มัลแวร์สามารถแกล้งตาย เพื่อหลบเลี่ยงการถูกตรวจจับ

นักวิจัยเตือน มัลแวร์สามารถแกล้งตาย เพื่อหลบเลี่ยงการถูกตรวจจับได้แล้ว

มัลแวร์ในยุคปัจจุบันนั้นจะมีการใช้หลากกลยุทธ์ และวิธีการ เพื่อที่จะหลีกเลี่ยงการถูกตรวจจับโดยระบบป้องกันต่าง ๆ บางวิธีนั้นก็ฟังดูเหลือเชื่อ แต่ใช้งานได้ผล

จากรายงานโดยเว็บไซต์ Digit News ได้กล่าวถึงการตรวจพบกลยุทธ์การแฝงตัวของมัลแวร์ที่นอกจากจะช่วยเลี่ยงการถูกตรวจจับแล้ว ยังสามารถที่จะหลบเลี่ยงการถูกตรวจจับได้แล้ว ยังสามารถแฝงตัวอยู่ภายในระบบเป็นเวลายาวนานได้อีกด้วย ซึ่งรายงานจากทีมวิจัยแห่ง Picus Labs บริษัทผู้เชี่ยวชาญด้านการวิจัยและตรวจสอบภัยไซเบอร์ ได้เรียกวิธีการดังกล่าวว่า การ “แกล้งตาย” ซึ่งการตรวจพบวิธีการดังกล่าวนั้นมาจากการตรวจสอบไฟล์อันตรายจำนวนมากถึง 1.1 ล้านไฟล์ และ 15.5 ล้านการทำงาน (Action) ของไฟล์มัลแวร์ต่าง ๆ ที่เกิดขึ้นในปี ค.ศ. 2025 (พ.ศ. 2568) พบว่า มากกว่า 80% ของทั้งหมดนั้นมีการทำงานในรูปแบบล่องหน (Stealth) และมีความคงทนอยู่ในระบบของเหยื่อ (Persistence)

โดยในการตรวจสอบกลุ่มไฟล์ดังกล่าว ทางทีมวิจัยก็ได้ตรวจพบมัลแวร์บางกลุ่มที่มาพร้อมกับคุณลักษณะ (Characrteristic) แบบใหม่ที่ไม่เคยตรวจพบมาก่อน เช่น มัลแวร์ LummaC2 ตัวหนึ่งที่มีการใช้การคำนวณแบบตรีโกณมิติ โดยใช้การคำนวณความห่างแบบยูคลิด เพื่อตรวจสอบการทำงานของเมาส์ระหว่างคนจริง ๆ กับการทำงานที่ถูกสั่งการโดยระบบจำลองสภาพแวดล้อมอย่าง Sandbox ซึ่งถ้าตรวจจับได้ ตัวมัลแวร์ก็จะหยุดทำงาน และฝังตัวอยู่ในระบบอย่างเงียบ ๆ จนกว่าจะถึงเวลาที่เหมาะสมแทน ซึ่งทางทีมวิจัยเรียกวิธีการนี้ว่าการแกล้งตาย

นอกจากการใช้คณิตศาสตร์เพื่อตรวจสอบแล้ว ยังพบอีกว่า มัลแวร์หลายตัวยังใช้วิธีการตรวจสอบระบบแบบหลากแง่มุมว่า มีการใช้งานการจำลองเครื่อง (VM หรือ Virtual Machine) อยู่บนฮาร์ดแวร์, รีจิสทรี (Registry), หรือการตั้งค่าระบบ (System Configuration) หรือไม่ ซึ่งถ้าตรวจพบ ตัวมัลแวร์ก็จะทำการหยุดทำงาน และเฝ้ารออยู่ในระบบเช่นเดียวกัน

ไม่เพียงเท่านั้น ตัวงานวิจัยยังเปิดเผยว่า การยิงโค้ดของมัลแวร์ลงไปยังตัว Process (Process Injection) เพื่อแฝงตัวทำงานอยู่บนระบบของเหยื่อนั้น เป็นวิธีการแฝงตัวของมัลแวร์ที่เป็นที่นิยมติดต่อกันมาถึง 3 ปีซ้อน นับจากปีที่ทำการวิจัยอีกด้วย ซึ่งวิธีการนี้นั้นทางทีมวิจัยได้ตั้งชื่อว่า เป็นวิธีการแบบปรสิตดิจิทัล (Digital Parasite) โดยวิธีการแบบดังกล่าวนั้นครอบถึงกลุ่มผู้ใช้งานมัลแวร์เพื่อการเรียกค่าไถ่ หรือ Ransomware เช่นเดียวกัน ซึ่งกลุ่มแฮกเกอร์แบบดังกล่าวนั้นได้มีความนิยมในการใช้วิธีการล็อคไฟล์อย่างโฉ่งฉ่าง (Encrypted Files for Impact) น้อยลงถึง 36% เลยทีเดียว

#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #lemon8ไดอารี่ #freedomhack

3/7 แก้ไขเป็น

... อ่านเพิ่มเติมจากประสบการณ์ที่เคยทำงานเกี่ยวกับการป้องกันภัยคอมพิวเตอร์ มัลแวร์ที่มีพฤติกรรมแบบแกล้งตายถือเป็นภัยที่ท้าทายมาก ๆ เพราะมันใช้วิธีการหยุดทำงานเมื่อรู้ว่าถูกจับตามอง ซึ่งทำให้ระบบรักษาความปลอดภัยทั่วไปตรวจจับได้ยากขึ้นอย่างมาก มัลแวร์ประเภทนี้มักจะตรวจสอบสภาพแวดล้อมจริง ๆ ด้วยวิธีแปลกใหม่ เช่น การวัดความเคลื่อนไหวของเมาส์ เพื่อแยกแยะระหว่างการใช้งานของคนจริงกับการทำงานใน Sandbox ซึ่งเป็นระบบจำลองเพื่อตรวจจับมัลแวร์ ถ้าระบบสังเกตเห็นความผิดปกติ มัลแวร์จะหยุดทำงานและรอเวลาที่เหมาะสมก่อนโจมตีจริง วิธีนี้ช่วยให้มันสามารถแฝงตัวอยู่ในระบบได้นานโดยไม่มีใครสังเกตเห็น ยิ่งไปกว่านั้น มัลแวร์ยังมีการตรวจสอบความเป็นจริงในระดับลึก เช่น เช็คการใช้งาน Virtual Machine (VM) หรือดูค่าบน Registry และ System Configuration เพื่อให้แน่ใจว่าระบบไม่ใช่สภาพแวดล้อมจำลองก่อนจะลงมือโจมตี สำหรับผู้ดูแลระบบและผู้ใช้ทั่วไป สิ่งสำคัญคือควรใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่ทันสมัย และมีเทคโนโลยีตรวจจับพฤติกรรมแปลกปลอม (behavior-based detection) เพื่อเสริมความปลอดภัย ไม่ใช่พึ่งพาแค่การสแกนหาไวรัสแบบเก่าเท่านั้น ในมุมมองส่วนตัว การที่มัลแวร์โจมตีด้วยวิธี Digital Parasite และไม่พึ่งพาการเข้ารหัสไฟล์มากเหมือนก่อน ทำให้เราอาจเห็นการเปลี่ยนแปลงรูปแบบของการโจมตีในอนาคต ซึ่งควรเตรียมพร้อมด้วยการทำสำรองข้อมูลอย่างสม่ำเสมอและเพิ่มการอบรมให้พนักงานมีความรู้เรื่องมัลแวร์ยุคใหม่ สุดท้ายแล้ว การเข้าใจพฤติกรรมมัลแวร์แบบแกล้งตาย จะช่วยให้เราปรับปรุงระบบรักษาความปลอดภัยให้รับมือกับภัยสมัยใหม่ได้ดียิ่งขึ้น และยังช่วยให้ผู้ใช้ทั่วไปตระหนักถึงความเสียงที่อาจแฝงมาโดยไม่รู้ตัวอีกด้วย