ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์การตรวจพบภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ พบผู้ใช้งาน Windows ได้รับการแจ้งเตือนจาก Microsoft Defender ว่าตรวจพบมัลแวร์ตระกูล Trojan:Win32/JScealTaskExec โดยถูกจัดระดับความรุนแรงเป็น Severe หรือระดับรุนแรง[1]
1. ภาพรวมสถานการณ์
Microsoft Security Intelligence ระบุว่า Trojan:Win32/JScealTaskExec เป็นภัยคุกคามประเภท Trojan ที่ตรวจพบโดย Microsoft Defender Antivirus อาจดำเนินการต่าง ๆ บนอุปกรณ์ตามที่ผู้ไม่หวังดีต้องการ Microsoft ระบุว่า ยังไม่มีรายละเอียดเชิงเทคนิคเฉพาะของพฤติกรรมมัลแวร์นี้ หากพบการแจ้งเตือน Trojan:Win32/JScealTaskExec ไม่ควรกดข้ามหรือเพิกเฉย ควรอัปเดต Microsoft Defender ตรวจสอบ Protection history สแกนเครื่องแบบ Full scan และหากพบซ้ำควรใช้ Microsoft Defender Offline Scan เพื่อตรวจจับภัยคุกคามที่อาจซ่อนตัวระหว่างที่ Windows ทำงานอยู่
2. ช่องทางและปัจจัยเสี่ยงที่ควรระวัง[2]
ขณะนียังไม่มีข้อมูลทางการจาก Microsoft ที่ยืนยันช่องทางแพร่กระจายของ Trojan:Win32/JScealTaskExec โดยทั่วไป malware สามารถเข้าสู่เครื่องได้หลายช่องทาง เช่น ไฟล์หรือโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ภายนอก ไฟล์ที่แชร์ผ่านเครือข่าย peer-to-peer เว็บไซต์ที่ถูกแฮกหรือฝังโค้ดอันตราย และมัลแวร์ตัวอื่นที่ดาวน์โหลดภัยคุกคามเพิ่มเติมเข้ามาในเครื่อง ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ เช่น โปรแกรม Crack, Keygen, โปรแกรมละเมิดลิขสิทธิ์ เว็บไซต์ดาวน์โหลดที่ไม่ทราบแหล่งที่มา หรือเว็บไซต์สตรีมมิ่งผิดกฎหมาย เนื่องจากพฤติกรรมดังกล่าวอาจเพิ่มความเสี่ยงต่อการติดมัลแวร์หรือโปรแกรมไม่พึงประสงค์
3. แนวทางดำเนินการ[1][2][3]
3.1 อัปเดต Microsoft Defender Antivirus และฐานข้อมูลตรวจจับให้เป็นปัจจุบันทันที แล้วรัน Full scan เพื่อช่วยค้นหาและกำจัดร่องรอยที่อาจยังหลงเหลืออยู่ในระบบ
3.2 หากยังตรวจพบซ้ำ ให้ใช้ Microsoft Defender Offline scan ซึ่ง Microsoft ระบุว่าเป็นเครื่องมือที่ทำงานนอก Windows และช่วยตรวจจับการติดมัลแวร์ที่ซ่อนตัวขณะที่ระบบกำลังทำงานได้
3.3 ก่อนเริ่ม Offline scan ควรบันทึกงานทั้งหมด เนื่องจากเครื่องจะรีสตาร์ตก่อนเริ่มการสแกน
3.4 ตรวจสอบผลการดำเนินการใน Protection history และหากพบรายการ Threat found – action needed แต่ยังไม่มั่นใจ ควรเลือก Quarantine เป็นหลัก ไม่ควรเลือก Allow on device โดยไม่จำเป็น
3.5 ตรวจสอบหน้า Allowed threats เนื่องจาก Windows Security จะไม่ดำเนินการกับภัยคุกคามที่ผู้ใช้เคยอนุญาตไว้ จนกว่าจะนำออกจากรายการดังกล่าว
4. พฤติกรรมที่ควรตรวจสอบ[4]
Microsoft ระบุว่ายังไม่มีรายละเอียดเชิงเทคนิคสำหรับพฤติกรรมของ Trojan:Win32/JScealTaskExec.A ไม่ควรสรุปว่าทุกเครื่องที่พบการแจ้งเตือนนี้ต้องมีพฤติกรรมเหมือนกันทั้งหมด เช่น การใช้ Task Scheduler, การขโมยรหัสผ่าน หรือการติดตั้งมัลแวร์ตัวอื่นเพิ่มเติม เว้นแต่มีหลักฐานเช่น path, hash, process, log หรือ network connection ประกอบการวิเคราะห์ ในเชิงการตรวจสอบเหตุการณ์ ผู้ดูแลระบบควรตรวจสอบรายการรันอัตโนมัติของ Windows โดยเฉพาะ Scheduled Task ที่ไม่คุ้นเคย เนื่องจาก MITRE ATT&CK ระบุเทคนิค T1053.005 – Scheduled Task ว่าผู้โจมตีอาจใช้ Windows Task Scheduler เพื่อรันโค้ดอันตรายแบบครั้งเดียวหรือแบบซ้ำตามเวลา ใช้เพื่อคงอยู่ในระบบ รันโปรแกรมเมื่อเริ่มระบบ หรือรันภายใต้บริบทของบัญชีที่มีสิทธิ์สูง เช่น SYSTEM
ประเด็นที่ควรตรวจสอบเพิ่มเติม
มี Scheduled Task หรือ Startup entry ที่ไม่คุ้นเคยหรือไม่
มีไฟล์สคริปต์ เช่น .js, .vbs, .jse, .ps1 หรือไฟล์ .exe อยู่ในโฟลเดอร์ชั่วคราวหรือโฟลเดอร์ผู้ใช้หรือไม่
มีโปรเซสผิดปกติที่ทำงานซ้ำหลังเปิดเครื่องหรือไม่
มีโปรแกรมที่เพิ่งติดตั้งจากแหล่งไม่น่าเชื่อถือหรือไม่
มีการเพิ่มข้อยกเว้นใน Antivirus โดยไม่ได้รับอนุญาตหรือไม่
มีการแจ้งเตือนซ้ำหลังรีสตาร์ตหรือหลังสแกนแล้วหรือไม่
ทั้งนี้ การอ้างอิง MITRE ATT&CK T1053.005 ในที่นี้ใช้เป็นกรอบตรวจสอบพฤติกรรมที่อาจเกี่ยวข้องกับการรันงานอัตโนมัติบน Windows ไม่ใช่หลักฐานยืนยันว่า Trojan:Win32/JScealTaskExec ทุกกรณีใช้ Scheduled Task
5. ความเสี่ยงและผลกระทบ
หากเครื่องติดมัลแวร์และไม่ได้รับการตรวจสอบอย่างถูกต้อง อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของเครื่องและข้อมูล เช่น เครื่องทำงานผิดปกติ ไฟล์หรือการตั้งค่าระบบถูกเปลี่ยนแปลง มีความเสี่ยงที่ภัยคุกคามจะกลับมาตรวจพบซ้ำหากยังมีไฟล์ตกค้าง และหากเคยใช้เครื่องดังกล่าวเข้าสู่ระบบสำคัญ อาจต้องพิจารณาความเสี่ยงต่อบัญชีผู้ใช้ร่วมด้วย ในกรณีที่พบหลายเครื่องในองค์กร ควรพิจารณาว่าอาจมีจุดที่ติดมัลแวร์ร่วมกัน เช่น ไฟล์ดาวน์โหลดเดียวกัน โปรแกรมที่ติดตั้งเหมือนกัน เว็บไซต์ต้นทางเดียวกัน หรือพฤติกรรมการใช้งานที่เหมือนกัน และควรให้ทีม IT ตรวจสอบเชิงลึกทันที
แหล่งอ้างอิง