กรุงเทพฯ--24 เม.ย.--ไซเบอร์โรม
ไซเบอร์โรม บริษัทผู้นำด้านแอพพลายแอนซ์ความปลอดภัยบนเครือข่ายระดับโลก ได้ประกาศในวันนี้ว่า แล็ปค้นคว้าวิจัยอันตรายของตัวเองได้วิเคราะห์เวิร์มสายพันธุ์ใหม่ที่รู้จักกันในชื่อ ?Dorkbot? ซึ่งนักเจาะข้อมูลที่อยู่เบื้องหลังการโจมตีของเวิร์มตัวนี้ได้ใช้ Skype แพลตฟอร์มสำหรับสื่อสารผ่านเน็ตที่กำลังเป็นที่นิยมอย่างสูง เป็นสื่อในการกระจายเวิร์มไปยังระบบหรือพีซีเป้าหมายที่รันโอเอสเป็นวินโดวส์ Cyberoam Threat Research Labs (CTRL) ได้ค้นพบสายพันธุ์ใหม่นี้ระหว่างการศึกษาไฟล์ตัวอย่างที่สร้างช่องโหว่แบบ Zero-day 2 ตัวที่ถูกส่งต่อกันมาผ่าน Skype ซึ่งประกอบด้วยไฟล์ทั้งสกุล .exe และ .zip ด้วยการรวมพลของทีมผู้เชี่ยวชาญและนักวิจัยด้านความปลอดภัยบนเครือข่ายโดยเฉพาะ ทำให้ Cyberoam Threat Research Labs วิเคราะห์ช่องโหว่ที่เกิดขึ้นจากการแพร่กระจายบนเครือข่ายและแอพพลิเคชั่นที่หลากหลายซึ่งเกี่ยวข้องกับการใช้งานตามปกติได้
ไฟล์ตัวอย่างถูกพบว่าเป็นเวิร์ม Dorkbot ตัวใหม่ ที่เล็งเป้าหมายไปยังไดรฟ์แบบพกพา และแพร่กระจายผ่าน Skype โดยเชื่อมต่อกับเซิร์ฟเวอร์ IRC (Internet Relay Chat) แล้วจอยเข้าไปในแชนแนลของ IRC ที่สร้างขึ้นมาเป็นพิเศษเพื่อส่งคำสั่งออกมาจากผู้โจมตี เวิร์มตัวนี้ถูกโปรแกรมมาให้ลบตัวเองทิ้งหลังจากจัดการตามคำสั่งสำเร็จ
เวิร์มจะเพิ่มข้อมูลรีจิสตรี้บางอย่างเข้ามาเพื่อทำให้แน่ใจว่าจะถูกเรียกใช้โดยอัตโนมัติเมื่อเริ่มระบบ ตัวมันจะส่งข้อความผ่านแชตของ Skype เพื่อหลอกล่อให้ผู้ใช้เผลอคลิกลิงค์ในข้อความซึ่งจะนำไปสู่การโหลดมัลแวร์ จากนั้นจะสร้างประตูหลังสำหรับให้ผู้โจมตีได้ปล่อยมัลแวร์ตัวอื่นๆ เข้ามา หรือแม้กระทั่งล็อกระบบที่ติดเชื้อไว้สำหรับใช้เป็นทรัพยากรในการสร้างบอทเน็ตต่อไป มัลแวร์ตัวนี้ยังเชื่อมต่อกับเซิร์ฟเวอร์ IRC จอยเข้ากับแชลแนลแล้วรอคอยคำสั่ง ด้วยกลไกดังกล่าวนี้ทำให้สามารถขโมยชื่อผู้ใช้และรหัสผ่านของผู้ใช้งานได้จากการคอยตรวจสอบการสื่อสารผ่านเครือข่าย แล้วยังสามารถบล็อกเว็บไซต์ที่เกี่ยวข้องกับการอัพเดตระบบความปลอดภัยได้ด้วย นอกจากนี้ยังอาจเปิดให้มีการโจมตี Denial of Service (DoS) แบบจำกัดด้วย เนื่องจากเวิร์มสามารถเข้ามาขัดขวางการสื่อสารบนเน็ตผ่านบราวเซอร์ได้โดยการเจาะเข้า API ที่หลากหลาย ทำให้สามารถเข้ามาล้วงเอาข้อมูลที่อ่อนไหวของผู้ใช้ได้ ยิ่งกว่านั้น ผู้โจมตีสามารถใช้มัลแวร์ตัวนี้ในการล็อกอินเข้าไปยังเซิร์ฟเวอร์ FTP อื่นเพื่อโหลดไฟล์ HTML ที่ติดเชื้อหลากหลายตัวด้วยการสร้าง iFrame ที่ช่วยอำนวยความสะดวกในการแพร่กระจายเวิร์ม
นอกจากนั้นแล้ว พวกเขายังได้ค้นพบข้อเท็จจริงเกี่ยวกับมัลแวร์ที่ทะลวงข้อมูลใน Bitcoin ซึ่งกำลังพุ่งเป้าไปที่ผู้ใช้ Skype อยู่ตอนนี้ด้วย ช่วงสัปดาห์ก่อนมีข่าวหลายเหตุการณ์ที่เกี่ยวเนื่องกับภัยมัลแวร์ผ่านตัว Skype แถมยังมีการวิพากษ์วิจารณ์อย่างหนักในวงการอุตสาหกรรมด้านความปลอดภัยเกี่ยวกับมัลแวร์ที่ขโมยข้อมูลในระบบการเงินแบบดิจิตอลที่เริ่มมีการใช้บอทเน็ตมาโจมตีเครือข่ายชื่อดังอย่าง Bitcoin ด้วย สิ่งที่ทางแล็ปวิจัยอันตรายบนเครือข่ายของไซเบอร์โรมค้นพบมีมากกว่านี้ โดยได้เปิดเผยถึงกลไกวิธีการอย่างละเอียดของอาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ตัวนี้ รวมถึงให้ข้อมูลเชิงลึกที่แสดงถึงความเสี่ยงอื่นๆ ที่ไม่ได้จำกัดอยู่แค่การล้วงข้อมูลใน Bitcoin แต่เพียงอย่างเดียว
รายงานเมื่อเร็วๆ นี้เกี่ยวกับมัลแวร์ดังกล่าวได้แสดงให้เห็นว่า แค่การโจมตีมีเป้าหมายที่จะสร้างบอทเน็ตเพื่อรวบรวมข้อมูลใน Bitcoin โดยใช้ทรัพยากรประมวลผลของคอมพิวเตอร์ที่เป็นเหยื่อนั้นเป็นแค่เรื่องเพียงครึ่งหนึ่งเท่านั้น? บาเดรช พาเทล หัวหน้านักวิจัยช่องโหว่อันตรายของ CTRL กล่าว ?ทีมงานวิจัยอันตรายของเราได้ดำเนินการสืบสวน โดยมีการปล่อยให้มัลแวร์เติบโตเต็มที่ ให้ติดเชื้อในระดับที่สมเหตุสมผลในระบบทดสอบ ด้วยวิธีดังกล่าว นักวิเคราะห์อันตรายประจำ CTRL ประสบความสำเร็จในการวิเคราะห์เชิงลึกเกี่ยวกับมัลแวร์ตัวนี้ และภัยแอบแฝงของมัน ขณะที่ค้นพบความเสี่ยงอื่นๆ ที่ยังไม่เคยมีใครรายงานมาก่อน
ทาง Cyberoam Threat Research Labs เชื่อในการศึกษาและนำหน้าอันตรายต่างๆ ไปหนึ่งก้าวเพื่อวิเคราะห์หาข้อมูลและกลไกโดยละเอียดจากการศึกษาในครั้งนี้ ในเวลาที่มีการระบาดของการโจมตีมัลแวร์ขั้นสูงอย่างมากเช่นตอนนี้ CTRL มุ่งเน้นที่จะทำการศึกษาวิจัยลึกลงไปถึงแรงจูงใจและภัยแอบแฝงของอันตรายต่างๆ ที่พบด้วย? อับลิชลาช ซันวาเน่ รองประธานอาวุโสฝ่ายจัดการผลิตภัณฑ์ของไซเบอร์โรมกล่าว
ในฐานะของทีมงานที่รับผิดชอบการวิจัยอันตรายโดยตรง CTRL พบว่าได้ประสิทธิภาพอย่างยิ่งในการก้าวนำหน้าอันตรายที่ร้ายแรงต่างๆ และวางเป้าหมายที่จะให้ข้อมูลการศึกษาเชิงลึกเกี่ยวกับกลไกของอันตรายไม่ว่าจะซับซ้อนเพียงใด รวมถึงวิเคราะห์พฤติกรรมการใช้งานและแอพพลิเคชั่นบนอินเทอร์เน็ตในปัจจุบัน
-กผ-
สามารถคลิกดูภาพประกอบได้ที่ www.thaipr.net
ติดต่อเราได้ที่ facebook.com/newswit