Malware Bifrost Remote Access Trojan รูปแบบใหม่บนระบบปฏิบัติการ
Linux และบนโดเมนใน VMware โดยสามารถหลีกเลี่ยงจากระบบตรวจจับได้มากขึ้น
Bifrost ถูกค้นพบครั้งแรกเมื่อ 20 ปีก่อนเป็น Malware ที่โจมตีโดยการล่อลวงผู้ใช้งานผ่านไฟล์แนบอีเมล จากเว็บไซต์เว็ปไซต์ทั่วไป และไฟล์ที่ถูกดาวน์โหลดจากเว็ปไซต์
นักวิจัยจาก Palo Alto Network Unit 42 ได้ตรวจพบว่าถึง Malware
Bifrost มีรูปแบบวิธีการใหม่หลากหลายที่จะสามารถฝังตัวอยู่ภายในระบบ
และหลีกเลี่ยงการตรวจจับ
กลยุทธใหม่ของ Malware Bitfrost
การวิเคราะห์ตัวอย่าง Bitfrost ล่าสุดโดยนักวิจัยจาก Palo Alto Network Unit 42 พบการปรับปรุง
Malware lที่น่าสนใจซึ่งช่วยเพิ่มการทำงานในการหลีกเลี่ยงการตรวจจับ
Malware
เริ่มจาก เซิร์ฟเวอร์ Command
and Control (C2) ที่เชื่อมต่อกับมัลแวร์ใช้โดเมน download.vmfare[.] com ซึ่งมีลักษณะคล้ายกับโดเมน
VMware ที่ถูกต้องจึงทำให้พลาดในระหว่างการตรวจสอบได้ง่าย
โดยชื่อโดเมนที่หลอกลวงถูกโปรแกรมวิเคราะห์ DNS ตรวจสอบพบว่ามาจากประเทศไต้หวัน
ทำให้การติดตามและบล็อกยากขึ้น
ในทางเทคนิคของ Malware ไฟล์ส่วนต่าง ๆ จะถูกแยกออกโดยในแต่ละไฟล์จะไม่ถูกคอมไฟล์ไม่ผ่านการ
Debug จึงยากต่อการวิเคราะห์
Bitfrost จะรวบรวมชื่อโฮสต์ ที่อยู่ IP และรหัสผ่านภายในระบบของเหยื่อ จากนั้นใช้การเข้ารหัส RC4 เพื่อรักษาความปลอดภัยก่อนส่ง จากนั้นส่งผ่านไปยัง C2 และส่งออกผ่านซ็อกเก็ต TCP ที่สร้างขึ้นใหม่
การค้นพบใหม่อีกอย่างในรายงานของโดยนักวิจัยจาก Palo Alto
Network Unit 42 คือ Malware เวอร์ชัน ARM ของ Bitfrost ซึ่งมีฟังก์ชันเหมือนกับตัวอย่าง
x86 การค้นพบของเวอร์ชันเหล่านี้แสดงให้เห็นว่าผู้ไม่ประสงค์ดีมีความตั้งใจที่จะขยายขอบเขตเป้าหมายไปสู่สถาปัตยกรรมระบบที่ใช้
ARM ซึ่งเป็นที่นิยมในการใช้งาน
แม้ Bitfrost จะไม่ได้เป็นความเสี่ยงที่มีความซับซ้อนอย่างสูงหรือเป็นหนึ่งใน
Malware ที่แพร่หลายมากที่สุด การค้นพบโดยนักวิจัยจาก Palo
Alto Network Unit 42 ได้ทำขึ้น
ทำให้ผู้ดูแลระบบเกิดความระมัดระวังเพิ่มขึ้น
ผู้ไม่ประสงค์ดีที่พัฒนาทีอยู่เบื้องหลัง Malware มีเป้าหมายที่ชัดเจนในการปรับให้เป็นภัยคุกคามให้มีประสิทธิภาพมากขึ้น และยังทำให้สามารถใช้งานบนระบบปฏิบัติการที่หลากหลายระบบ
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น