แคมเปญมัลแวร์ EtherRAT และ EtherHiding
พบแคมเปญมัลแวร์ EtherRAT และ EtherHiding มีการใช้เทคนิคพิเศษซ่อนโครงสร้างพื้นฐานไว้บน Ethereum
เมื่อพูดถึง Ethereum หรือ ETH นั้นหลายคนอาจจะนึกถึงเหรียญคริปโตเคอร์เรนซีที่โด่งดังที่สุดจนเป็นรองแค่เพียง Bitcoin เท่านั้น แต่ตัวเครือข่ายบล็อกเชนของระบบ Ethereum นี้ กลับสามารถช่วยเสริมสร้างให้ระบบโครงสร้างพื้นฐาน (Infrastructure) ของมัลแวร์มีความแข็งแกร่งอีกด้วย
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ชื่อ EtherRAT (แหล่งข่าวได้ระบุว่ามีความสามารถเป็นมัลแวร์แบบเปิดประตูหลังของระบบ หรือ Backdoor อีกด้วย) โดยทางทีมวิจัยจาก eSentire บริษัทผู้พัฒนาเครื่องมือต่อต้านภัยไซเบอร์แบบ (Endpoint Detection and Response) ซึ่งสามารถตรวจจับการมีอยู่ของมัลแวร์ตัวนี้ได้จากระบบของลูกค้าที่ใช้บริการจากทางบริษัทอยู่ในช่วงเดือนมีนาคมที่ผ่านมา โดยหลังจากที่ทำการตรวจสอบแล้วพบว่า มัลแวร์ตัวนี้มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์จากประเทศเกาหลีเหนือ ที่ใช้การหลอกลวงเหยื่อให้เข้ารับการสัมภาษณ์งาน และในบางครั้ง อาจหลอกลวงเหยื่อว่าเป็นทีมงานไอทีที่ต้องเข้ามาจัดการปัญหาของระบบ นำมาสู่การที่มัลแวร์ดังกล่าวสามารถแทรกซึมเข้าสู่ระบบได้
ซึ่งในส่วนของการหลอกลวงเพื่อเข้าสู่เครื่องเหยื่อนั้นเรียกได้ว่ามีหลากหลาย เช่น แบบแรกคือหลังจากที่แฮกเกอร์จัดการเกลี้ยกล่อมเหยื่อจนเชื่อใจได้แล้ว แฮกเกอร์ก็จะหลอกให้เหยื่อกดเข้าลิงก์ปลอม ที่จะพาเหยื่อไปยังเว็บไซต์ หลอกให้เหยื่อพบกับคำแจ้งเตือนข้อผิดพลาดปลอมแล้วหลอกให้รันคำสั่งดาวน์โหลด และติดตั้งมัลแวร์ลงบนเครื่องซึ่งจะเป็นการรันคำสั่งผ่านทาง pcalua.exe ให้ทำการดึง (Fetch) สคริปท์แบบ HTA (HTML Application) ของมัลแวร์ลงมารันติดตั้งบนเครื่อง ซึ่งเป็นวิธีที่เรียกว่า ClickFix และอีกวิธีหนึ่งคือ การหลอกลวงเหยื่อผ่านทางโปรแกรมอย่าง Microsoft Team แล้วเข้าสู่ระบบของเหยื่อผ่านทางเครื่องมืออย่าง QuickAssist เพื่อเข้าสู่เครื่องของเหยื่อโดยที่ไม่ได้รับอนุญาต
และที่พิเศษกว่ามัลแวร์หลาย ๆ ตัวคือ มัลแวร์ตัวนี้ใช้วิธีการหลบซ��่อนโครงสร้างพื้นฐานไว้บนเครือข่ายของ Ethereum ด้วยเทคนิค EtherHiding ซึ่งเป็นเทคนิคที่นำเอาระบบสัญญาอัจฉริยะ หรือ Smart Contract เข้ามาใช้งานช่วยเหลือในการติดต่อระหว่างเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) กับตัวมัลแวร์ ให้สามารถติดต่อกันได้ตลอดเวลาถึงแม้ทางฝ่ายเหยื่อจะพยายามตัดการเชื่อมต่อก็ตาม
ซึ่งการทำงานของเทคนิคนี้คือ หลังจากที่ได้มีการรันมัลแวร์ขึ้นมา ตัวมัลแวร์ก็จะทำการส่งคำขอ (Quries) ไปยัง Ethereum RPC Providers ที่เป็นสาธารณะ (Public) หลาย ๆ แห่ง เพื่อที่จะเลือกตัวที่มีความสม่ำเสมอ (Consistent) ที่สุดในการนำเอามาใช้ในการเป็นที่อยู่ติดต่อของเซิร์ฟเวอร์ C2 แล้วทางแฮกเกอร์ที่จัดการในส่วนของเซิร์ฟเวอร์ ก็จะทำการเชื่อมต่อเซิร์ฟเวอร์กับที่อยู่ใหม่นี้ด้วยการตั้งค่าผ่านทาง setString ซึ่งทำให้ในเวลาเดียวกัน เครื่องที่ติดมัลแวร์ทั้งหมดก็จะทำการติดต่อมายังที่อยู่เซิร์ฟเวอร์บนเครือข่าย Ethereum นี้อย่างอัตโนมัติโดยที่ไม่ต้องลงมัลแวร์ซ้ำบนเครื่องต่าง ๆ และเพื่อที่จะช่วยให้การตรวจจับสามารถทำได้ยากยิ่งขึ้น ตัวมัลแวร์ก็จะทำการปลอมการส่งข้อมูลผ่านช่องทางการจราจรข้อมูล (Traffic) ให้เหมือนการส่งคำขอแบบ CDN Request ตามปกติ นอกจากนั้นในส่วนของ Beacon URL นั้นเองก็มีการจัดทำให้เหมือนกับคำเรียกขอไฟล์ตามแบบปกติที่เป็นค่าคงที่ (Static File Request) โดยสกุลไฟล์ที่ร้องขอนั้นก็ไม่มีสิ่งที่บอกความผิดปกติแต่อย่างใด ซึ่งตัวไฟล์มักจะลงท้ายด้วยสกุล .ico, .png, หรือ .css
ที่ไปไกลกว่านั้น ในบางครั้งตัวมัลแวร์ก็อาจจะทำการส่งโค้ดต้นฉบับ (Source Code) ไปยังเซิร์ฟเวอร์ C2 เพื่อขอโค้ดต้นฉบับตัวใหม่ในฉบับปรับปรุง มาเขียนทับตัวเดิม ส่งผลให้เครื่องมือตรวจจับคุณลักษณะของมัลแวร์ (Signature-based Defense) ตรวจจับได้ยากกว่าเดิมอีกด้วย นอกจากนั้นในส่วนของการสร้างความคงทนของระบบนั้น ตัวมัลแวร์ยังได้ทำการเข้าแก้ไขในส่วน Windows Registry ในส่วนของกุญแจ Run (Run Key) กับการเพิ่มตัว Entry ที่ถูกตั้งชื่อด้วยค่าเลขฐานหก (Hexadecimal) ที่มีความยาว 12 ตัวอักษรในแบบสุ่ม เพื่อป้องกันการตรวจจับด้วยรูปแบบซ้ำ ๆ (Pattern Detection) ซึ่งตัวมัลแวร์นั้นจะทำการรันตัวเองผ่านทาง conhost.exe ในโหมดไร้ค่าส่วนหัว (Headless Mode)
สำหรับการป้องกันนั้น ทางทีมวิจัยได้แนะนำให้ผู้ใช้งานทำการปิดใช้งาน mshta.exe และ pcalua.exe ผ่านทาง AppLocker หรือ Windows Defender Application Control (WDAC) เพื่อป้องกันไม่ให้สคริปท์��ของมัลแวร์สามารถทำงานได้บนเครื่อง
แคมเปญมัลแวร์ EtherRAT ที่ใช้เทคนิค EtherHiding บนเครือข่าย Ethereum เป็นกรณีศึกษาที่แสดงให้เห็นถึงวิวัฒนาการของมัลแวร์ที่ซับซ้อนขึ้นเรื่อย ๆ ในยุคที่บล็อกเชนและเทคโนโลยีสัญญาอัจฉริยะเริ่มเข้ามามีบทบาท แม้ว่าหลายคนจะรู้จัก Ethereum ในฐานะเหรียญคริปโตชื่อดัง แต่ระบบบล็อกเชนนี้กลับถูกนำมาใช้โดยแฮกเกอร์เพื่อซ่อนโครงสร้างพื้นฐานของมัลแวร์ ลดความเสี่ยงในการถูกตรวจจับผ่านเครือข่ายปกติ จากประสบการณ์ส่วนตัว การติดตามข่าวและงานวิจัยด้านความปลอดภัยไซเบอร์แสดงให้เห็นว่า เทคนิค EtherHiding นั้นโดดเด่นมาก เพราะใช้ระบบ Smart Contract ที่ปกติถูกใช้เพื่อจัดการธุรกรรมบน Ethereum มาดัดแปลงเพื่อเป็นตัวกลางติดต่อกับเซิร์ฟเวอร์ควบคุมของมัลแวร์ ช่วยให้มัลแวร์ติดต่อกับเซิร์ฟเวอร์ได้แม้เกิดการถูกตัดขาดจากระบบปกติ ทำให้การป้องกันตามวิธีดั้งเดิม เช่น การบล็อก IP หรือ DNS อาจไม่เพียงพอ ข้อควรระวังสำหรับผู้ใช้ทั่วไปคือ หากได้รับข้อความชวนสมัครงาน หรือขอความช่วยเหลือด้านไอทีจากช่องทางที่ไม่น่าไว้วางใจ ควรระมัดระวัง ไม่กดลิงก์หรืออนุญาตให้เข้าถึงเครื่องคอมพิวเตอร์อย่างง่ายดาย เพราะแฮกเกอร์สามารถใช้ช่องทางนี้หลอกล่อให้โหลดมัลแวร์ผ่านกระบวนการที่ซับซ้อน เช่น การเรียกใช้ pcalua.exe เพื่อดึงและเรียกสคริปต์ติดตั้งมัลแวร์ จากประสบการณ์ในการดูแลระบบคอมพิวเตอร์พบว่าการปิดใช้งาน mshta.exe กับ pcalua.exe โดยใช้ฟังก์ชัน AppLocker หรือ WDAC เป็นวิธีที่มีประสิทธิภาพ เพราะจะป้องกันสคริปต์ที่ใช้ในการติดตั้งมัลแวร์ไม่ให้ทำงาน อีกทั้งการตรวจสอบและลบ Entry แปลกปลอมใน Windows Registry โดยเฉพาะใน Run Key ก็ช่วยป้องกันมัลแวร์ที่พยายามฝังตัวและรันอัตโนมัติได้ แนะนำให้ผู้ใช้และองค์กรเทรนพนักงานให้ระมัดระวังการคลิกลิงก์และเปิดเอกสารแนบจากที่ไม่รู้จัก รวมถึงติดตั้งและอัพเดตระบบป้องกันมัลแวร์อย่างสม่ำเสมอ เพื่อจะได้ทันมัลแวร์รุ่นใหม่ ๆ ที่มีเทคนิคหลบซ่อนขั้นสูงอย่าง EtherRAT สุดท้าย แม้ว่าจะเป็นเรื่องท้าทาย แต่การเข้าใจเทคนิคของมัลแวร์และการเฝ้าระวังด้วยเครื่องมือขั้นสูง เช่น Endpoint Detection และ Response จะช่วยให้เราปกป้องอุปกรณ์และข้อมูลสำคัญได้อย่างมีประสิทธิภาพมากขึ้น
