ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานระบุกลุ่มแรนซัมแวร์ Qilin และ Warlock ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) โดยนำไดรเวอร์ที่มีช่องโหว่มาใช้งานบนระบบที่ถูกเจาะแล้ว เพื่อปิดการทำงานของระบบป้องกัน EDR และหลบเลี่ยงการตรวจจับก่อนดำเนินการโจมตีในขั้นถัดไป[1]
1. รายละเอียดภัยคุกคาม[2]
การโจมตีของกลุ่ม Qilin ใช้ไฟล์ DLL ที่เป็นจุดเริ่มต้นของกระบวนการโจมตีหลายขั้นตอนเพื่อปิดการทำงานของระบบป้องกันบนเครื่องเป้าหมาย โดยไฟล์ดังกล่าวถูกใช้ผ่านเทคนิค DLL side-loading และสามารถปิดการทำงานของ EDR ได้มากกว่า 300 รายการ จากผู้ผลิตหลายราย และใช้วิธีหลบการตรวจจับหลายรูปแบบ เช่น ลดการบันทึกเหตุการณ์ของระบบ และรันเพย์โหลดอยู่ในหน่วยความจำ เพื่อให้ตรวจจับได้ยากขึ้น
2. ลักษณะการโจมตีที่พบ
2.1 กลุ่ม Qilin ใช้ไดรเวอร์ที่มีช่องโหว่เพื่อช่วยให้มัลแวร์เข้าถึงระบบในระดับสูง และใช้ปิดการทำงานของ EDR ก่อนรันเพย์โหลดหลัก
2.2 กลุ่ม Warlock ใช้ไดรเวอร์ที่มีช่องโหว่ เพื่อยุติการทำงานของผลิตภัณฑ์ความปลอดภัยในระดับเคอร์เนล และยังใช้เครื่องมืออื่นร่วมด้วยเพื่อเคลื่อนย้ายภายในเครือข่าย ควบคุมระบบ และดึงข้อมูลออก
3. พฤติกรรมสำคัญที่ควรเฝ้าระวัง
ผู้โจมตีมักไม่รีบเข้ารหัสข้อมูลทันทีหลังเจาะระบบ แต่จะใช้เวลาอยู่ในระบบเพื่อขยายการควบคุมก่อน โดยพบการรันแรนซัมแวร์อาจเกิดขึ้นหลังการเจาะระบบครั้งแรกหลายวัน ในช่วงดังกล่าวควรเฝ้าระวังความผิดปกติ เช่น การทำงานของระบบป้องกันถูกปิดหรือหยุดทำงานโดยไม่ทราบสาเหตุ การพบไฟล์หรือไดรเวอร์ที่ไม่คุ้นเคยในระบบ รวมถึงการใช้งานเครื่องมือที่เกี่ยวข้องกับการเข้าควบคุมหรือเคลื่อนย้ายภายในเครือข่ายอย่างผิดปกติ
4. แนวทางการป้องกันและลดความเสี่ยง
4.1 อนุญาตเฉพาะไดรเวอร์ที่เชื่อถือได้ และควบคุมการติดตั้งไดรเวอร์อย่างเข้มงวด
4.2 เฝ้าระวังและตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับการติดตั้งไดรเวอร์
4.3 อัปเดตแพตช์ระบบและซอฟต์แวร์ด้านความปลอดภัยอย่างสม่ำเสมอ
4.4 ใช้การป้องกันหลายชั้น และติดตามพฤติกรรมผิดปกติในระบบอย่างต่อเนื่อง
5. แหล่งอ้างอิง