Sophos เผยวิธีการหลีกเลี่ยงการตรวจจับของแรนซัมแวร์ WastedLocker โดยใช้ฟีเจอร์ปกติใน Windows

 138 total views

Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว

WastedLocker คือแรนซัมแวร์ตัวหนึ่ง ซึ่งล่าสุดก็ถูกใช้ในเหตุการณ์โจมตี Garmin จนให้บริการไม่ได้ไปหลายวันเช่นกัน วันนี้มีการเปิดเผยรายละเอียดจาก Sophos ว่ามัลแวร์ตัวนี้สามารถหลบเลี่ยงการตรวจจับได้อย่างไร

ก่อนจะเข้าใจวิธีการโจมตีเราต้องทราบถึงกลยุทธ์ที่โซลูชันฝั่งป้องกันทำเสียก่อน ไอเดียก็คือโซลูชันป้องกันแรนซัมแวร์จะไปติดตามการเรียก System Call ที่เกี่ยวกับ File Operation ก็คือหากมีโปรเซสที่ไม่รู้จักเรียกเปิด เขียนและปิดไฟล์จำนวนมาก ตัวป้องกันก็จะทำการปิดโปรเซสนั้น นั่นหมายความว่าเราอาจจะสูญเสียไฟล์ไปบางส่วนก่อนที่การป้องกันจะทำงาน แต่ก็ดีกว่าถูกโจมตีทั้งเครื่อง

อย่างไรก็ดีเพื่อเพิ่มประสิทธิภาพใน Windows จะมีการใช้งาน Cache Manager ซึ่งคอนเซปต์ก็ทั่วไปคือการเขียน อ่าน จากหน่วยความจำทำได้เร็วกว่าจากดิสก์ ด้วยเหตุนี้เองทางแทนที่ WastedLocker จะไปจัดการไฟล์โดยตรง ก็เลยเข้าไปเข้ารหัสไฟล์ในแคชแทน ซึ่งเมื่อมีการอัปเดตจำนวนมากระบบ Cache Manager ซึ่งมีสิทธิ์ระดับ SYSTEM ก็จะไปเขียนไฟล์ที่ถูกเข้ารหัสทับไฟล์กลับในระบบ (อัปเดตจาก Cache ไปยังดิสก์นั่นเอง) ทั้งนี้ด้วยสิทธิ์ที่ถูกต้องทางฝั่งการป้องกันเลยปล่อยผ่านการเรียก System Call นี้ไปนั่นเอง

หากใครต้องการศึกษาในเชิงลึกสามารถติดตามเพิ่มเติมได้จากบล็อกของ Sophos ครับ

ขอขอบคุณแหล่งที่มา :

https://www.techtalkthai.com/sophos-explains-how-wastedlocker-ransomware-can-evade-the-detection-solution-by-windows-feature/

https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/