Clear
Lead Graphic Papers

ระวังภัย มัลแวร์ DuQu โจมตีวินโดวส์ด้วยฟอนต์

วันที่ประกาศ : 11 พฤศจิกายน 2554
ปรับปรุงล่าสุด : 11 พฤศจิกายน 2554
เรื่อง : ระวังภัย มัลแวร์ DuQu โจมตีวินโดวส์ด้วยฟอนต์

ประเภทภัยคุกคาม : Malware

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 15 ตุลาคม 2554 ไมโครซอฟท์ได้ประกาศว่ามีการแพร่ระบาดของมัลแวร์ชื่อ DuQu (CVE-2011-3402) โจมตีโดยอาศัยช่องโหว่ของไฟล์ win32k.sys ซึ่งเป็นส่วนที่ใช้สำหรับการแสดงผลรูปแบบตัวอักษร TrueType Font ของระบบปฏิบัติการ Windows ทุกเวอร์ชัน ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการสั่งการเครื่องคอมพิวเตอร์เป้าหมายจากระยะไกลเพื่อให้ประมวลผลคำสั่งที่เป็นอันตรายได้ ซึ่งคำสั่งดังกล่าวจะได้รับสิทธิในระดับเดียวกับ Kernel ของระบบปฏิบัติการ ส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม อ่าน เขียน หรือลบข้อมูล รวมทั้งสามารถสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิในระดับเดียวกับผู้ดูแลระบบ (Administrator) ได้ การโจมตีอาจจะมาในรูปแบบของอีเมล HTML ที่มีคำสั่งให้ดาวน์โหลดฟอนต์โดยอัตโนมัติ หรือมากับเอกสารไฟล์แนบซึ่งใช้ช่องโหว่ดังกล่าว [1]

จากการวิเคราะห์การทำงานของ DuQu โดยผู้เชี่ยวชาญ พบว่าเป็นมัลแวร์ประเภท โทรจัน (Trojan) ซึ่งผู้พัฒนาอาจเป็นกลุ่มเดียวกันกับกลุ่มที่พัฒนา Stuxnet เนื่องจากโค้ดหลายส่วนมีความคล้ายคลึงกัน แต่มีความแตกต่างกันตรงที่ DuQu มีจุดมุ่งหมายเพื่อการขโมยข้อมูลเท่านั้น และยังไม่พบว่ามีการทำงานที่เป็นการโจมตีระบบใดระบบหนึ่งเป็นพิเศษ ซึ่งแตกต่างจาก Stuxnet ที่มีเป้าหมายเพื่อโจมตีระบบโรงไฟฟ้านิวเคลียร์ของประเทศอิหร่านโดยเฉพาะ [2] [3]

การทำงาน

DuQu ใช้เทคนิคการฝังโค้ดที่เป็น Payload ลงในโปรเซส (Injects payload instructions) มีส่วนการทำงานหลักๆ อยู่ 2 ส่วน คือ การติดตั้ง และ การฝัง Payload โดยมีขั้นตอนการทำงานดังนี้ [3]

การติดตั้ง

DuQu จะติดตั้งไดรเวอร์ปลอมของอุปกรณ์โดยใช้ชื่อ JmiNET3.sys หรือ cmi4432.sys ซึ่งไดรเวอร์ดังกล่าวจะถูกโหลดให้เป็น Service ในทุกครั้งที่ Windows เริ่มทำงาน เครื่องที่ติด DuQu จะพบอุปกรณ์เหล่านี้อยู่ในระบบ

  • \Device\{3093AAZ3-1092-2929-9391}
  • \Device\Gpd1

การฝัง Payload

DuQu จะฝัง Payload ให้ติดไปกับโปรเซสอื่นๆ โดยจะอ่านค่าการทำงานจากข้อมูลที่ถูกเข้ารหัสลับไว้ในรีจิสทรี ซึ่งรีจิสทรีที่ถูกสร้างโดยมัลแวร์ มีดังนี้

  • HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER
  • HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER
รีจิสทรีดังกล่าว จะใช้ Payload จากไฟล์ที่ถูกสร้างโดยมัลแวร์ ดังนี้
  • %systemroot%\inf\netp191.PNF
  • %systemroot%\inf\cmi4432.PNF

วิธีการแก้ไข

ไมโครซอฟท์ได้ออกซอฟต์แวร์ Fix It หมายเลข 2639658 เพื่อปรับปรุงช่องโหว่ดังกล่าวเมื่อวันที่ 3 พฤศจิกายน 2554 [5] อย่างไรก็ตาม ซอฟต์แวร์นี้เป็นเพียงการปิดกั้นการเข้าถึงไฟล์ระบบที่มีช่องโหว่ (T2embed.dll) แต่ไม่ใช่การปรับปรุงแก้ไขปัญหา โดยไมโครซอฟท์แจ้งว่าจะออกแพทช์เพื่อแก้ปัญหานี้ผ่านทาง Windows Update ในภายหลัง [6] [7]

หากยังไม่ได้ทำการติดตั้งซอฟต์แวร์ปรับปรุงช่องโหว่ดังกล่าว ผู้ใช้สามารถจำกัดความเสียหายที่อาจเกิดขึ้นได้โดยการกำหนดค่าระดับ Security ในเว็บเบราว์เซอร์หรือโปรแกรมรับส่งอีเมลของไมโครซอฟท์ให้เป็น Restricted Zone เพื่อไม่ให้มีการดาวน์โหลดฟอนต์จากเว็บไซต์ภายนอกมาโดยอัตโนมัติ รวมถึงไม่เปิดไฟล์เอกสารที่แนบมากับอีเมลที่น่าสงสัย

ศูนย์วิจัย CrySyS จากประเทศฮังการี ได้ทำการวิเคราะห์การทำงานของ DuQu และได้ออกซอฟต์แวร์ DuQu Detector Toolkit เพื่อให้ผู้ดูแลระบบใช้ในการตรวจสอบเครื่องคอมพิวเตอร์และแก้ไขการทำงานของระบบที่ถูกเปลี่ยนแปลงให้กลับสู่สภาพเดิมได้ [8] ผู้ที่สนใจสามารถดาวน์โหลดซอฟต์แวร์ดังกล่าวได้ที่ http://www.crysys.hu/

แหล่งข้อมูลอื่นๆ ที่เกี่ยวข้อง

เอกสารอ้างอิง

  1. http://technet.microsoft.com/en-us/security/advisory/2639658
  2. http://thehackernews.com/2011/11/duqu-another-stuxnet-in-making.html
  3. http://thehackernews.com/2011/11/duqu-malware-was-created-to-spy-on.html
  4. http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fDuqu.A
  5. http://support.microsoft.com/kb/2639658
  6. http://www.theregister.co.uk/2011/11/09/nov_patch_tuesday/
  7. http://searchsecurity.techtarget.com/news/2240110565/One-critical-bulletin-no-Duqu-patch-in-November-2011-Patch-Tuesday-updates
  8. http://thehackernews.com/2011/11/crysys-duqu-detector-open-source.html
Clear