คลังเก็บป้ายกำกับ: THREATS_UPDATE

พบช่องโหว่บน Samba อายุกว่า 7 ปี ผู้ใช้ Linux ทั่วโลกตกอยู่ในความเสี่ยง

เมื่อวานนี้ Samba ออก Security Advisory อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งเข้ามารันอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux จากระยะไกลได้ ผู้ใช้ Samba ทั่วโลกกว่า 100,000 รายเสี่ยงถูกอุปกรณ์ถูกเข้าควบคุมโดยไม่รู้ตัว

Credit: Pavel Ignatov/ShutterStock

Samba เป็นแพ็คเกจซอฟต์แวร์สำหรับระบบ Unix ซึ่งให้บริการ File และ Printer Sharing ผ่านทางโปรโตคอล SMB และ CIFS ซึ่งช่วยให้ผู้ใช้ระบบปฏิบัติการ Linux, macOS, FreeBSD สามารถตั้งค่าแชร์โฟลเดอร์และเข้าถึงโฟลเดอร์ที่แชร์บนคอมพิวเตอร์ที่รัน Windows ได้ เสมือนเป็นตัวประสานระหว่างโปรโตคอล SMB บน UNIX และ Windows

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-7494 ซึ่งส่งผลกระทบบน Samba ตั้งแต่เวอร์ชัน 3.5.0 ซึ่งเริ่มใช้งานตั้งแต่วันที่ 1 มีนาคม 2010 (7 กว่าปีก่อน) เป็นต้นมา จนกระทั่งถึงเมื่อวานนี้ที่ทีม Samba ได้ออกแพทช์เวอร์ชัน 4.6.4, 4.5.10 และ 4.4.14 เพื่ออุดช่องโหว่ดังกล่าว

HD Moore รองประธานฝ่ายวิจัยและพัฒนาของ Atredis Partners ระบุว่า ช่องโหว่นี้สามารถเจาะได้ผ่านทางการเขียนโค้ดเพียงบรรทัดโดยใช้โมดูลบน Metasploit ซึ่งขณะนี้กำลังอยู่ระหว่างการพัฒนา แต่นั่นหมายความว่าสามารถใช้เครื่องมือในการสแกนช่องโหว่และเขียนสคริปต์เพื่อที่โจมตีได้ทันที นอกจากนี้ทาง Rapid7 ยังค้นพบว่ามีอุปกรณ์มากกว่า 104,000 เครื่องที่รันซอฟต์แวร์ Samber ที่มีช่องโหว่แบบออนไลน์อยู่ คาดว่าสาเหตุมาจาก Linux บาง Distribution เปิดการใช้เซอร์วิสของ Samba มาตั้งแต่โรงงาน

สำหรับผู้ที่ใช้งาน Samba เวอร์ชัน 4.4.x, 4.5.x, 4..6.x แนะนำให้อัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่ดังกล่าว ส่วนผู้ที่ไม่สามารถอัปเดตแพทช์ไปยังเวอร์ชัน 4.4 ได้ ไม่ว่าจะเป็นข้อจำกัดทางด้านฮาร์ดแวร์หรือความเข้ากันได้ของซอฟต์แวร์ ทีม Samba แนะนำให้แก้ไขปัญหาด้วยการเพิ่มพารามิเตอร์ด้านล่างไปที่ไฟล์ smb.conf แล้วรีสตาร์ท smbd daemon ซึ่งพารามิเตอร์นี้จะช่วยให้แฮ็คเกอร์ไม่สามารถเปิด “Pipe” ซึ่งจะทำให้เขาสามารถอัปโหลดโค้ดแปลกปลอมเข้ามารันได้ อย่างไรก็ตาม การแก้ไขนี้อาจส่งผลกระทบต่อการทำงานร่วมกับคอมพิวเตอร์ Windows

nt pipe support = no

รายละเอียดเชิงเทคนิค: https://www.samba.org/samba/security/CVE-2017-7494.html

ที่มา: https://www.bleepingcomputer.com/news/security/over-104-000-samba-installations-vulnerable-to-remote-takeover-attacks/

from:https://www.techtalkthai.com/7-year-olds-samba-vulnerability-results-in-rce/

Advertisements

เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่านเครื่องมือ “Apps & Features”

Christian B. นักศึกษาระดับปริญญาโทจากเยอรมนี ค้นพบวิธีบายพาส Access Control (UAC) แบบใหม่บน Windows 10 ซึ่งอาศัยช่องโหว่ “Auto-elevation” บนเครื่องมือ Apps & features ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบรันโค้ดอันตรายหรือมัลแวร์ได้โดยไม่มีการแจ้งเตือนใดๆ

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

เทคนิคที่ Christian B. ค้นพบนี้ เป็นวิธีคล้ายกับที่ Matt Nelson ค้นพบเมื่อเดือนสิงหาคมปี 2016 ที่ผ่านมา แต่วิธีของ Nelson จะใช้การบายพาส UAC ผ่านทางเครื่องมือ Event Viewer (eventvwr.exe) ในขณะที่ Christian B. ใช้ fodhelper.exe ซึ่งเป็นฟังก์ชัน “Manage optional features” บนเครื่องมือ Apps & features แทน

ทั้ง eventvwr.exe และ fodhelper.exe ต่างเป็นไฟล์ Binary ที่ระบบปฏิบัติการ Windows เชื่อถือ ทำให้ Windows 10 ไม่แสดงหน้าต่างแจ้งเตือน UAC ใดๆ เมื่อไฟล์เหล่านี้ถูกรัน ส่งผลให้ Nelson และ Christian B. ใช้ช่องโหว่ตรงจุดนี้ในการบายพาส UAC บน Windows 10

Christian B. ระบุว่า ระหว่างที่ fodhelper.exe กำลังรันอยู่ Windows 10 จะตรวจสอบ Registry Key 2 ค่า เพื่อดูว่ามีคำสั่งอื่นๆ ที่ต้องรันเพิ่มเติมหรือไม่ ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ทั่วไปก็สามารถแก้ไขหนึ่งใน Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถแก้ไขคำสั่งและใช้ fodhelper.exe ช่วยในการรันโดยไม่ติด UAC แต่อย่างใด

HKCU:\Software\Classes\ms-settings\shell\open\command\(default)

เทคนิคนี้สามารถใช้ร่วมกับการลอบส่งมัลแวร์เข้ามายังระบบคอมพิวเตอร์ได้ โดยแฮ็คเกอร์สามารถสั่งให้มัลแวร์รันสคริปต์เพื่อแก้ไข Registry Key ดังกล่าว ตามด้วยสั่งรัน fodhelper.exe ซึ่งจะไปเรียกคำสั่งบน Registry Key ที่แฮ็คเกอร์แก้ไขรอไว้ แล้วสั่งรันโดยที่ผู้ใช้ไม่ได้รู้ตัว และจะไม่มี UAC แจ้งเตือน เนื่องจาก fodhelper.exe เป็นไฟล์ Binary ที่ Windows เชื่อถือและมีฟีเจอร์ Auto-elevation

ผู้ที่สนใจสามารถดูโค้ด PoC ได้ผ่านทาง GitHub ซึ่งโค้ดนี้ไม่มีการทิ้งไฟล์ใดๆ ไว้บนฮาร์ดดิสก์ และรันตัวเองอยู่ใน Memory เท่านั้นรวมไปถึงไม่มีการยุ่งเกี่ยวกับไฟล์ DLL แต่อย่างใด

สำหรับวิธีการป้องกันการบายพาส UAC นั้น Christian B. ระบุว่า ให้ผู้ใช้เลิกใช้งานบัญชี Admin เป็นบัญชีตั้งค่าเริ่มต้นใช้งานของตนเอง และตั้งค่าระดับ UAC เป็น “Always Notify”

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-apps-and-features-utility/

from:https://www.techtalkthai.com/windows-10-uac-bypass-apps-and-features/

ระวัง !! ดูหนังเพลินๆ อาจถูกแฮ็คคอมพิวเตอร์ผ่านไฟล์ Subtitle ที่โหลดมาได้

Check Point ผู้ให้บริหารโซลูชัน Next-generation Firewall ยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บนโปรแกรมเล่นวิดีโอ ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างไฟล์ Subtitle แบบพิเศษขึ้น เพื่อใช้ลอบรันคำสั่งบนเครื่องคอมพิวเตอร์เป้าหมายได้ตามต้องการ

ช่องโหว่นี้ค้นพบบนโปรแกรมเล่นวิดีโอชื่อดังหลายรายการที่รองรับฟีเจอร์ Subtitle ไม่ว่าจะเป็น VLC, Kodi, PopcornTime, Stremio และอื่นๆ โดยมีสาเหตุมาจากการประมวลผลไฟล์ Subtitle ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องคอมพิวเตอร์เป้าหมายได้ทันที วิดีโอด้านล่างสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว

Check Point คาดการณ์ว่า มีผู้ที่ใช้โปรแกรมเล่นวิดีโอหรือสตรีมวิดีโอออนไลน์กว่า 200 ล้านคนที่ซอฟต์แวร์ที่มีช่องโหว่ ส่งผลให้การโจมตีนี้อาจส่งผลกระทบเป็นวงกว้าง ที่แย่กว่านั้นคือ ผู้ใช้หลายคนดาวน์โหลดไฟล์ Subtitile จากคลัง Subtitle บนอินเทอร์เน็ต ที่อนุญาตให้ใครก็ตามสามารถอัปโหลดไฟล์ Subtitle เข้าไปได้ จึงเป็นไปได้สูงทีแฮ็คเกอร์อาจใช้ช่องทางนี้ในการแพร่กระจายการโจมตีออกไป

จนถึงตอนนี้ VLC และ PopcornTime ได้ออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ในขณะที่โปรแกรมอื่นๆ เช่น Kodi และ Stremio กำลังอยู่ระหว่างดำเนินการแก้ไข แนะนำให้ผู้ใช้ทุกคนรีบอักเดตแพทช์ล่าสุดโดยเร็ว

ที่มา: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

from:https://www.techtalkthai.com/computers-can-be-hacked-by-subtitle-files/

นักวิจัยเตือน พบช่องโหว่บน SSD ทำลายข้อมูล และทำให้ SSD ไม่เสถียรได้

งานวิจัยด้านความมั่นคงปลอดภัยได้ถูกนำเสนอในงานสัมมนาแห่งหนึ่งเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ว่า Solid State Drive (SSD) นั้นมีช่องโหว่ที่อาจถูกโจมตีจนข้อมูลเสียหายหรือทำให้อุปกรณ์ SSD ไม่สามารถทำงานได้อย่างเสถียรอีกต่อไป

Credit: ShutterStock.com

 

งานวิจัยเหล่านี้ถูกนำมาเผยแพร่ในงาน 23rd International Symposium on High-Performance Computer Architecture (HPCA) Industrial Session โดยมีช่องโหว่ที่น่าสนใจด้วยกัน 2 รายการ ดังนี้

 

Program Interference: การเขียนข้อมูลเฉพาะบางอย่างลง SSD อาจทำให้ข้อมูลสูญหายได้

การโจมตีแรกนี้มีชื่อเรียกว่า Program Interference โดยการเขียนข้อมูลในรูปแบบจำเพาะเจาะจงบางประเภทลงไปบน SSD อาจทำให้ส่วน Programming Logic ของ Multi-level Cell (MLC) ซึ่งเป็นเทคโนโลยีหลักของ SSD ทำงานผิดปกติ และเขียนข้อมูลผิดพลาดมากกว่าเดิมถึง 4.9 เท่าได้ และส่งผลกระทบต่อ NAND Flash Memory Cell รอบๆ ที่ทำการเขียนข้อมูลทำให้ข้อมูลที่ถูกจัดเก็บในบริเวณนั้นผิดพลาดตามไปด้วย

นอกจากการโจมตีลักษณะนี้จะทำลายข้อมูลแล้ว อายุการใช้งานของ SSD ก็จะสั้นลงไปด้วยในเวลาเดียวกัน ทำให้ผู้โจมตีที่ทำการโจมตีซ้ำๆ ด้วยวิธีการนี้ไปเรื่อยๆ สามารถทำลาย SSD ได้ ซึ่งถึงแม้การโจมตีลักษณะนี้จะคล้ายคลึงกับ Rowhammer ที่ใช้โจมตี RAM แต่เบื้องหลังนั้นก็ต่างกันโดยสิ้นเชิง

 

Read Disturb: ยิงคำสั่งอ่านข้อมูลจำนวนมาก จนข้อมูลที่กำลังเขียนอยู่เสียหาย

การโจมตีแบบที่สองนี้เกิดขึ้นโดยการส่งคำสั่ง Read Operation จำนวนมหาศาลในเวลาสั้นๆ ไปยัง SSD จนเกิดปรากฏการณ์ที่เรียกว่า Read Disturb Error ขึ้น ซึ่งจะทำให้ข้อมูลที่บันทึกใน Page เสียหาย ทั้ง Page ที่เขียนข้อมูลไปแล้วบางส่วน กับ Page ที่ยังรอการเขียนข้อมูลอยู่ และทำลายความสามารถในการบันทึกข้อมูลของ SSD อย่างเสถียรไปในระยะยาว

 

ทั้งนี้เหล่านักวิจัยได้ทำการเขียนข้อแนะนำถึงการป้องกันการโจมตีเหล่านี้เอาไว้ในงานวิจัยที่ https://people.inf.ethz.ch/omutlu/pub/flash-memory-programming-vulnerabilities_hpca17.pdf เรียบร้อย โดยเป็นงานวิจัยที่มีนักวิจัยด้วยกัน 6 คนจาก Carnegie Mellon University, Seagate และ Swiss Federal Institute of Technology หลังจากนี้ก็ต้องติดตามกันครับว่า SSD ในอนาคตจะแก้ไขปัญหาเหล่านี้หรือไม่อย่างไร

 

ที่มา: https://www.bleepingcomputer.com/news/hardware/ssd-drives-vulnerable-to-attacks-that-corrupt-user-data/

from:https://www.techtalkthai.com/researchers-found-vulnerabilities-on-ssd-that-destroy-the-data-and-make-ssd-unstable/

พบเวิร์ม SMB ตัวใหม่ ใช้เครื่องมือแฮ็คจาก NSA ถึง 7 รายการ

Miroslav Stampar สมาชิกของทีม CERT จากประเทศโครเอเชียและหนึ่งในผู้พัฒนา SQLMap ออกมาเปิดเผยถึง Worm ตัวใหม่ที่แพร่กระจายตัวผ่านทางช่องโหว่ SMB ระหว่างที่เขาทำ Honeypot เพื่อล่อ WannaCry และต้องตกใจเมื่อทราบว่า Worm ดังกล่าวใช้เครื่องมือแฮ็คของ NSA ถึง 7 รายการ ในขณะที่ WannaCry ใช้เพียงแค่ 2

Stampar เรียก Worm ดังกล่าวว่า EternalRocks จากชื่อ Product name ที่เขาเห็นบนหน้า Properties ของ Worm ตัวอย่างหนึ่ง จากการวิเคราะห์การทำงานของ Worm นี้พบว่ามีการใช้เครื่องมือแฮ็คของ NSA ในการเจาะเข้าระบบคอมพิวเตอร์ที่เปิดพอร์ต SMB ออนไลน์ ถึง 6 รายการ ได้แก่ EternalBlue, EternalChampion, EternalRomance, EternalSynergy, SBMTouch และ ArchiTouch ซึ่ง 4 เครื่องมือเป็นเครื่องมือสำหรับเจาะช่องโหว่ SMB และ 2 เครื่องมือหลังเป็นเครื่องมือสำหรับดำเนินการสอดแนม (Reconnaissance)

หลังจากที่ Worm สามารถเริ่มแทรกซึมเข้าระบบคอมพิวเตอร์ได้แล้ว มันจะใช้อีกเครื่องมือแฮ็คหนึ่งของ NSA คือ DoublePulsar ในการแพร่กระจายตัวเข้าไปยังคอมพิวเตอร์ที่มีช่องโหว่ ซึ่งเป็นแนวคิดเช่นเดียวกับ WannaCry Ransomware เพียงแค่ WannaCry ใช้เพียง EternalBlue ในการเริ่มโจมตี และ DoublePulsar ในการแพร่กระจายตัวเท่านั้น

ในฐานะมัลแวร์แล้ว EternalRocks นั้นอันตรายน้อยกว่า WannaCry เป็นอย่างมาก เนื่องจากยังไม่มีการส่ง Payload เข้าไปทำอันตรายเครื่องคอมพิวเตอร์ที่มีช่องโหว่ อย่างไรก็ตาม EternalRocks นั้นมีความซับซ้อนมากกว่า กล่าวคือ หลังจากที่ EternalRocks เริ่มแทรกซึมเข้าไปยังเครื่องคอมพิวเตอร์ได้แล้ว จะดำเนินการติดตั้งตัวเอง 2 ขั้นตอน

  • ขั้นตอนแรก – EternalRocks แทรกซึมเข้าไปยังคอมพิวเตอร์ ดาวน์โหลด Tor Client และติดต่อกับ C&C Server ที่อยู่ใน Dark Web
  • ขั้นตอนที่สอง – หลังจากผ่านไป 24 ชั่วโมง C&C Server ถึงจะทำการตอบสนองกลับ การหน่วงเวลานี้ทำขึ้นเพื่อบายพาสระบบป้องกัน Sandbox และการวิเคราะห์จากนักวิจัยด้านความมั่นคงปลอดภัย ซึ่งส่วนใหญ่มักไม่มีใครรอถึง 24 ชั่วโมงเต็ม จากนั้นจึงเริ่มโหลดส่วนประกอบต่างๆ ของมัลแวร์เข้ามาในชื่อ shadowbrokers.zip ซึ่งแน่นอนว่าประกอบด้วยชุดเครื่องมือแฮ็คช่องโหว่ SMB จาก NSA สุดท้าย EternalRocks จะทำการสแกน IP แบบสุ่ม เพื่อหาเหยื่อรายต่อไป

นอกจากนี้ EternalRocks ยังใช้ไฟล์ที่มีชื่อเดียวกับฟีเจอร์ Worm ของ WannaCry เพื่อลวงให้นักวิจัยด้านความมั่นคงปลอดภัยเข้าใจและจำแนกประเภทผิดอีกด้วย อย่างไรก็ตาม EternalRocks ก็ต่างจาก WannaCry ตรงที่ไม่มีโดเมนที่เป็น Kill Switch สำหรับหยุดการทำงาน

เรียกได้ว่าเป็นเครื่องมืออันตรายที่มีความสามารถในการแพร่กระจายตัวในระดับสูง แฮ็คเกอร์สามารถเสริมอาวุธให้ Worm กลายเป็น Ransowmare, Banking Trojan, RAT หรืออื่นๆ ผ่านทาง Backdoor ที่เชื่อมต่อกับ C&C Server ได้ทันที อย่างไรก็ตาม คาดว่าตอนนี้ Worm ดังกล่าวอยู่ในช่วงทดลอง ซึ่งแฮ็คเกอร์ผู้พัฒนากำลังทดสอบและปรับแต่งการทำงานให้พร้อมใช้งานในอนาคต

แน่นอนว่าวิธีป้องกัน EternalRocks ได้ดีที่สุดคือการอัปเดตแพทช์ล่าสุดบนระบบปฏิบัติการ Windows เพื่ออุดช่องโหว่ที่มัลแวร์ใช้ รวมไปถึงยกเลิกการใช้งาน SMBv1 ที่มีช่องโหว่แล้วหันไปใช้ SMB เวอร์ชันใหม่กว่าแทน

ที่มา: https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/

from:https://www.techtalkthai.com/eternalrocks-worm-use-7-nsa-hacking-tools/

เตือนโรงพยาบาล พบ WannaCry Ransomware โจมตีอุปกรณ์การแพทย์แล้ว

Forbes ออกมารายงานเมื่อวันพุธที่ผ่านมา ระบุว่าพบ WannaCry Ransomware โจมตีอุปกรณ์ทางการแพทย์ Bayer Medrad ซึ่งเป็นอุปกรณ์ฉายรังสีซึ่งทำหน้าฉีดสารทึบรังสีเข้าไปในร่างกายของมนุษย์เพื่อช่วยในการสแกน MRI สาเหตุมาจากอุปกรณ์ดังกล่าวรันระบบปฏิบัติการ Windows Embedded ซึ่งรองรับโปรโตคอล SMBv1

Credit: ShutterStock.com

แหล่งข่าวไม่ได้ระบุว่าโรงพยาบาลใดที่ติด WannaCry แต่โฆษกจากทาง Bayer ออกมายอมรับแล้วว่า ได้รับรายงาน 2 ฉบับจากโรงพยาบาลที่ใช้บริการ ระบุว่าพบ WannaCry Ransomware โจมตีอุปกรณ์ทางการแพทย์ที่ใช้งานอยู่ นอกจากนี้ยังมีแหล่งข่าวที่เป็น Health Information Trust Alliance (HITRUST) ยังออกมาเปิดเผยอีกว่า พบ WannaCry Ransomware โจมตีอุปกรณ์การแพทย์ที่เป็น Windows ของ Siemens อีกด้วย ซึ่งภายหลังวิศวกรการแพทย์ของ Siemens ก็ออกมายอมรับแล้วว่ามีบางผลิตภัณฑ์ที่มีช่องโหว่ให้ WannaCry โจมตีจริง พร้อมทั้งออกคำแนะนำสำหรับแจ้งเตือนไปยังลูกค้าทุกคน

หลังจากนั้น ผู้ผลิตอุปกรณ์ทางการแพทย์รายอื่น เช่น Smiths Medical, Medtronic และ Johnson & Johnson ต่างตบเท้าออกมาแจ้งเตือนเกี่ยวกับ WannaCry Ransomware บนผลิตภัณฑ์ของตน แต่ยังไม่มีรายงานเข้ามาว่าผลิตภัณฑ์เหล่านั้นตกเป็นเหยื่อแต่อย่างใด

ทั้งนี้แนะนำให้โรงพยาบาลทุกแห่งทำการอัปเดตแพทช์ MS17-010 บนคอมพิวเตอร์ที่รันระบบปฏิบัติการ Windows โดยเร็ว และติดต่อผู้ผลิตภัณฑ์ทางการแพทย์ต่างๆ เพื่อขอคำแนะนำเกี่ยวกับการรับมือกับ WannaCry Ransomware

ที่มา: https://www.bleepingcomputer.com/news/security/wannacry-ransomware-infects-actual-medical-devices-not-just-computers/

from:https://www.techtalkthai.com/wannacry-ransomware-hits-medical-devices/

เตือน Uiwix Ransomware ใช้ช่องโหว่ EternalBlue แพร่กระจายตัวเช่นเดียวกับ WannaCry

Lawrence Abrams จากเว็บไซต์ Bleeping Computer ออกมาแจ้งเตือนถึง Ransomware อีกสายพันธุ์หนึ่ง ที่แพร่ระบาดพร้อมๆ กับ WannaCry Ransomware ชื่อว่า Uiwix ซึ่งใช้ช่องโหว่บนโปรโตคอล SMBv1 คือ EternalBlue เช่นเดียวกัน แนะนำให้ผู้ใช้รีบอัปเดตแพทช์ MS17-010 หลังพบผู้ใช้เริ่มติด Ransomware นี้มากขึ้น

Abrams ระบุว่า มีคนแจ้งเข้ามาในเว็บบอร์ดของ Bleeping Computer เมื่อสัปดาห์ก่อน ระบุว่าพบ Ransomware สายพันธุ์ใหม่ที่ต่อท้ายชื่อไฟล์ด้วยนามสกุล .UIWIX และมีไฟล์ข้อความเรียกค่าไถ่ชื่อ _DECODE_FILES.txt หลังจากนั้นก็มีคนแจ้งเตือนเพิ่มขึ้นเรื่อยๆ อย่างไรก็ตาม Abrams ยังไม่สามารถหาตัวอย่าง Ransomware มาทดสอบได้ จนกระทั่งเกิดการแพร่ระบาดของ WannaCry ขึ้น ทั่วโลกจึงได้รับรู้ถึงช่องโหว่ EternalBlue บนโปรโตคอล SMBv1 ส่งผลให้ Benkow moʞuƎq และ Kevin Beaumont สองนักวิจัยด้านความมั่นคงปลอดภัยพบว่า Uiwix Ransomware ก็ใช้ช่องโหว่ EternalBlue ในการแพร่กระจายตัวเช่นเดียวกัน

จนถึงตอนนี้ยังไม่ทราบรายละเอียดเชิงลึกของ Uiwix Ransomware แต่จากที่ตรวจสอบลักษณะการแพร่กระจาย คาดว่าแฮ็คเกอร์คงใช้วิธีสแกนคอมพิวเตอร์เพื่อค้นหาเป้าหมาย และรันสคริปต์เพื่อโจมตีคอมพิวเตอร์ที่มีช่องโหว่ แทนที่จะใช้วิธีการแพร่กระจายตัวด้วยตนเองเหมือน WannaCry ส่งผลให้ผู้ที่ติด Uiwix ยังมีจำนวนไม่มากนัก

แต่ที่น่าตกใจคือ Beaumont ระบุว่า Ransomware ดังกล่าวถูกออกแบบมาค่อนข้างแยบยล เมื่อเหยื่อติด Uiwix แล้ว มันจะไม่เขียนตัวเองลงบนฮาร์ดดิสก์แต่อย่างใด แต่จะรันตัวเองโดยตรงจาก Memory และเริ่มเข้ารหัสข้อมูล ส่งผลให้ซอฟต์แวร์รักษาความมั่นคงปลอดภัย รวมไปถึงระบบตรวจจับของ Windows เองไม่สามารถตรวจจับได้ (หรือตรวจจับได้ยากขึ้น) นอกจากนี้ Uiwix ยังใช้เทคโนโลยี Anti-VM กล่าวคือ สามารถตรวจจับได้ว่าตนเองรันอยู่ใน VM Environment เช่น VMWare หรือ VirtualBox หรือไม่ ถ้าใช่ก็จะไม่แสดงพฤติกรรมคุกคามใดๆ ทำให้ระบบป้องกันจำพวก Sandbox ไม่สามารถตรวจจับและวิเคราะห์พฤติกรรมได้

หลังจากที่ Uiwix Ransomware ติดเครื่องของเหยื่อสำเร็จแล้ว มันจะสร้างเลยรหัส 10 หลักซึ่งระบุถึงเหยื่อคนนั้นๆ แล้วนำมาต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส พร้อมทั้งเพิ่ม .UIWIX เข้าไปด้วย เช่น ไฟล์ test.jpg หลังถูกเข้ารหัสจะกลายเป็น test.jpg._1641661628.UIWIX จากนั้นแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง แล้วเรียกค่าไถ่เป็นจำนวนเงิน $200 (ประมาณ 7,000 บาท) อย่างไรก็ตาม ตอนนี้ยังไม่ทราบแน่ชัดว่าใช้อัลกอริธึมอะไรในการเข้ารหัส แต่คาดว่าคงเป็นการผสมกันระหว่าง AES และ RC4

แน่นอนว่าวิธีป้องกัน Uiwix Ransomware ที่ดีที่สุดก็คือการอัปเดตแพชท์ MS17-010 เพื่ออุดช่องโหว่ EternalBlue และการสำรองข้อมูลเป็นประจำ

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://www.bleepingcomputer.com/news/security/uiwix-ransomware-using-eternalblue-smb-exploit-to-infect-victims/

from:https://www.techtalkthai.com/uiwix-ransomware-infect-computers-using-eternalblue/