เวิร์ม Dorkbot ตัวใหม่ ที่เล็งเป้าหมายไปยังไดรฟ์แบบพกพา และแพร่กระจายผ่าน Skype โดยเชื่อมต่อกับเซิร์ฟเวอร์ IRC
ไซเบอร์โรม บริษัทผู้นำด้านแอพพลายแอนซ์ความปลอดภัยบนเครือข่ายระดับโลก ได้ประกาศในวันนี้ว่า แล็ปค้นคว้าวิจัยอันตรายของตัวเองได้วิเคราะห์เวิร์มสายพันธุ์ใหม่ที่รู้จักกันในชื่อ “Dorkbot” ซึ่งนักเจาะข้อมูลที่อยู่เบื้องหลังการโจมตีของเวิร์มตัวนี้ได้ใช้ Skype แพลตฟอร์มสำหรับสื่อสารผ่านเน็ตที่กำลังเป็นที่นิยมอย่างสูง เป็นสื่อในการกระจายเวิร์มไปยังระบบหรือพีซีเป้าหมายที่รันโอเอสเป็นวินโดวส์ Cyberoam Threat Research Labs (CTRL) ได้ค้นพบสายพันธุ์ใหม่นี้ระหว่างการศึกษาไฟล์ตัวอย่างที่สร้างช่องโหว่แบบ Zero-day 2 ตัวที่ถูกส่งต่อกันมาผ่าน Skype ซึ่งประกอบด้วยไฟล์ทั้งสกุล .exe และ .zip ด้วยการรวมพลของทีมผู้เชี่ยวชาญและนักวิจัยด้านความปลอดภัยบนเครือข่ายโดยเฉพาะ ทำให้ Cyberoam Threat Research Labs วิเคราะห์ช่องโหว่ที่เกิดขึ้นจากการแพร่กระจายบนเครือข่ายและแอพพลิเคชั่นที่หลากหลายซึ่งเกี่ยวข้องกับการใช้งานตามปกติได้
ไฟล์ตัวอย่างถูกพบว่าเป็นเวิร์ม Dorkbot ตัวใหม่ ที่เล็งเป้าหมายไปยังไดรฟ์แบบพกพา และแพร่กระจายผ่าน Skype โดยเชื่อมต่อกับเซิร์ฟเวอร์ IRC (Internet Relay Chat) แล้วจอยเข้าไปในแชนแนลของ IRC ที่สร้างขึ้นมาเป็นพิเศษเพื่อส่งคำสั่งออกมาจากผู้โจมตี เวิร์มตัวนี้ถูกโปรแกรมมาให้ลบตัวเองทิ้งหลังจากจัดการตามคำสั่งสำเร็จ
เวิร์มจะเพิ่มข้อมูลรีจิสตรี้บางอย่างเข้ามาเพื่อทำให้แน่ใจว่าจะถูกเรียกใช้โดยอัตโนมัติเมื่อเริ่มระบบ ตัวมันจะส่งข้อความผ่านแชตของ Skype เพื่อหลอกล่อให้ผู้ใช้เผลอคลิกลิงค์ในข้อความซึ่งจะนำไปสู่การโหลดมัลแวร์ จากนั้นจะสร้างประตูหลังสำหรับให้ผู้โจมตีได้ปล่อยมัลแวร์ตัวอื่นๆ เข้ามา หรือแม้กระทั่งล็อกระบบที่ติดเชื้อไว้สำหรับใช้เป็นทรัพยากรในการสร้างบอทเน็ตต่อไป มัลแวร์ตัวนี้ยังเชื่อมต่อกับเซิร์ฟเวอร์ IRC จอยเข้ากับแชลแนลแล้วรอคอยคำสั่ง ด้วยกลไกดังกล่าวนี้ทำให้สามารถขโมยชื่อผู้ใช้และรหัสผ่านของผู้ใช้งานได้จากการคอยตรวจสอบการสื่อสารผ่านเครือข่าย แล้วยังสามารถบล็อกเว็บไซต์ที่เกี่ยวข้องกับการอัพเดตระบบความปลอดภัยได้ด้วย นอกจากนี้ยังอาจเปิดให้มีการโจมตี Denial of Service (DoS) แบบจำกัดด้วย เนื่องจากเวิร์มสามารถเข้ามาขัดขวางการสื่อสารบนเน็ตผ่านบราวเซอร์ได้โดยการเจาะเข้า API ที่หลากหลาย ทำให้สามารถเข้ามาล้วงเอาข้อมูลที่อ่อนไหวของผู้ใช้ได้ ยิ่งกว่านั้น ผู้โจมตีสามารถใช้มัลแวร์ตัวนี้ในการล็อกอินเข้าไปยังเซิร์ฟเวอร์ FTP อื่นเพื่อโหลดไฟล์ HTML ที่ติดเชื้อหลากหลายตัวด้วยการสร้าง iFrame ที่ช่วยอำนวยความสะดวกในการแพร่กระจายเวิร์ม
นอกจากนั้นแล้ว พวกเขายังได้ค้นพบข้อเท็จจริงเกี่ยวกับมัลแวร์ที่ทะลวงข้อมูลใน Bitcoin ซึ่งกำลังพุ่งเป้าไปที่ผู้ใช้ Skype อยู่ตอนนี้ด้วย ช่วงสัปดาห์ก่อนมีข่าวหลายเหตุการณ์ที่เกี่ยวเนื่องกับภัยมัลแวร์ผ่านตัว Skype แถมยังมีการวิพากษ์วิจารณ์อย่างหนักในวงการอุตสาหกรรมด้านความปลอดภัยเกี่ยวกับมัลแวร์ที่ขโมยข้อมูลในระบบการเงินแบบดิจิตอลที่เริ่มมีการใช้บอทเน็ตมาโจมตีเครือข่ายชื่อดังอย่าง Bitcoin ด้วย สิ่งที่ทางแล็ปวิจัยอันตรายบนเครือข่ายของไซเบอร์โรมค้นพบมีมากกว่านี้ โดยได้เปิดเผยถึงกลไกวิธีการอย่างละเอียดของอาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ตัวนี้ รวมถึงให้ข้อมูลเชิงลึกที่แสดงถึงความเสี่ยงอื่นๆ ที่ไม่ได้จำกัดอยู่แค่การล้วงข้อมูลใน Bitcoin แต่เพียงอย่างเดียว
“รายงานเมื่อเร็วๆ นี้เกี่ยวกับมัลแวร์ดังกล่าวได้แสดงให้เห็นว่า แค่การโจมตีมีเป้าหมายที่จะสร้างบอทเน็ตเพื่อรวบรวมข้อมูลใน Bitcoin โดยใช้ทรัพยากรประมวลผลของคอมพิวเตอร์ที่เป็นเหยื่อนั้นเป็นแค่เรื่องเพียงครึ่งหนึ่งเท่านั้น” บาเดรช พาเทล หัวหน้านักวิจัยช่องโหว่อันตรายของ CTRL กล่าว “ทีมงานวิจัยอันตรายของเราได้ดำเนินการสืบสวน โดยมีการปล่อยให้มัลแวร์เติบโตเต็มที่ ให้ติดเชื้อในระดับที่สมเหตุสมผลในระบบทดสอบ ด้วยวิธีดังกล่าว นักวิเคราะห์อันตรายประจำ CTRL ประสบความสำเร็จในการวิเคราะห์เชิงลึกเกี่ยวกับมัลแวร์ตัวนี้ และภัยแอบแฝงของมัน ขณะที่ค้นพบความเสี่ยงอื่นๆ ที่ยังไม่เคยมีใครรายงานมาก่อน”
“ทาง Cyberoam Threat Research Labs เชื่อในการศึกษาและนำหน้าอันตรายต่างๆ ไปหนึ่งก้าวเพื่อวิเคราะห์หาข้อมูลและกลไกโดยละเอียดจากการศึกษาในครั้งนี้ ในเวลาที่มีการระบาดของการโจมตีมัลแวร์ขั้นสูงอย่างมากเช่นตอนนี้ CTRL มุ่งเน้นที่จะทำการศึกษาวิจัยลึกลงไปถึงแรงจูงใจและภัยแอบแฝงของอันตรายต่างๆ ที่พบด้วย” อับลิชลาช ซันวาเน่ รองประธานอาวุโสฝ่ายจัดการผลิตภัณฑ์ของไซเบอร์โรมกล่าว
ในฐานะของทีมงานที่รับผิดชอบการวิจัยอันตรายโดยตรง CTRL พบว่าได้ประสิทธิภาพอย่างยิ่งในการก้าวนำหน้าอันตรายที่ร้ายแรงต่างๆ และวางเป้าหมายที่จะให้ข้อมูลการศึกษาเชิงลึกเกี่ยวกับกลไกของอันตรายไม่ว่าจะซับซ้อนเพียงใด รวมถึงวิเคราะห์พฤติกรรมการใช้งานและแอพพลิเคชั่นบนอินเทอร์เน็ตในปัจจุบัน
เกี่ยวกับสถาบันทดลองวิจัยอันตรายของไซเบอร์โรม
Cyberoam Threat Research Labs (CTRL) ทำหน้าที่ระบุอันตรายต่อระบบความปลอดภัย และปกป้องลูกค้าจากช่องโหว่หลากหลายรูปแบบ เช่น การโจมตีจากมัลแวร์ โดยการตีพิมพ์รายงานการวิจัยและแนวทางการอัพเกรดระบบความปลอดภัย รายงานเหล่านี้ช่วยให้ลูกค้าของไซเบอร์โรมยังได้รับการปกป้องด้วยแนวทางการป้องกันอย่างละเอียด และการป้องกันอันตรายจากมัลแวร์โดยใช้การตั้งค่าผ่านพารามิเตอร์ที่เหมาะสมบนอุปกรณ์ของไซเบอร์โรม ซึ่งในปีที่ผ่านมา CTRL ได้ทำการวิจัยกับช่องโหว่อันตรายต่างๆ กว่า 138 ตัว และได้ออกซิกเนเจอร์สำหรับป้องกันที่เหมาะสม เพื่อเพิ่มระบบการป้องกันแก่ลูกค้า
เกี่ยวกับ Cyberoam Technologies Private Limited
Cyberoam Technologies Private Limited เป็นบริษัทอุปกรณ์ความปลอดภัยบนเครือข่ายระดับโลก ให้โซลูชั่นความปลอดภัยสำหรับเครือข่ายในอนาคต ด้วยเทคโนโลยีที่เป็นนวัตกรรมล้ำสมัย ด้วยแอพพลายแอนซ์ Unified Threat Management ที่ใช้หลักการยืนยันตัวตนของไซเบอร์โซมได้รวมเอาฟีเจอร์ความปลอดภัยหลายหลายอันได้แก่ ไฟร์วอลล์ที่ทำงานแบบ Stateful วีพีเอ็น ระบบป้องกันการบุกรุก แอนติไวรัส/แอนติสปายแวร์บนเกตเวย์ แอนติสแปมบนเกตเวย์ การคัดกรองผ่านเว็บ การควบคุมการใช้งานแอพพลิเคชั่น ไฟล์วอลล์สำหรับเว็บแอพพลิเคชั่น การจัดการแบนด์วิธ และการจัดการลิงค์หลายลิงค์บนแพลตฟอร์มเดียวกัน แอพพลายแอนซ์ Cyberoam Central Console ทั้งแบบที่เป็นฮาร์ดแวร์และแบบเวอร์ช่วลได้ให้ทางเลือกสำหรับการจัดการความปลอดภัยจากศูนย์กลางให้แก่องค์กร ขณะที่ Cyberoam iView ทำหน้าที่บันึก Log อย่างชาญฉลาด และทำรายงานเชิงลึกและเป็นเอกลักษณ์เฉพาะ ไซเบอร์โรมได้รับการรับรองจากมาตรฐานและใบประกาศที่มีชื่อเสียงระดับโลกอย่างเช่น ใบประกาศ CheckMark UTM Level 5, ICSA Labs, IPv6 Gold logo และได้เป็นสมาชิกของ Virtual Private Network Consortium ด้วย ไซเบอร์โรมมีสำนักงานอยู่ทั้งที่สหรัฐฯ และอินเดีย