301/69 (IT) ประจำวันศุกร์ที่ 5 มิถุนายน 2569
นักวิจัยด้านความมั่นคงปลอดภัย ได้เปิดเผยรายงานการค้นพบกลุ่มผู้ไม่หวังดี นำเทคโนโลยี AI มาประยุกต์ใช้ในการพัฒนาระบบทดสอบอัตโนมัติ เพื่อหาทางหลบเลี่ยงระบบตรวจสอบและตอบสนองภัยคุกคามบนเครื่องปลายทาง (EDR) โดยพุ่งเป้าไปที่ผลิตภัณฑ์ชั้นนำอย่าง Sophos, CrowdStrike และ Windows Defender เหตุการณ์ดังกล่าวถูกตรวจพบจากการที่ระบบปลายทางเกิดความผิดปกติ และแจ้งเตือนการทำงานของเพย์โหลดต้องสงสัยจากโฟลเดอร์ของผู้ใช้งาน ซึ่งนี้สะท้อนให้เห็นถึงความพยายามของผู้โจมตีที่ยกระดับขีดความสามารถในการพัฒนาเครื่องมือ และปรับปรุงกระบวนการทดสอบมัลแวร์ให้มีประสิทธิภาพและซับซ้อนมากยิ่งขึ้น
จากการตรวจสอบพบว่าผู้ไม่หวังดีมีการสร้างสภาพแวดล้อมจำลองสำหรับทดสอบการหลบเลี่ยงอย่างเป็นระบบ โดยใช้เครื่องเสมือน (Virtual Machine) ที่ติดตั้งระบบปฏิบัติการ Windows Server 2022 แยกตามผลิตภัณฑ์ของ EDR แต่ละยี่ห้อ รวมถึงมีการตั้งค่าเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ด้วยเครื่องมือ Sliver บนระบบปฏิบัติการ Ubuntu นอกจากนี้ยังพบการใช้สคริปต์ภาษา Python ที่มีคอมเมนต์ภาษารัสเซีย ซึ่งเขียนขึ้นโดยใช้เครื่องมือ AI อย่างโปรแกรม Cursor และโมเดล Claude Opus เพื่อสร้างระบบบริหารจัดการอัตโนมัติ ระบบดังกล่าวจะทำหน้าที่ทดสอบมัลแวร์ รวบรวมผลลัพธ์ และปรับปรุงเทคนิคอย่างต่อเนื่องตามกรอบการทำงาน MITRE ATT&CK อีกทั้งผู้โจมตียังมีการรวบรวมข้อมูลงานวิจัยจากผู้พัฒนาซอฟต์แวร์ความมั่นคงปลอดภัยเพื่อนำมาวิเคราะห์หาเทคนิคในการหลบเลี่ยงระบบ EDR อีกด้วย
ผู้ดูแลระบบและหน่วยงานที่เกี่ยวข้องควรยกระดับการเฝ้าระวัง โดยไม่ควรพึ่งพาแค่ระบบ EDR เพียงอย่างเดียว แต่ควรนำหลักการป้องกันแบบหลายชั้น (Defense-in-Depth) มาปรับใช้ เบื้องต้นผู้ดูแลระบบควรตรวจสอบการรันไฟล์หรือสคริปต์ที่ผิดปกติจากไดเรกทอรีของผู้ใช้งานทั่วไป เช่น ภายใต้แฟ้ม Documents ตลอดจนเฝ้าระวังการสื่อสารเครือข่ายที่อาจเชื่อมโยงกับเครื่องมือประเภท Sliver ควบคู่ไปกับการติดตาม และอัปเดตข้อมูลฐานความรู้ด้านภัยคุกคาม (Threat Intelligence) อย่างสม่ำเสมอ เพื่อให้สามารถปรับปรุงกฎการตรวจจับพฤติกรรมที่ต้องสงสัยได้อย่างทันท่วงที และลดความเสี่ยงจากการถูกโจมตีด้วยเทคนิคใหม่ที่ถูกพัฒนามาเพื่อหลบเลี่ยงระบบป้องกันโดยเฉพาะ
แหล่งข่าว https://www.darkreading.com/endpoint-security/attackers-automate-edr-evasion-testing