แสดงบทความที่มีป้ายกำกับ 7-Zip แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ 7-Zip แสดงบทความทั้งหมด

20/01/2568

7-Zip ได้แก้ไขข้อบกพร่องที่ช่วยให้สามารถหลีกเลี่ยงคำเตือนความปลอดภัยของ Windows MoTW ได้แล้วควรอัปเดตแพตช์ทันที


    มีการค้นพบช่องโหว่ความรุนแรงสูงในโปรแกรมบีบอัดไฟล์ 7-Zip ที่ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงฟีเจอร์ความปลอดภัย Mark of the Web (MotW) ของ Windows และรันโค้ดบนคอมพิวเตอร์ของผู้ใช้เมื่อทำการแตกไฟล์อันตรายจากไฟล์เก็บข้อมูลซ้อนกัน (nested archives)
    7-Zip ได้เพิ่มการรองรับฟีเจอร์ MotW ตั้งแต่เดือนมิถุนายน 2022 ในเวอร์ชัน 22.00 โดยจะเพิ่มแฟล็ก MotW (ข้อมูลสตรีม Zone.Id แบบพิเศษ) ให้กับทุกไฟล์ที่ถูกแตกจากไฟล์เก็บข้อมูลที่ดาวน์โหลดมาโดยอัตโนมัติ
    แฟล็กนี้จะช่วยแจ้งเตือนระบบปฏิบัติการเบราว์เซอร์ และแอปพลิเคชันอื่น ๆ ว่าไฟล์อาจมาจากแหล่งที่ไม่น่าเชื่อถือและควรได้รับการพิจารณาด้วยความระมัดระวัง เมื่อผู้ใช้ดับเบิลคลิกเปิดไฟล์ที่มีความเสี่ยงซึ่งถูกแตกไฟล์โดย 7-Zip ระบบจะแสดงคำเตือนว่าการเปิดหรือรันไฟล์ดังกล่าวอาจนำไปสู่พฤติกรรมอันตราย เช่น การติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้


    Microsoft Office ก็มีการตรวจสอบแฟล็ก MotW เช่นกัน โดยหากพบแฟล็กนี้ ไฟล์จะถูกเปิดในโหมด Protected View ซึ่งเป็นโหมดอ่านอย่างเดียวและปิดใช้งานแมโครโดยอัตโนมัติ
    อย่างไรก็ตาม บริษัท Trend Micro ได้ออกคำแนะนำเมื่อสุดสัปดาห์ที่ผ่านมาเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ได้รับการติดตามภายใต้รหัส CVE-2025-0411 ซึ่งช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงคำเตือนความปลอดภัยและรันโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเป้าหมายได้
    "ช่องโหว่นี้ช่วยให้ผู้โจมตีทางไกลสามารถหลีกเลี่ยงกลไกการป้องกัน Mark-of-the-Web บน 7-Zip ที่ได้รับผลกระทบ โดยต้องอาศัยการกระทำของผู้ใช้ เช่น การเยี่ยมชมหน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย" Trend Micro กล่าว
    "ข้อบกพร่องเฉพาะเกิดขึ้นในการจัดการไฟล์เก็บข้อมูล โดยเมื่อแตกไฟล์จากไฟล์เก็บข้อมูลที่มีเครื่องหมาย MotW โปรแกรม 7-Zip ไม่ได้ถ่ายทอดเครื่องหมาย MotW ไปยังไฟล์ที่ถูกแตกออกมา ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดอันตรายในบริบทของผู้ใช้ปัจจุบัน"
    โชคดีที่นักพัฒนา 7-Zip นาย Igor Pavlov ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 30 พฤศจิกายน 2024 ด้วยการปล่อยเวอร์ชัน 7-Zip 24.09
"โปรแกรม 7-Zip File Manager ไม่ได้ถ่ายทอดสตรีม Zone.Identifier ไปยังไฟล์ที่แตกออกมาจากไฟล์เก็บข้อมูลซ้อนกัน (กรณีเปิดไฟล์เก็บข้อมูลภายในไฟล์เก็บข้อมูลอื่น)" Pavlov กล่าว

ช่องโหว่ลักษณะเดียวกันถูกนำไปใช้ในการโจมตีมัลแวร์
    เนื่องจาก 7-Zip ไม่มีฟีเจอร์อัปเดตอัตโนมัติ ผู้ใช้จำนวนมากยังคงใช้เวอร์ชันที่มีช่องโหว่อยู่ ซึ่งอาจถูกผู้ไม่หวังดีใช้โจมตีเพื่อแพร่กระจายมัลแวร์ได้ ผู้ใช้ 7-Zip ทุกคนควรทำการอัปเดตโดยด่วน เนื่องจากช่องโหว่ลักษณะนี้มักถูกใช้ในแคมเปญโจมตีมัลแวร์บ่อยครั้ง
    ตัวอย่างเช่น ในเดือนมิถุนายนที่ผ่านมา Microsoft ได้แก้ไขช่องโหว่การหลีกเลี่ยงความปลอดภัย Mark of the Web (CVE-2024-38213) ซึ่งถูกกลุ่มผู้โจมตี DarkGate ใช้เป็น zero-day ตั้งแต่เดือนมีนาคม 2024 เพื่อหลีกเลี่ยงการป้องกันของ SmartScreen และติดตั้งมัลแวร์ที่ปลอมแปลงเป็นตัวติดตั้งซอฟต์แวร์ชื่อดัง เช่น Apple iTunes, NVIDIA และ Notion

    กลุ่มผู้ไม่ประสงค์ดีที่มีแรงจูงใจทางการเงินชื่อ Water Hydra (หรือที่รู้จักในชื่อ DarkCasino) ก็เคยใช้ช่องโหว่ MotW อื่น (CVE-2024-21412) ในการโจมตีช่องทาง Telegram ของการซื้อขายหุ้นและฟอรัมฟอเร็กซ์เพื่อแพร่กระจายมัลแวร์ DarkMe remote access trojan (RAT)

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

24/05/2567

พบกลุ่ม Ransomware มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows ผ่าน PuTTy และ WinSCP ปลอม


    Rapid7 ค้นพบรูปแบบการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณา (Ads) บน Google หลอกให้ผู้ถูกหลอกลวงทำการดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing
    WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.greenend[.]org[.]uk/~sgtatham/putty/] เมื่อทำการคลิกเพื่อดาวน์โหลดไฟล์ ZIP ที่เป็นอันตรายแล้ว ก็จะทำการ redirect ไปยังหน้าเว็บปกติ เพื่อป้องกันการถูกตรวจจับได้


    ไฟล์ ZIP ที่เป็นอันตรายที่เป้าหมายทำการดาวน์โหลดมาจะประกอบไปด้วยไฟล์ Setup.exe ซึ่งเป็นไฟล์ปฏิบัติการที่ถูกเปลี่ยนชื่อเป็นไฟล์ Python สำหรับ Windows (pythonw.exe) และไฟล์ python311.dll ที่เป็นไฟล์อันตราย โดยเมื่อทำการเรียกใช้งาน pythonw.exe ก็จะเปิดไฟล์ python311.dll ขึ้นมาแทน ซึ่งเป็นวิธีการโจมตีแบบ DLL Sideloading
    เมื่อเป้าหมายทำการเรียกใช้ Setup.exe ซึ่งเป้าหมายจะเข้าใจว่ากำลังติดตั้ง PuTTY หรือ WinSCP ระบบจะดาวน์โหลด DLL ที่เป็นอันตราย ซึ่งจะแยกและเรียกใช้สคริปต์ Python ที่เข้ารหัส เพื่อติดตั้ง post-exploitation toolkit ในชื่อ Sliver ซึ่งเป็นเครื่องมือยอดนิยมที่ใช้สำหรับการเข้าถึงเครือข่ายองค์กรในเบื้องต้น หลังจากนั้นก็จะเรียกเพยโหลดเพิ่มเติม เช่น Cobalt Strike beacons เพื่อขโมยข้อมูล และเรียกใช้ Ransomware เพื่อเข้ารหัสข้อมูลในเครื่อข่ายของเป้าหมาย


    ทั้งนี้รูปแบบการโจมตีดังกล่าวคล้ายคลึงกับที่ Malwarebytes และ Trend Micro พบจากกลุ่ม BlackCat/ALPHV ransomware
    Google Ad และโฆษณาผ่านเครื่องมือค้นหาอื่น ๆ ได้กลายเป็นหนึ่งในวิธีการโจมตีของกลุ่มผู้ไม่ประสงค์ดีที่ใช้เพื่อแพร่กระจาย malware และ phishing โดยปลอมเป็นโปรแกรมยอดนิยม ได้แก่ Keepass, CPU-Z, Notepad++, Grammarly, MSI Afterburner, Slack, Dashlane, 7-Zip, CCleaner, VLC, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave
    รวมถึงยังพบว่ากลุ่มผู้ไม่ประสงค์ดีได้ใช้ Google Ad ของแพลตฟอร์มการซื้อขาย crypto Whales Market ที่ได้รับการรับรอง เพื่อโจมตีแบบ phishing เพื่อขโมยเงินดิจิทัลของผู้เข้าชมเว็บไซต์

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

17/04/2566

พบแฮกเกอร์ใช้ประโยชน์จากซอฟต์แวร์ WinRAR เพื่อติดตั้งแบ็คดอร์บนเครื่องเหยื่อ


    ผู้ไม่ประสงค์ดีเพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเป้าหมาย ซึ่งวิธีการนี้ส่งผลให้ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ
    การโจมตีเริ่มต้นจากผู้ไม่ประสงค์ดีจะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นผู้ไม่ประสงค์ดีจะเข้าถึงระบบของเป้าหมายโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเป้าหมาย
    ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้ผู้ไม่ประสงค์ดีสร้างแบ็คดอร์อย่างถาวรบนระบบของเป้าหมายได้
    เหตุผลที่ผู้ไม่ประสงค์ดีเลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเป้าหมายจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเป้าหมายได้

คำแนะนำ
  • ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
  • ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
  • ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
  • ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

Ref : cyware
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)