Clear
Lead Graphic Papers

Mac OS X คือเป้าหมายใหม่ของผู้สร้างมัลแวร์

ผู้เขียน: เสฏฐวุฒิ แสนนาม
วันที่เผยแพร่: 11 เม.ย. 2555
ปรับปรุงล่าสุดวันที่: 12 เม.ย. 2555

Share on Facebook Share on Twitter Share on Google+

Mac OS X คือระบบปฏิบัติการที่ถูกพัฒนาขึ้นโดยบริษัท Apple Inc. สำหรับใช้งานบนเครื่องคอมพิวเตอร์ตระกูล Mac (Macintosh) เช่น iMac, MacBook ตัวระบบปฏิบัติการมีพื้นฐานมาจากระบบ UNIX จึงได้รับความน่าเชื่อถือในเรื่องของความเสถียรและความมั่นคงปลอดภัย ปัจจุบัน Mac OS X นั้นพัฒนามาถึงเวอร์ชั่น 10.7 โดยใช้ชื่อว่า OS X Lion [1]

ในอดีต จุดเด่นข้อหนึ่งที่ Apple Inc. ใช้ในการโฆษณา Mac OS X ไม่ว่าจะเป็นข้อความโฆษณาในเว็บไซต์ของ Apple เอง [2] หรือโฆษณาทางโทรทัศน์ก็ตาม [3] คือการบอกว่า Mac นั้นปลอดภัยและปราศจากไวรัส เนื่องจากตัวระบบปฏิบัติการมีพื้นฐานมาจากระบบ UNIX ทำให้มัลแวร์บน Windows ไม่สามารถทำงานบน Mac OS X ได้อยู่แล้ว แต่สาเหตุที่แท้จริงคือจำนวนผู้ใช้งานระบบปฏิบัติการ Mac OS X นั้นยังมีไม่ถึง 10% จากจำนวนผู้ใช้ระบบปฏิบัติการคอมพิวเตอร์ทั้งหมด [4] ทำให้ไม่เป็นที่สนใจสำหรับแฮ็กเกอร์ในการที่จะพัฒนามัลแวร์ขึ้นมาเพื่อโจมตี ผู้ใช้งาน Mac OS X โดยเฉพาะ แต่ในปัจจุบัน หลังจากที่จำนวนผู้ใช้งานระบบปฏิบัติการ Mac OS X มีแนวโน้มที่จะเพิ่มมากขึ้น [5] ทำให้ผู้พัฒนามัลแวร์หลายรายมีแนวโน้มที่จะหันมาพัฒนามัลแวร์ลง Mac OS X

มัลแวร์ใน Mac OS X

จากข้อมูลของ F-Secure ซึ่งเป็นบริษัทพัฒนาซอฟต์แวร์ด้านความมั่นคงปลอดภัย พบว่า มัลแวร์ที่มีเป้าหมายเพื่อโจมตีผู้ใช้งาน Mac โดยตรงนั้นเริ่มปรากฏตัวเมื่อเดือนตุลาคม ปี 2007 โดย F-Secure เรียกโทรจันนี้ว่า Trojan:OSX/DNSChanger ซึ่งจะล่อลวงให้ผู้ใช้ติดตั้งโปรแกรมที่หลอกว่าเป็นปลั๊กอิน QuickTime เพื่อใช้สำหรับดูวิดีโอบนเว็บไซต์ จากนั้นจะแก้หมายเลข DNS Server ในเครื่องผู้ใช้ให้ชี้ไปที่ที่ผู้สร้างมัลแวร์ต้องการ [6] และหลังจากนั้นก็ได้มีการค้นพบมัลแวร์บน Mac มากขึ้นเรื่อยๆ มัลแวร์โดยส่วนใหญ่จะเป็นโทรจัน ซึ่งแพร่กระจายผ่านวิธี Social Engineer เช่น ในเดือนมกราคม ปี 2009 มีการค้นพบโทรจัน Trojan.iServices.A ที่มาพร้อมกับโปรแกรม iWork ‘09 แบบละเมิดลิขสิทธิ์ที่แจกจ่ายผ่านระบบ Torrent [7] และต่อมาไม่นาน ก็มีการค้นพบโทรจัน Trojan.iServices.B ที่มาพร้อมกับโปรแกรม Adobe Photoshop CS4 แบบละเมิดลิขสิทธิ์เช่นกัน [8] จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Symantec และ McAfee จึงได้ออกมาประกาศแจ้งเตือนให้กับผู้ใช้ Mac OS X ว่าได้ตกเป็นเป้าหมายของผู้พัฒนามัลแวร์แล้ว [9]

ในปี 2011 แฮ็กเกอร์ได้หันมาสนใจโจมตีผู้ใช้ Mac อย่างเต็มตัว โดยได้มีการพัฒนาเครื่องมือที่ใช้สำหรับ “สร้าง” มัลแวร์ เพื่อโจมตีระบบปฏิบัติการ Mac OS X โดยเฉพาะ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก CSIS Security Group ได้ค้นพบว่ามีซอฟต์แวร์ชื่อ Weyland-Yutani BOT ขายอยู่ในเว็บไซต์ใต้ดิน ซึ่งผู้ใช้ซอฟต์แวร์ดังกล่าวสามารถสร้างมัลแวร์ที่ขโมยข้อมูลผู้ใช้ด้วยการ แทรก Web form เข้ามาในเบราว์เซอร์ที่ทำงานบนระบบปฏิบัติการ Mac OS X ได้ [10] หน้าจอของซอฟต์แวร์ดังกล่าวเป็นดังรูปที่ 1

Pp2012te0007-1.png
รูปที่ 1 หน้าจอโปรแกรม Weyland-Yutani BOT [10]

หลังจากที่ผู้ใช้ Mac เริ่มถูกคุกคามจากมัลแวร์ จึงมีผู้พัฒนาซอฟต์แวร์รักษาความมั่นคงปลอดภัยบน Mac ออกมาหลายราย แฮ็กเกอร์จึงฉวยโอกาสนี้พัฒนาซอฟต์แวร์ชื่อ Mac Defender ซึ่งหลอกผู้ใช้ว่าเป็นโปรแกรมรักษาความมั่นคงปลอดภัย แต่ที่จริงแล้วเป็นโทรจันที่ขโมยข้อมูลส่วนตัวของผู้ใช้ เช่น หมายเลขบัตรเครดิต [11] ตัวอย่างหน้าตาของโปรแกรม Mac Defender เป็นดังรูปที่ 2

Pp2012te0007-2.jpg
รูปที่ 2 ตัวอย่างหน้าตาของโปรแกรม Mac Defender [11]

มัลแวร์ดังกล่าวนี้ถูกติดตั้งลงบนเครื่องของผู้ใช้ได้โดยง่าย ผ่านความสามารถของเบราว์เซอร์ Safari บน Mac OS X ที่จะเปิดไฟล์ที่ผู้ใช้ดาวน์โหลดสำเร็จให้โดยอัตโนมัติ ถึงแม้ก่อนการติดตั้งซอฟต์แวร์ดังกล่าว ระบบปฏิบัติการจะแสดงหน้าจอแจ้งเตือนว่าการกระทำนี้อาจเป็นอันตรายต่อระบบ และให้ผู้ใช้ป้อนรหัสผ่านเพื่อยืนยัน แต่ผู้ใช้ส่วนใหญ่ก็ไม่สนใจและยอมใส่รหัสผ่านเพื่อให้โปรแกรมได้ติดตั้งต่อ [12] จากปัญหาดังกล่าว Apple Inc. จึงได้ออกแพทช์มาเพื่อเพิ่มระบบตรวจสอบไฟล์ที่ผู้ใช้ดาวน์โหลดก่อนทำการเปิดไฟล์ โดยหากพบว่าไฟล์ที่ดาวน์โหลดมามีลักษณะที่น่าจะเป็นมัลแวร์ ระบบจะแนะนำให้ผู้ใช้ทำการลบไฟล์นั้นทันที [13] ดังรูปที่ 3

Pp2012te0007-3.png
รูปที่ 3 ตัวอย่างการแจ้งเตือนไฟล์ที่ไม่ปลอดภัย [13]

อัตราการแพร่ระบาดของมัลแวร์บน Mac OS X นั้นมีแนวโน้มที่จะเพิ่มมากขึ้นเรื่อยๆ จากข้อมูลของ iAntivirus ซึ่งเป็นผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสบน Mac พบว่า ปัจจุบันมีมัลแวร์บน Mac มากกว่า 100 สายพันธุ์ ถึงแม้จะเป็นจำนวนที่น้อย แต่มัลแวร์ส่วนใหญ่ถูกจัดให้อยู่ในระดับความรุนแรงขั้นสูงสุดแทบทั้งสิ้น [14] หนึ่งในนั้นมีมัลแวร์ที่น่าสนใจคือโทรจันชื่อ Flashback

Flashback

มัลแวร์ Flashback ถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2011 โดยหลอกว่าเป็นตัวติดตั้งปลั๊กอิน Adobe Flash Player ในตอนนั้นยังไม่มีการสร้างความเสียหายอะไรเป็นพิเศษ นอกจากส่งข้อมูล MAC Address ของเครื่องผู้ใช้ออกไปยังเครื่อง Server และเปิดช่องทางให้ผู้โจมตีสามารถทราบได้ว่า เครื่องดังกล่าวติดมัลแวร์แล้ว [15] ในเวลานั้น Flashback ถูกจัดให้เป็นมัลแวร์ที่มีความอันตรายต่ำ ทำให้ Apple Inc. ไม่ได้ปล่อยแพทช์เพื่อตรวจสอบและกำจัดมัลแวร์นี้โดยทันที [16]

อย่างไรก็ตาม เนื่องจากมัลแวร์ Flashback มีความสามารถในการติดต่อกับเครื่อง Server เพื่ออัพเดตเวอร์ชั่นของตัวเองได้ ทำให้ในเวอร์ชั่นต่อๆ มา มัลแวร์ Flashback ได้ถูกเพิ่มความสามารถใหม่ๆ เข้ามาด้วย เช่น จะไม่ทำงานถ้าพบว่าถูกรันอยู่ในระบบที่เป็น Virtual Machine (ความสามารถ Anti-forensics) [17] รวมถึงปิดการทำงานของระบบ XProtect ซึ่งเป็นระบบป้องกันมัลแวร์บน Mac OS X และเขียนทับโปรแกรม XProtectUpdater เพื่อไม่ให้สามารถดาวน์โหลดแพทช์มากำจัดมัลแวร์สายพันธุ์ใหม่ๆ ได้อีก [18] ซึ่งความสามารถใหม่ๆ เหล่านี้ถูกพัฒนาเพิ่มเข้ามาในเวลาเพียง 1 เดือน และตอนนี้ Flashback มีเป้าหมายที่แน่นอนแล้ว นั่นคือ การขโมยข้อมูลส่วนตัวของผู้ใช้

ในเดือนกุมภาพันธ์ 2012 สายพันธุ์ใหม่ของมัลแวร์ Flashback ก็ได้ปรากฏขึ้น โดยในครั้งนี้ได้โจมตีผ่านช่องโหว่ของ Java เวอร์ชั่นเก่า (CVE-2011-3544 และ CVE-2008-5353) เมื่อผู้ใช้เข้าไปยังเว็บไซต์ที่มี Javascript เรียกใช้ Java-applet ที่โจมตีผ่านช่องโหว่ดังกล่าว จะปรากฏหน้าจอ Certificate ปลอมของ Apple Inc. ดังรูปที่ 4 เพื่อหลอกให้ผู้ใช้ติดตั้งโปรแกรม ซึ่งหากผู้ใช้ติดตั้ง Java เวอร์ชั่นเก่าไว้ในเครื่อง (เวอร์ชั่นก่อนเดือนพฤศจิกายน 2011) มัลแวร์จะสามารถติดตั้งตัวเองลงในเครื่องของผู้ใช้ได้โดยที่ผู้ใช้ไม่สังเกตเห็นความผิดปกติเลย แต่หากเป็น Java เวอร์ชั่นใหม่ ระบบจะแจ้งเตือนว่า Certificate นั้นไม่น่าเชื่อถือ (Untrusted) แต่ผู้ใช้ก็ยังสามารถติดตั้งโปรแกรมดังกล่าวได้ อย่างไรก็ตาม กลุ่มผู้ใช้ที่โดนโจมตีผ่านช่องโหว่นี้โดยส่วนใหญ่จะเป็นผู้ใช้ Mac OS X เวอร์ชั่น 10.6 ลงไป เนื่องจากใน Mac OS X เวอร์ชั่น 10.7 นั้น Apple Inc. ได้ถอดโปรแกรม Java ออกจากระบบปฏิบัติการแล้ว [19]

Pp2012te0007-4.png
รูปที่ 4 หน้าจอ Certificate ปลอมของ Apple Inc. [19]

ในเดือนมีนาคม 2012 มัลแวร์ Flashback พัฒนาไปอีกขั้นด้วยการรับคำสั่งในการทำงานจาก Twitter ซึ่งต่างจากมัลแวร์สมัยก่อนที่จะระบุหมายเลข IP ของเครื่องที่ส่งคำสั่งไว้ในโค้ดของโปรแกรม ทำให้เครื่องนั้นสามารถตรวจพบและถูกสั่งปิดได้ง่าย [20] บริษัท Intego ผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัส ได้ลองวิเคราะห์ข้อมูลของมัลแวร์ Flashback แล้วพบว่า มัลแวร์ตัวนี้น่าจะถูกสร้างโดยผู้พัฒนาเดียวกันกับ MacDefender [21]

ในวันที่ 2 เมษายน 2012 นักวิจัยจากบริษัท Dr.Web ซึ่งเป็นผู้พัฒนาซอฟต์แวร์ป้องกันไวรัส ได้รายงานการค้นพบสายพันธุ์ใหม่ของมัลแวร์ Flashback ซึ่งจะโจมตีผ่านช่องโหว่ของ Java (CVE-2012-0507) [22] โดยทาง Dr.Web คาดว่า มีเครื่อง Mac ที่ติดมัลแวร์ดังกล่าวไปแล้วไม่ต่ำกว่า 600,000 เครื่อง [23] สายพันธุ์ใหม่ของ Flashback ได้รับการตั้งชื่อว่า OSX/Flashback.K ซึ่งจะติดเข้าสู่เครื่องของผู้ใช้ผ่านการเปิดเว็บไซต์ที่มีโค้ดอันตรายฝัง อยู่ ส่วนข้อมูลจากบริษัท F-Secure ระบุว่า ช่องโหว่ของ Java ที่มัลแวร์ใช้ในการโจมตีนั้น ถูกแก้ไขโดยบริษัท Oracle และได้เผยแพร่แพทช์เพื่อแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 กุมภาพันธ์ ปี 2012 แล้ว โดยเผยแพร่ทั้งบนระบบปฏิบัติการ Windows, Linux และ UNIX [24] [25] แต่บริษัท Apple Inc. กลับไม่ยอมปล่อยแพทช์ดังกล่าวผ่านระบบอัพเดต [26] จนกระทั่งวันที่ 4 เมษายน 2012 ถึงมีแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าวออกมาทางระบบ Software Update ของ Mac OS X [27] และเมื่อวันที่ 6 เมษายน 2012 Software engineer จากบริษัท Garmin International ได้พัฒนาเครื่องมือ FlashbackChecker เพื่อใช้ในการตรวจสอบเครื่อง Mac ว่าติดมัลแวร์ Flashback หรือไม่ ซึ่งผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ https://github.com/jils/FlashbackChecker

No system is safe.

ปัจจุบัน Apple Inc. ได้พัฒนาระบบ Gatekeeper ซึ่งเป็นการกำหนดให้ผู้พัฒนาซอฟต์แวร์เข้ามาลงทะเบียนกับ Apple เพื่อรับ Developer ID และส่งซอฟต์แวร์มาให้ Apple เป็นผู้ตรวจสอบและ Sign ซอฟต์แวร์นั้น ก่อนที่จะเผยแพร่ให้กับผู้ใช้ ซึ่งระบบ Gatekeeper นี้จะเริ่มใช้ใน Mac OS X เวอร์ชั่น 10.8 [28]

มัลแวร์บน Mac นั้นมีมานาน และมีแนวโน้มที่จะถูกพัฒนาต่อไปให้สามารถแพร่กระจายและสร้างความเสียหายได้ มากขึ้นเรื่อยๆ Flashback เป็นตัวอย่างที่ดีที่แสดงให้เห็นถึงความสามารถในการโจมตีผ่านช่องโหว่ต่างๆ ของระบบ ผู้ใช้งาน Mac OS X ไม่ควรนิ่งนอนใจ และควรหมั่นติดตามข่าวสารเรื่องความมั่นคงปลอดภัยอยู่เสมอ เพราะในตอนนี้ การที่คำโฆษณาของ Apple Inc. เปลี่ยนจาก “Mac ไม่มีไวรัส” มาเป็น “Mac ไม่ติดไวรัสของ PC” [29] นั้นเป็นสัญญาณเตือนที่ดีว่า ผู้ใช้ Mac อาจถึงเวลาที่จะต้องติดตั้งซอฟต์แวร์แอนตี้ไวรัสแล้วก็เป็นได้

อ้างอิง

  1. http://www.apple.com/macosx
  2. http://web.archive.org/web/20080319080218/http://www.apple.com/getamac/viruses.html
  3. http://www.youtube.com/watch?v=ZwQpPqPKbAw
  4. http://www.w3schools.com/browsers/browsers_os.asp
  5. http://www.cultofmac.com/139839/mac-market-share-continues-to-rise-while-pc-shipments-decline-report/
  6. http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml
  7. http://www.macrumors.com/2009/01/22/iwork-09-torrent-carrying-os-x-trojan/
  8. http://us.norton.com/theme.jsp?themeid=ibotnet
  9. http://edition.cnn.com/2009/TECH/04/22/first.mac.botnet/index.html
  10. http://www.csis.dk/en/csis/blog/3195/
  11. http://www.pcworld.com/article/226846/fake_macdefender_brings_malware_to_macs.html
  12. http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-malware-is-getting-worse/3342
  13. http://support.apple.com/kb/HT4651
  14. http://www.iantivirus.com/threats/
  15. http://arstechnica.com/apple/news/2011/09/mac-trojan-pretends-to-be-flash-player-installer-to-get-in-the-door.ars
  16. http://www.theregister.co.uk/2011/09/27/apple_updates_mac_malware_protection/
  17. http://www.theregister.co.uk/2011/10/13/mac_trojan_innovates/
  18. http://threatpost.com/en_us/blogs/flashback-trojan-now-disabling-mac-xprotect-101911
  19. http://www.h-online.com/security/news/item/Flashback-malware-uses-new-infection-technique-1442810.html
  20. http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-twitter-as-command-and-control-center/
  21. http://www.intego.com/mac-security-blog/new-flashback-variant-changes-tack-to-infect-macs/
  22. http://news.drweb.com/?i=2341
  23. http://thehackernews.com/2012/04/more-than-600000-macs-system-infected.html
  24. https://www.f-secure.com/weblog/archives/00002341.html
  25. http://nakedsecurity.sophos.com/2012/02/15/oracle-java-and-adobe-shockwave-patches-for-february-too/
  26. http://nakedsecurity.sophos.com/2012/04/04/apple-patches-java-hole-that-was-being-used-to-compromise-mac-users/
  27. http://news.cnet.com/8301-13579_3-57410389-37/fighting-flashback-apple-issues-second-mac-update/
  28. http://www.apple.com/macosx/mountain-lion/security.html
  29. http://www.apple.com/why-mac/better-os/

Clear