มัลแวร์ Masjesu มุ่งเล่นงานอุปกรณ์ IoT
มัลแวร์ Masjesu มุ่งเล่นงานอุปกรณ์ IoT พร้อมเลี่ยงการถูกตรวจจับจากเครือข่ายของทางรัฐ
มัลแวร์ประเภทเปลี่ยนเครื่องของเหยื่อให้เป็นเครือข่ายสำหรับระดมยิงเครือข่ายที่ใหญ่กว่า หรือ Botnet นั้นเรียกได้ว่ามีอยู่มากมายหลายตัว แต่มักจะถูกตรวจสอบได้ยากเพราะมักแทรกซึมไปยังอุปกรณ์ที่ไม่สามารถถูกตรวจสอบด้วยเครื่องมือทั่วไป เช่น อุปกรณ์ IoT (Internet-of-Things) ดั่งเช่นในข่าวนี้
จากรายงานโดยเว็บไซต์ Security Affair ได้กล่าวถึงการตรวจพบมัลแวร์ Masjesu ซึ่งเป็นมัลแวร์ประเภท Botnet โดยผลนั้นพบว่ามัลแวร์ตัวนี้มีความร้ายกาจมาก จากการที่สามารถระบาด และแอบฝังตัวบนระบบต่าง ๆ ได้มาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2566) เนื่องด้วยสามารถในการล่องหนลอยในระบบได้อย่างแนบเนียนมาโดยตลอด โดยมัลแวร์ตัวนี้มีความคงทนอยู่ภายในระบบ (Persistent) ที่สูงมาก ด้วยการปลอมตัวเป็นไฟล์ระบบ (System File) เช่น /usr/lib/ld-unix.so.2 เป็นต้น และทำการติดตั้ง cron job เพื่อให้ตัวมัลแวร์สามารถรันขึ้นมาใหม่ได้ทุก 15 นาที ทั้งยังสามารถปิด Process ต่าง ๆ ที่จำเป็น เช่น wget, curl, sshd แล้วทำการล็อกโฟลเดอร์ /tmp เพื่อให้สามารถควบคุมเครื่องได้อย่างเบ็ดเสร็จ
ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีความสามารถเข้าถึงเหยื่อได้อย่างหลากหลายผ่านการใช้งานฟังก์ชัน Createchildrenreplic() เพื่อสแกนหาหมายเลขไอพีของอุปกรณ์ IoT แบรนด์ต่าง ๆ ที่มีช่องโหว่ความปลอดภัยอยู่แบบสุ่ม โดยครอบคลุมถึง D-Link, GPON, และ Netgear เป็นต้น แต่ก็หลีกเลี่ยงในการเข้าถึงเครือข่ายที่มีชื่อเสียงเพื่อหลบเลี่ยงการถูกตรวจจับ เช่น ตัวมัลแวร์จะเลี่ยงการเข้าถึงเครือข่ายของรัฐบาลด้วยการเลี่ยงการเข้าสู่กลุ่มหมายเลขไอพี (IP Range) ของกระทรวงกลาโหมสหรัฐฯ (U.S. Department of Defense) เป็นต้น ด้วยการระบุไว้บนรายชื่อการบล็อก (Blocklist) นอกจากนั้นเพื่อให้ตรวจจับในช่วงของการเข้าถึงระบบได้ยากยิ่งขึ้น ยังมีการใช้วิธีการปกปิดตัวเองด้วยการเข้ารหัสค่าสตริง (String), ค่าการตั้งค่า (Config), และตัวไฟล์มัลแวร์ (Payload) ไว้ด้วยระบบการเข้ารหัส (Encryption) แบบ XOR
โดยหลังจากที่ตัวมัลแวร์สามารถฝังลงบนระบบได้อย่างสมบูรณ์แล้ว ตัวมัลแวร์ก็จะทำติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อรับคำสั่งในการโจมตีเครือข่ายแบบ DDoS (Distributed Denial-of Service) ด้วยวิธีการระดมยิง (Flood) ผ่านทางโปรโตคอลต่าง ๆ เช่น TCP, UDP, และ HTTP ตามแต่คำสั่งที่จะได้รับมาผ่านทางเซิร์ฟเวอร์ C2 นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการใช้งานโดเมนของเซิร์ฟเวอร์ C2 ได้อย่างหลากหลายด้วยระบบหมายเลขไอพีสำรอง (Fallback IP) จำนวนมาก ทั้งยังมีความสามารถในการดาวน์โหลดมัลแวร์ (Payload) ตัวอื่น ๆ จากเซิร์ฟเวอร์ C2 ลงมาติดตั้งด้วย แคมเปญที่มัลแวร์ตัวนี้ระดมเครื่องของเหยื่อในเครือข่ายเพื่อโจมตีระบบใหญ่ก็มีความรุนแรงมาก โดยสามารถยิงได้ไวถึง 290 Gbps เลยทีเดียว ซึ่งจากการตรวจสอบการจราจรของข้อมูล (Traffic) พบว่าเครือข่ายของเครื่องที่ติดมัลแวร์ตัวนี้มีการกระจายตัวอยู่ในหลากหลายประเทศไม่ว่าจะเป็น เวียดนาม, ยูเครน, อิหร่าน, บราซิล, เคนย่า, และอินเดีย โดยการโจมตีนั้นจะพุ่งเป้าไปยังเซิร์ฟเวอร์เกม และ เครือข่ายของบริษัทต่าง ๆ
มัลแวร์ตัวนี้ถูกวางจำหน่ายในรูปแบบเช่าใช้ หรือ MaaS (Malware-as-a-Service) แต่ถูกโฆษณาโปรโมตให้บริการยิงระบบรับจ้าง (DDoS-for-Hire) ซึ่งตัวมัลแวร์ตัวนี้ถูกปล่อยเช่าผ่านทางช่อง “Masjesu Botnet / 僵尸网络” ของแฮกเกอร์บนบริการแชทชื่อดัง Telegram โดยมีการโฆษณาว่าสามารถเข้าฝังตัวบนเครื่องมือ IoT ได้มากมายหลากหลายชนิด เช่น เราเตอร์ และ เกตเวย์ (Gateway) ต่าง ๆ นอกจากนั้นยังสนับสนุนการทำงานบนสถาปัตยกรรม (Architecture) หลากรูปแบบ เช่น 386, MIPS, ARM, SPARC, PPC, 68K, และ AMD64 เป็นต้น
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #masjesu #freedomhack
จากประสบการณ์ส่วนตัวในการดูแลระบบเครือข่ายที่มีอุปกรณ์ IoT หลายประเภท สิ่งที่พบเจอคือความเสี่ยงจากมัลแวร์ Masjesu ที่อาศัยช่องโหว่ของเราเตอร์และเกตเวย์ต่าง ๆ เป็นช่องทางเข้าสู่ระบบ แม้ว่าจะเป็นมัลแวร์ที่มีความซับซ้อนและทนทานสูง แต่มันก็มีจุดที่ผู้ใช้และผู้ดูแลระบบสามารถป้องกันได้ เช่น การอัปเดตเฟิร์มแวร์ของอุปกรณ์อย่างสม่ำเสมอ และปิดฟีเจอร์ที่ไม่จำเป็นที่อาจมีช่องโหว่ สิ่งสำคัญที่ควรระวังคือ Masjesu สามารถจัดการและปิดโปรเซสที่จำเป็นอย่าง wget, curl, sshd ทำให้ไม่สามารถตรวจจับและแก้ไขได้ง่าย ๆ ซึ่งหมายความว่าการสแกนหาไวรัสหรือมัลแวร์ปกติอาจไม่เพียงพอ สำหรับผู้ที่มีอุปกรณ์ IoT แนะนำให้ตั้งค่าระบบเครือข่ายให้ปลอดภัยด้วยการใช้ไฟร์วอลล์สำหรับล็อกไอพีที่ไม่พึงประสงค์ และจำกัดการเข้าถึงอินเทอร์เน็ตจากอุปกรณ์ที่มีความเสี่ยงสูง อีกหนึ่งเทคนิคที่ Masjesu ใช้คือการเข้ารหัสข้อมูลและซ่อนสตริงต่าง ๆ ในไฟล์มัลแวร์ด้วย XOR ทำให้วิธีตรวจจับด้วยซอฟต์แวร์ทั่วไปยากขึ้น ดังนั้นจึงแนะนำให้ใช้เครื่องมือวิเคราะห์เครือข่ายที่มีความสามารถเจาะลึก (Deep Packet Inspection) รวมถึงติดตามพฤติกรรมที่ผิดปกติของทราฟฟิกเช่น ปริมาณการรับส่งข้อมูลที่สูงผิดปกติ ซึ่งอาจเป็นสัญญาณของการโดนโจมตี DDoS ส่วนตัวผมพบว่า การเข้าร่วมกลุ่มหรืออ่านข้อมูลข่าวสารจากผู้เชี่ยวชาญในวงการความปลอดภัยไซเบอร์ เช่นช่อง Telegram ที่พูดถึง Masjesu Botnet หรือ MaaS สามารถช่วยให้รับรู้เทคนิคใหม่ ๆ ของมัลแวร์และแนวทางป้องกันได้ทันการณ์ นอกจากนี้การให้ความรู้แก่บุคคลในบ้านหรือองค์กรเกี่ยวกับความเสี่ยงของอุปกรณ์ IoT ที่ไม่ได้รับการป้องกันเป็นอีกหนึ่งทางเผยแพร่ความปลอดภัยที่มีผลดีมากๆ ท้ายที่สุดแล้ว การป้องกันมัลแวร์เช่น Masjesu ต้องอาศัยการอัปเดตซอฟต์แวร์ ความรู้ และเครื่องมือเจาะลึกเพื่อตรวจจับมัลแวร์ที่พยายามซ่อนตัวอย่างแนบเนียน การเฝ้าระวังและตอบสนองอย่างรวดเร็วจะช่วยลดโอกาสความเสียหายจากการโจมตี DDoS ที่มีความเร็วสูงและแพร่กระจายไปยังหลายประเทศได้อย่างมีประสิทธิภาพ
