลย ในทางตรงกันข้าม ผู้พัฒนามัลแวร์เหล่านี้กลับใช้เวลาที่หายไปในการพัฒนาให้มีความสามารถที่ร้ายกาจมากยิ่งกว่าเดิม เช่นข่าวนี้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) RemcosRAT ครั้งใหม่หลังจากที่ห่างหายไปพักหนึ่งภายใต้ชื่อแคมเปญว่า SHADOW#REACTOR ซึ่งแคมเปญนี้มาพร้อมกับขั้นตอนการฝังมัลแวร์แบบหลากขั้นตอน (Multi-Stages Infection) ที่ร้ายกาจยิ่งกว่าเดิม รวมทั้งยังมีความสามารถในการหลบเลี่ยงการถูกตรวจจับได้อย่างดีเยี่ยม โดยทีมวิจัยจาก Securonix บริษัทผู้เชี่ยวชาญด้านการจัดการกับภัยไซเบอร์ ได้กล่าวถึงขั้นตอนการฝังตัวของมัลแวร์ดังนี้
ตัวมัลแวร์นั้นจะเริ่มจากการรันตัวเรียกใช้งาน (Launcher) ในรูปแบบสคริปท์ VBS (Visual Basic Script) ที่ถูกอำพรางเพื่อสร้างความสับสนให้กับระบบตรวจจับ หรือ Obfuscation ผ่านทาง wscript.exe ซึ่งจะนำไปสู่การเปิดใช้งานมัลแวร์นกต่อ (Downloader) ในรูปแบบ PowerShell ที่จะทำหน้าที่ในการดาวน์โหลดไฟล์มัลแวร์ หรือ Payload ในรูปแบบอักษร (Text) ลงมาจากเซิร์ฟเวอร์ ซึ่งโค้ดในรูปแบบอักษรทั้งหมดนั้นจะถูกนำมาประกอบขึ้นมาใหม่ผ่านทางมัลแวร์นกต่อดังกล่าว มาเป็นมัลแวร์นกต่ออีกตัวหนึ่ง (Loader) ที่ถูกเข้ารหัสไว้ (Encoded) แล้วจึงนำมาถอดรหัส (Decoded) ด้วยการใช้งาน .NET Reactor–Protected Assembly ให้ทำงานบนหน่วยความจำ (Memory) โดยตรง ซึ่งมัลแวร์นกต่อนั้นจะทำการดึงการตั้งค่า (Configuration) ของมัลแวร์ Remcos RAT มาจากเซิร์ฟเวอร์เพื่อนำมาใช้งาน (Apply) และท้ายสุดจึงใช้เทคนิคการใช้งานเครื่องมือที่อยู่บนระบบอยู่แล้ว หรือ Living-off-the-Land (LOL) ด้วยการรันตัวมัลแวร์ผ่านทางเครื่องมือของ Windows ที่มีชื่อว่า MSBuild.exe ซึ่งจะส่งผลให้มัลแวร์ Remcos RAT สามารถเข้าควบคุมระบบของเหยื่อได้อย่างเต็มตัว นับว่าเป็นการเข้าฝังตัวที่มีความซับซ้อนอย่างมาก ทั้งยังสามารถหลบเลี่ยงการตรวจจับได้ดีอีกด้วย
ซึ่งในเชิงเทคนิคนั้นทางทีมวิจัยกล่าวว่ามีความน่าสนใจหลายอย่าง เช่น การใช้งาน Payload ในรูปแบบ Text แล้วนำมาประกอบกันภายหลังเพื่อหลีกเลี่ยงระบบการตรวจจับที่สามารถทำงานได้ถ้ามีการดาวน์โหลดไฟล์ Payload ลงมาตรง ๆ, การใช้งานสคริปท์แบบ VBS ที่เป็นไฟล์ที่ดูไม่เหมือนไฟล์ที่ผู้คนมักใช้งานกันเป็นประจำอย่าง win64.vbs ซึ่งคาดว่าแฮกเกอร์อาจใช้วิธีการหลอกลวงแบบวิศวกรรมทางสังคม (Social Engineering) เพื่อหลอกให้เหยื่อกดลิงก์แล้วนำไปสู่การดาวน์โหลดและรันไฟล์ดังกล่าว
ในส่วนของการทำงานของ PowerShell ก็มีความน่าสนใจตรงที่มีการใช้งาน System.Net.WebClient เพื่อสื่อสารกับเซิร์ฟเวอร์ที่ใช้ในการดึงสคริปท์ VBS ลงมาในขั้นตอนแรกในการดาวน์โหลดไฟล์ Payload ชื่อ "qpwoe64.txt" (หรือ "qpwoe32.txt" สำหรับระบบแบบ 32 Bit) ลงในโฟลเดอร์ชั่วคราว %TEMP% ซึ่งตัวสคริปท์ในขั้นตอนนี้ว่าตัวไฟล์มีความสมบูรณ์หรือไม่ด้วยฟังก์ชัน minLength โดยถ้าไฟล์มีขนาดเล็กกว่าที่กำหนดก็จะทำการหยุดดาวน์โหลดและดาวน์โหลดใหม่ หรือ ช่วงเวลาดาวน์โหลดไม่เกินตามช่วงเวลาหยุดพักระบบ หรือ Timeout จากการตรวจสอบผ่านฟังก์ชัน maxWait ขั้นตอนการติดตั้งมัลแวร์ก็จะทำงานต่อไป
โดยถ้าตัวไฟล์มีเป็นไปตามข้อกำหนดอย่างครบถ้วน ก็จะนำไปสู่การแปลงไฟล์ออกมาเป็นสคริปท์ PowerShell ตัวที่ 2 ที่มีชื่อว่า "jdywa.ps1" ลงบนโฟลเดอร์ชั่วคราว %TEMP% หลังจากนั้นตัว Loader ในรูปแบบ .NET Reactor ก็จะทำการสร้างการคงทนบนระบบ หรือ Persistence ให้กับมัลแวร์, ดาวน์โหลด Payload ตัวถัดไป, และ เพิ่มระบบป้องกันการถูกตรวจสอบด้วยวิธีการดีบั๊ก (Debugging) กับ ระบบป้องกันการทำงานบนสภาวะแวดล้อมจำลอง หรือ Virtual Machine แล้วจึงทำการรันมัลแวร์ผ่านทาง MSBuild.exe แล้วจึงทำการวางสคริปท์ผ่านทาง "wscript.exe" เพื่อสร้างเงื่อนไขในการรันสคริปท์ win64.vbs ขึ้นมาใหม่ ทำให้มัลแวร์สามารถคงอยู่บนระบบได้นานเท่านั้น
โดยมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มธุรกิจขนาดกลางและขนาดย่อม หรือ SME (Small-and-Medium Enterprise) ดังนั้น ผู้ที่ทำงานในองค์กรระดับดังกล่าวควรเตรียมป้องกันตัวให้พร้อม โดยเริ่มจากไม่คลิ๊กลิงก์ที่ได้รับจากกลุ่มคนที่ไม่น่าไว้วางใจอย่างเด็ดขาด
จากประสบการณ์การติดตามภัยไซเบอร์ แคมเปญ SHADOW และการใช้เทคนิคขั้นสูงของ Remcos RAT ถือเป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นเทคนิครับมือกับมัลแวร์ในยุคปัจจุบันที่ไม่เหมือนเดิมอีกต่อไป สิ่งที่น่าสนใจอย่างหนึ่งคือการใช้ไฟล์ Payload ในรูปแบบข้อความ (Text) ที่ต้องนำมาประกอบกันภายหลังแทนการดาวน์โหลดไฟล์โดยตรง วิธีนี้ช่วยป้องกันการตรวจจับจากระบบแอนตี้ไวรัสทั่วไปที่มักจับไฟล์ดาวน์โหลดตรงๆ ได้ง่าย การใช้ VBS Script อำพรางผ่าน wscript.exe ก็เป็นการสร้างความซับซ้อนที่เปิดพื้นที่ให้มัลแวร์สามารถโจมตีได้ในลักษณะที่ผู้ใช้ทั่วไปอาจไม่ทันระวัง ในประสบการณ์การทำงานกับระบบ Windows พบว่าโปรเซสอย่าง MSBuild.exe ที่ถูกนำมาใช้รันมัลแวร์ เป็นเทคนิค Living-off-the-Land ที่ใช้เครื่องมือที่มีอยู่ในระบบอยู่แล้วเพื่อหลีกเลี่ยงการตรวจจับของซอฟต์แวร์ความปลอดภัย ซึ่งทำให้ผู้ดูแลระบบต้องเฝ้าระวังการใช้งานเครื่องมือระบบที่ผิดปกติ เช่น การรัน MSBuild.exe กับไฟล์สคริปท์ที่ไม่คุ้นเคย การแพร่ระบาดของ Remcos RAT ครั้งนี้เน้นโจมตีกลุ่มธุรกิจ SME ซึ่งอาจจะไม่มีระบบป้องกันที่แข็งแรงเท่ากับองค์กรขนาดใหญ่ ดังนั้นขอแนะนำให้ทีม IT ขององค์กรเตรียมมาตรการป้องกันอย่างเข้มข้น โดยเริ่มจากการอบรมพนักงานให้รู้เท่าทันกลยุทธ์วิศวกรรมสังคม (Social Engineering) อย่างเช่น การหลอกให้คลิกลิงก์จากแหล่งที่ไม่น่าเชื่อถือ รวมถึงตรวจสอบ Process ที่ทำงานบนเครื่องอย่างสม่ำเสมอ ท้ายที่สุด การอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสให้ทันสมัยพร้อมตรวจสอบกิจกรรมผิดปกติบนระบบอย่างต่อเนื่อง จะช่วยลดความเสี่ยงในการโดนโจมตีจากมัลแวร์ที่พัฒนาไปอย่างรวดเร็ว เช่น Remcos RAT นี้ได้ดีขึ้นมาก
