พบมัลแวร์ Quasar Linux ล่องหนได้
พบมัลแวร์ Quasar Linux ล่องหนได้ มุ่งโจมตีเหล่านักพัฒนาซอฟต์แวร์
การทำอาชีพนักพัฒนาซอฟต์แวร์ หรือ Developer หรือ เรียกสั้น ๆ ว่า Dev นั้น ในปัจจุบันเรียกได้ว่ามีชีวิตที่ยากลำบากเนื่องจากต้องต่อสู้กับทั้งระบบปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence), การเลิกจ้าง, คู่แข่งในวงการจำนวนมาก และยังต้องตกเป็นเป้าหมายหลักของแฮกเกอร์ และมัลแวร์อีกด้วย เช่น ข่าวนี้
จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ที่มีชื่อว่า Quasar Linux (QLNX) โดยมัลแวร์ดังกล่าวนั้นเป็นลูกผสมกันระหว่างมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor), มัลแวร์ขโมยรหัสผ่าน (Credential Stealer) และมัลแวร์ประเภทเข้าควบคุมระบบเครื่องในระดับลึก (Rootkit) ซึ่งมัลแวร์ตัวนี้จะทำงานในสภาวะแวดล้อม (Environment) สำหรับการพัฒนาซอฟต์แวร์ เช่น npm, PyPI, GitHub, AWS, Docker และ Kubernetes ทำให้นอกจากตัวมัลแวร์จะสามารถโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ได้แล้ว ยังอาจนำไปสู่การทำการโจมตีในวงกว้างด้วยการทำการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) หรือการสอดไส้มัลแวร์ลงไปในแพ็คเกจ (Package) ซอฟต์แวร์แล้วทำการเผยแพร่ (Publish) ผ่านทางช่องทางดังกล่าว
ในด้านการแอบซ่อนตัวเองอยู่บนระบบนั้น ทางทีมวิจัยจาก Trend Micro บริษัทผู้พัฒนาเครื่องมือต่อต้านภัยไซเบอร์ชื่อดัง พบว่าตัวมัลแวร์มีความสามารถในการล่องหน (Stealth) แฝงตัวอยู่บนระบบอย่างเนียน ๆ ได้อย่างยาวนาน ด้วยการใช้วิธีการหลายอย่าง เช่น การรันบนหน่วยความจำโดยตรง (In-Memory Execution), การลบไฟล์ติดตั้ง (Binary) ของตัวมัลแวร์ออกจากระบบ, การลบบันทึกการทำงาน (Log Wiping), การแฝงตัวอยู่ใน Process ที่ปลอมชื่อจนเหมือน Process ทั่วไป (Process Sproofing) และการลบหลักฐานร่องรอยสำหรับตรวจสอบ (Forensic Environment Variables) ต่าง ๆ ซึ่งในส่วนของการคงทนตัวเองอยู่บนระบบ (Persistence) นั้นตัวมัลแวร์ได้มีการใช้กลไก (Mechanic) มากถึง 7 ตัว คือ LD_PRELOAD, systemd, crontab, init.d scripts, XDG autostart และ ‘.bashrc’ injection ซึ่งจะช่วยรับประกันได้ว่า ตัวมัลแวร์จะอยู่บนระบบได้นานเท่านาน
สำหรับในส่วนของฟังก์ชันการทำงานของมัลแวร์นั้น ก็ได้แบ่งออกเป็นฟังก์ชันมากมายถึง 7 ตัวเช่นเดียวกัน ดังนี้
ฟังก์ชันแบบมัลแวร์ที่เข้าถึงระบบจากระยะไกล (RAT หรือ Remote Access Trojan) ซึ่งเป็นแกนกลางหลัก (Core) ของมัลแวร์ตัวนี้ ซึ่งตัวฟังก์ชันนี้จะมีการรองรับการใช้งานคำสั่ง (Command) สำหรับจัดการกับเครื่องของเหยื่อมากถึง 58 คำสั่ง โดยครอบคลุมถึง การเข้าถึง Shell (Shell Access), การจัดการไฟล์และ Process, การควบคุมระบบ (System Control), และการจัดการระบบเครือข่าย (Network) โดยตัวฟังก์ชันนี้จะติดต่อรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางช่องทางโปรโตคอล TCP/TLS หรือ HTTP/S ที่ถูกดัดแปลงมาเป็นพิเศษสำหรับมัลแวร์ตัวนี้เท่านั้น
ฟังก์ชันเข้าถึงระบบในเชิงลึก หรือ Rootkit ซึ่งจะเป็นการทำงานร่วมกันอย่างเงียบเชียบ ล่องหนอยู่ภายในระบบ ของกลไก 2 ตัว นั่นคือ Userland LD_PRELOAD Rootkit และ eBPF Component ที่มีความสามารถในการเข้าถึงแก่นของระบบ (Kernel) ซึ่งมัลแวร์ส่วนนี้จะใช้ Hook บนเลเยอร์ของ Userland ในการซ่อนไฟล์, Process, และสิ่งที่เกี่ยวข้องมัลแวร์ทั้งหมด ขณะที่ eBPF จะทำการซ่อน PIDs, ตำแหน่งของไฟล์ (File Paths) และพอร์ตที่ใช้ในการติดต่อกับเครือข่าย (Network Port) ในระดับ Kernel
ฟังก์ชันสำหรับการขโมยข้อมูลรหัสผ่าน (Credential Stealer) ซึ่งจะเป็นฟังก์ชันที่นำเอาเครื่องมือเก็บเกี่ยวรหัสผ่าน (Credential Harvesting) ที่สามารถเก็บรหัสผ่านหลากรูปแบบ เช่น กุญแจ SSH keys, เว็บเบราว์เซอร์, การตั้งค่า (Configs) ของระบบคลาวด์และระบบการพัฒนาซอฟต์แวร์, /etc/shadow, และ Clipboard ร่วมกับมัลแวร์เปิดประตูหลังของระบบ (Backdoor) แบบ PAM ที่สามารถเข้าแทรกแซง (Intercept) ข้อมูลสำหรับการยืนยันตัวตน (Authentication) ในรูปแบบข้อความไม่เข้ารหัส (Plaintext) ได้
ฟังก์ชันสอดแนม (Surveillance) เช่น ระบบตรวจจับการพิมพ์ (Keylogging), ระบบแอบบันทึกภาพหน้าจอ, และระบบแอบมองข้อมูล Clipboard
ฟังก์ชันสำหรับการรัน (Execution) และการยิง (Injection) ใช้ในการยิง Process ต่าง ๆ เช่น ptrace และ /proc/pid/mem และในการรันไฟล์มัลแวร์ (Payload) บนหน่วยความจำโดยตรง เช่น shared objects และ BOF/COFF
ฟังก์ชันสอดส่องไฟล์ระบบ (Filesystem Monitoring) ใช้ในการติดตามไฟล์ระบบผ่านทาง inotify
ในฐานะนักพัฒนาซอฟต์แวร์ ผมเข้าใจดีว่าเครื่องมือและระบบนิเวศน์ที่เราคุ้นเคย เช่น npm, PyPI, GitHub, Docker และ Kubernetes เป็นส่วนสำคัญในการสร้างสรรค์โค้ดและซอฟต์แวร์ต่างๆ แต่มัลแวร์ Quasar Linux (QLNX) ที่ถูกค้นพบล่าสุดกลับสามารถแทรกซึมและแฝงตัวอยู่ในสภาพแวดล้อมแบบนี้ได้อย่างน่ากลัว ผมเคยได้ยินข่าวเกี่ยวกับมัลแวร์ประเภท Rootkit ที่ใช้เทคนิคซ่อนตัวขั้นสูง แต่ QLNX ใช้กลไก persistence ถึง 7 วิธี เช่น LD_PRELOAD, systemd, crontab, และการฝังใน '.bashrc' ช่วยให้มันยังอยู่ในระบบได้ยาวนาน นอกจากนี้ยังล้างหลักฐานที่ตรวจสอบได้อย่างมีประสิทธิภาพ เช่น การลบไฟล์ไบนารี, ลบบันทึกการทำงาน, และแอบแฝงใน Process ปลอมชื่อ ฟังก์ชันที่น่ากังวลใจที่สุดคือความสามารถในการขโมยรหัสผ่านและข้อมูลสำคัญอย่าง SSH keys หรือแม้แต่คีย์ที่เก็บในคอนฟิกของระบบคลาวด์ นักพัฒนาควรตระหนักว่ามัลแวร์นี้แอบเก็บข้อมูลเหล่านี้ได้อย่างเงียบๆ และอาจใช้ช่องโหว่นี้โจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ซึ่งส่งผลกระทบเป็นวงกว้าง จากประสบการณ์ส่วนตัว ผมแนะนำให้เพื่อนนักพัฒนาติดตั้งระบบตรวจจับพฤติกรรมผิดปกติและใช้การยืนยันตัวตนแบบหลายชั้น (MFA) พร้อมทั้งอัปเดตซอฟต์แวร์และไลบรารีอย่างสม่ำเสมอ เพราะมัลแวร์เหล่านี้มักโจมตีผ่านช่องโหว่ของแพ็กเกจที่ล้าสมัย สุดท้ายนี้ การตระหนักรู้และเรียนรู้จากกรณีศึกษามัลแวร์ Quasar Linux จะช่วยให้นักพัฒนาสามารถป้องกันความเสี่ยงและรักษาความปลอดภัยระบบของตนเองได้ดีขึ้น อย่าลืมตรวจสอบ Process ที่ทำงานอยู่และ log ต่างๆ อย่างสม่ำเสมอ เพราะบางครั้งมัลแวร์อาจใช้เทคนิค Process Spoofing ปลอมชื่อ ทำให้ตรวจสอบได้ยาก แต่ถ้ารู้เทคนิคและใส่ใจรายละเอียด พวกเราก็สามารถลดความเสี่ยงได้อย่างมาก
