Lemon8ชุมชนไลฟ์สไตล์
FreedomHack 󱢏
FreedomHack 󱢏

ผู้ติดตาม 3831 คน

ติดตาม
ติดตาม
ติดตาม
รูปภาพของ เทคนิคใหม่ของมัลแวร์บน GitHub ใช้การหั่น Payload (0)
1/2

คุณอาจชอบ

ไม่มีเนื้อหา
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
0 คนบันทึกแล้ว
2

เทคนิคใหม่ของมัลแวร์บน GitHub ใช้การหั่น Payload

พบเทคนิคใหม่ของมัลแวร์บน GitHub ใช้การหั่น Payload เป็นหลายส่วนเพื่อเลี่ยงการถูกตรวจจับ

การปล่อยไฟล์มัลแวร์ หรือ Payload ลงสู่เครื่องของเหยื่อนั้นเรียกได้ว่ามีหลากรูปแบบวิธี ตั้งแต่การดาวน์โหลดลงมาตรง ๆ, การซ่อนโค้ดในรูปภาพ และในครั้งนี้ก็เป็นเทคนิคใหม่อีกอย่างหนึ่งที่มีความน่าสนใจยิ่ง

จากรายงานโดยเว็บไซต์ Help Net Security ได้กล่าวถึงการตรวจพบแคมเปญที่ใช้คลังดิจิทัล หรือ Repo (Repository) ที่มีชื่อเสียงอย่าง Github ในการแพร่กระจายมัลแวร์ด้วยการแอบอ้างว่าเป็นเครื่องมือทำงาน เพื่อมุ่งเน้นการโจมตีไปยังกลุ่มนักพัฒนาซอฟต์แวร์ (Developer), เกมเมอร์, ตลอดจนถึงกลุ่มคนทั่วไปที่หาซอฟต์แวร์ใช้ ซึ่งในกรณีนี้จะเป็นปล่อยไฟล์อิมเมจ (Image) ของซอฟต์แวร์ Docker ซึ่งเป็นส่วนหนึ่งของระบบ OpenClaw Assistant โดยองค์ประกอบของหน้าเพจ Repo ของซอฟต์แวร์ปลอมที่ทางแฮกเกอร์ที่อยู่เบื้องหลังสร้างนั้น เรียกได้ว่ามีการสร้างขึ้นมาอย่างแนบเนียน เช่น มีคู่มือ README ที่เขียนขึ้นอย่างละเอียดบรรจง, มีการบรรจุชื่อผู้ที่เข้าร่วมพัฒนา (Contributor) มากกว่า 500 รายชื่อ โดยมีนักพัฒนาขาประจำบน GitHub ที่ได้รับคะแนนเป็นดาวมากกว่า 568 ดวง, นอกจากนั้นตัวหน้า Repo เองยังได้รับดาวอย่างมากมายอีกด้วย

เมื่อทีมวิจัยตรวจสอบลึกเข้าไปแล้ว พบว่าบัญชี (Account) จำนวนมากที่มาให้ดาวนั้น กลับเป็นบัญชีที่ถูกสร้างขึ้นมาเพื่อการนี้ หรือเป็นที่รู้จักกันทั่วไปว่า แอคหลุม โดยเฉพาะ ซึ่งบัญชีต่าง ๆ เหล่านี้เมื่อเข้าไปตรวจสอบดูแล้วจะพบว่านอกจากการให้ดาว ก็ไม่ได้มีกิจกรรมใด ๆ บน GitHub อีกเลย และเมื่อตรวจสอบลงไปในไฟล์สำหรับการติดตั้งซอฟต์แวร์แล้ว ก็พบว่าภายในนั้นมีการสอดไส้มัลแวร์แบบโทรจัน (Trojan) สำหรับการขโมยข้อมูล หรือ Infostealer ที่ถูกสร้างขึ้นบนพื้นฐานของภาษา LuaJIT ที่มีความสามารถในการหลบเลี่ยงการตรวจจับที่สูง นอกจากนั้นยังมีการใช้กลยุทธ์หลบเลี่ยงด้วยการแยกชิ้นส่วนของ Payload ออกมาเป็น 2 ส่วนในรูปแบบ Component อันประกอบด้วย

ตัวไฟล์สำหรับการรัน 1unc.exe ที่มีการสอดไส้สคริปท์มัลแวร์ในภาษา Lua เอาไว้

ตัวไฟล์สำหรับการตีรวนระบบตรวจจับ (Obfuscation) ชื่อ license.txt

โดยทางทีมวิจัยเผยว่า เมื่อทำการวิเคราะห์ 2 ไฟล์แยกกันก็จะไม่พบสิ่งใดที่ผิดปกติ เนื่องจากทั้ง 2 ไฟล์นั้นจะต้องทำงานร่วมกันถึงจะนำไปสู่การประกอบขึ้นเป็น Payload มัลแวร์ที่สมบูรณ์ ซึ่งหลังจากที่ได้ตัวมัลแวร์ที่สมบูรณ์แล้ว มัลแวร์ก็จะทำการตรวจหาเครื่องมือวิเคราะห์มัลแวร์มากถึง 5 รูปแบบ ซึ่งเป็นส่วนหนึ่งของระบบต่อต้านการถูกวิเคราะห์ (Anti-Analysis) และใช้เทคนิคการถ่วงเวลาการทำงาน (Delayed Execution) เพื่อหลบเลี่ยงการถูกกักในสภาวะแวดล้อมจำลอง (Sandbox) หลังจากนั้นตัวมัลแวร์ก็จะเริ่มทำการตรวจสอบพื้นที่ที่เครื่องตั้งอยู่ (Geolocation), บันทึกภาพหน้าจอบนเครื่องของเหยื่อ (Screenshot), แล้วส่งข้อมูลต่าง ๆ กลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อรอคำสั่งถัดไป

นอกจากความสามารถในข้างต้นแล้ว ทางทีมวิจัยยังพบว่าไฟล์รูปแบบเดียวกันยังปรากฏบน Repo อื่น ๆ เป็นจำนวนมาก โดยแอบอ้างว่าเป็นเครื่องมือสำหรับผู้พัฒนาเครื่องมือปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence), เครื่องมือโกงเกม (Cheat), บอทสำหรับการเทรดคริปโตเคอร์เรนซี เป็นต้น ซึ่งเมื่อตรวจสอบองค์ประกอบหลาย ๆ อย่างทำให้ทางทีมวิจัยสันนิษฐานได้ว่า แฮกเกอร์ที่อยู่เบื้องหลังอาจมีการนำเอาเครื่องมือ AI เข้ามาช่วยในการร่วมสร้างหรือตั้งชื่อไฟล์ปลอม และสร้างคอนเทนต์บนหน้าเพจ Repo จำนวนมากเหล่านี้

#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #github #freedomhack

4/22 แก้ไขเป็น

... อ่านเพิ่มเติมจากประสบการณ์การติดตามข่าวมัลแวร์บนแพลตฟอร์มสาธารณะอย่าง GitHub พบว่าวิธีการซ่อนมัลแวร์ในลักษณะการแบ่ง Payload ออกเป็นหลายส่วนเป็นกลยุทธ์ที่ชาญฉลาดมาก เพราะเมื่อแยกส่วนกันวิเคราะห์ ไฟล์แต่ละไฟล์ดูปกติทั่วไป จึงยากต่อการจับผิด โดยมัลแวร์ที่ใช้ภาษา LuaJIT และเทคนิค Obfuscation ในการหลบตรวจจับนั้น ทำให้ระบบรักษาความปลอดภัยแบบดั้งเดิมตรวจจับได้ยากขึ้นมาก อีกทั้งมัลแวร์ยังปรับใช้วิธี Delayed Execution ลดความเสี่ยงในการตรวจพบใน sandbox อีกด้วย ในมุมมองของนักพัฒนาหรือผู้ใช้ GitHub การดาวน์โหลดเครื่องมือโอเพ่นซอร์ซจากแหล่งที่ไม่น่าเชื่อถือ หรือ Repo ที่มีสมาชิกและกิจกรรมคลุมเครือต้องระมัดระวังเป็นพิเศษ เพราะแฮกเกอร์อาจใช้บัญชีปลอม (แอคหลุม) เพื่อสร้างความน่าเชื่อถือเทียม นอกจากนี้ การใช้ Docker image ปลอม หรือการอ้างเป็นเครื่องมือที่ได้รับความนิยมเช่น AI, บอทเทรดคริปโต หรือเครื่องมือโกงเกม เป็นช่องทางล่อตาล่อใจผู้ใช้กลุ่มเฉพาะ การตรวจสอบไฟล์ติดตั้งและโค้ดด้วยเครื่องมือวิเคราะห์มัลแวร์ที่ทันสมัย รวมถึงการสังเกตพฤติกรรมการติดตั้งและการทำงานของโปรแกรมจึงเป็นเรื่องสำคัญ หากผู้ใช้หรือผู้พัฒนาสังเกตเห็นว่า Repo หรือเครื่องมือที่ดาวน์โหลดมามีข้อมูลผู้ร่วมพัฒนาหรือ Activity ที่ผิดปกติ ควรสงสัยและหลีกเลี่ยงเพื่อป้องกันข้อมูลสำคัญรั่วไหลและความเสียหายที่อาจเกิดขึ้นได้ ผู้ที่สนใจด้านความปลอดภัยไซเบอร์ควรเสริมความรู้เรื่องเทคนิคหลบหลีกการตรวจจับของมัลแวร์แบบนี้ เพราะแฮกเกอร์เริ่มนำ AI มาช่วยสร้างคอนเทนต์หลอกลวง ทำให้ยากต่อการแยกแยะ ความระมัดระวัง การตรวจสอบแหล่งที่มา และการอัพเดตระบบรักษาความปลอดภัยจึงเป็นหัวใจหลักของการป้องกันภัยในยุคดิจิทัลนี้