Exclusive Content:

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์… จริงๆ แล้วจะเอาอะไรกันแน่?

ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป แถลงรายละเอียดงานวิจัย ถึงกลเม็ดเด็ดพรายสุดล้ำที่ผู้ร้ายใช้ถอนเงินจากตู้เอทีเอ็มได้จากการทำแอดมินระยะไกล และได้ลงมือสืบสวนเรื่องนี้ ตรวจสอบตู้เอทีเอ็มที่ว่างเปล่าไม่มีเงิน ไม่มีร่องรอยการงัดแงะหรือกระทำการใดๆ กับตัวตู้เลย และไม่มีแม้กระทั่งมัลแวร์ หลังการทุ่มเทวิจัยคดีนี้ ในที่สุดก็เข้าใจชัดทั้งทูลที่อาชญากรใช้ในการโจรกรรม และยังสามารถจำลองวิธีการโจรกรรมได้ด้วย จึงค้นพบช่องโหว่ด้านระบบความปลอดภัยในระบบของธนาคาร

เมื่อเดือนกุมภาพันธ์ปี 2017 นี้ แคสเปอร์สกี้ แลป ได้ตีพิมพ์เผยแพร่ ผลการสืบสวนสอบสวน กรณีการจู่โจมลึกลับที่ไร้ร่องรอยของไฟล์ที่เกิดขึ้นกับธนาคาร: อาชญากรใช้อินเมมโมรี่มัลแวร์ (in-memory malware) เพื่อแพร่เชื้อใส่ระบบเครือข่ายของธนาคาร แต่ทำไมพวกเขาจึงเลือกวิธีการทำเช่นนี้? กรณี ATMitch ทำให้เราเข้าใจภาพรวมได้กระจ่างชัดยิ่งขึ้น

การสืบสวนสอบสวนเริ่มต้นหลังจากที่ผู้เชี่ยวชาญพิสูจน์หลักฐานของธนาคารได้กู้ไฟล์และส่งต่อสองไฟล์ – ซึ่งเป็นสองไฟล์ที่หลงเหลืออยู่หลังการโจมตีเท่านั้น – ที่มีมัลแวร์ล็อก (logs) จากฮาร์ดไดรว์ของตู้เอทีเอ็ม (kl.txt and logfile.txt) อยู่: ส่วนการที่จะกู้ไฟล์ executables ของผู้ร้ายคืนมานั้นเป็นไปไม่ได้เพราะอาชญากรจะลบมัลแวร์ทิ้งหลังเสร็จสิ้นกระบวนการโจรกรรม อย่างไรก็ตาม ข้อมูลเล็กน้อยเช่นนี้ก็เพียงพอสำหรับแคสเปอร์สกี้ แลปในการดำเนินการสอบสวนสืบค้นหาร่องรอยกรณีนี้ต่อไป

Erase / rewind  

ภายในล็อกไฟล์ (log files) ที่ได้จากการสอบสวน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป สามารถระบุร่องรอยได้จากชิ้นส่วนข้อมูลใน plain text สามารถนำมาสร้าง YARA rule สำหรับคลังเก็บมัลแวร์สาธารณะเพื่อค้นหาตัวอย่าง โดยที่ YARA rules — พื้นฐานแล้วก็คือ สตริงเพื่อการสืบค้น (search strings) — ช่วยนักวิเคราะห์ค้นหา จัดกรุ๊ป และจัดเข้าหมวดหมู่ บรรดาตัวอย่างมัลแวร์ที่เกี่ยวข้องกัน จากนั้นหาความเชื่อมโยงระหว่างกันโดยอิงจากแพทเทิร์นรูปแบบของกิจกรรมที่น่าสงสัยบนระบบหรือเครือข่ายที่มีลักษณะคล้ายคลึงกัน

หลังจากรออยู่หนึ่งวัน ผู้เชี่ยวชาญพบตัวอย่างมัลแวร์ที่ต้องการ นั่นคือ “tv.dll” หรือรู้จักกันในชื่อใหม่ว่า ‘ATMitch’ เคยถูกพบอาละวาดอยู่ทั่วๆ ไปอยู่สองครั้งด้วยกัน: ครั้งแรกที่คาซัคสถาน และอีกครั้งที่รัสเซีย

มัลแวร์ตัวนี้ติดตั้งและปฏิบัติการได้จากระยะไกล กับตู้เอทีเอ็มของธนาคารเหยื่อเป้าหมาย ควบคุมเครื่องเอทีเอ็มได้จากระยะไกล หลังจากที่ติดตั้งและต่อเชื่อมกับตู้เอทีเอ็มเรียบร้อยแล้ว มัลแวร์ ATMitch ก็จะสื่อสารกับตู้เอทีเอ็มราวกับว่าตัวเองเป็นซอฟต์แวร์ที่ถูกต้อง เปิดช่องทางให้ผู้บุกรุกส่งรายการคอมมานด์ต่างๆ มาทำงาน อาทิ เก็บข้อมูลเกี่ยวกับจำนวนธนบัตรในคาสเซ็ตของตู้เอทีเอ็ม เป็นต้น ยิ่งไปกว่านั้น ยังเปิดช่องทางให้อาชญากรโจรกรรมเงินในตู้นั้นเมื่อไรก็ได้ เพียงแค่กดปุ่มเดียวเท่านั้น

โดยปกติแล้ว อาชญากรจะเริ่มต้นที่การเก็บข้อมูลจำนวนเงินในช่องจ่ายก่อน หลังจากนั้น อาชญากรจะส่งคอมมานด์คำสั่งไปยังช่องจ่ายเงินให้จ่ายเงินตามจำนวนที่อยู่ในคาสเซ็ตใดก็ได้ ซึ่งเป็นวิธีการเฉพาะตัวสุดแสนจะล้ำยุค และเมื่อเสร็จสิ้นกระบวนการโจรกรรมแล้ว สิ่งที่อาชญากรจะทำ ก็เพียงแค่มาคว้าเงินแล้วก็เผ่นแน่บไปเท่านั้นเอง การโจรกรรมตู้เอทีเอ็มเยี่ยงนี้ ทำได้ภายในไม่กี่วินาที!

เมื่อตู้เอทีเอ็มถูกปล้นจนหมดตู้แล้ว มัลแวร์ก็ลบร่องรอยของตัวเองหมดสิ้นเช่นกัน

Who’s there? 

ยังไม่เป็นที่แน่ชัดว่าใครเป็นผ็ที่อยู่เบื้องหลังอาชญากรรมนี้ การใช้โอเพ่นซอร์ส exploit code, ยูติลิตี้ทั่วๆ ไปของ Windows และโดเมนไร้ชื่อในขั้นแรกของปฏิบัติการนั้นทำให้เกือบจะเป็นไปไม่ได้ที่จะระบุกลุ่มผู้รับผิดชอบ อย่างไรก็ตาม “tv.dll” ที่ใช้ในขั้นจู่โจมตู้เอทีเอ็มนั้นก็มีภาษารัสเซียปะปนอยู่ด้วย และกลุ่มที่พอจะเข้าอาชญากรรมแนวนี้ ได้แก่ GCMAN และ Carbanak

“อาชญากรอาจจะยังคงปฏิบัติการอยู่ต่อเนื่อง แต่ก็ไม่ต้องตื่นตระหนกไป” เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว “การรับมือกับการก่ออาชญากรรมประเภทนี้ต้องใช้ฝีมือทักษะของผู้เชี่ยวชาญด้านความปลอดภัย คอยป้องกันองค์กรที่เป็นเป้าหมาย การที่มีการรั่วไหลเกิดช่องโหว่ของข้อมูลออกไปจากเน็ตเวิร์กได้นั้น จะทำได้เพราะมีทูลธรรมดาๆ ที่ถูกต้องต่อระบบนี่เอง หลังการโจมตี อาชญากรอาจจะลบข้อมูลทั้งหมดที่อาจย้อนรอยกลับไปถึงตัวเองได้ทิ้งไปเสีย เมื่อต้องจัดการกับกรณีเช่นนี้ การพิสูจน์หลักฐานหาร่องรอยจากเมมโมรี่จึงเป็นเรื่องสำคัญต่อการวิเคราะห์ตัวมัลแวร์และหน้าที่ของมัลแวร์นั้นๆ และดังเช่นที่ในกรณีที่เราได้สืบสวนไปเป็นผลสำเร็จนั้น การรับมือกับเหตุที่เกิดขึ้นอย่างระมัดระวังภายใต้แนงทางที่ชัดเจนนั้นสามารถช่วยแก้ปัญหา แม้แต่กับอาชญากรรมไซเบอร์ที่มีการวางแผนมาอย่างดีก็ตาม”

แคสเปอร์สกี้ แลป มีผลิตภัณฑ์ที่สามารถตรวจจับปฏิบัติการอาชญากรรมที่ใช้กลโกง ขั้นตอน วิธีการดังกล่าวข้างต้นอย่างได้ผล ข้อมูลละเอียดเกี่ยวกับกรณีนี้ และกฎ Yara rules สำหรับใช้ในการวิเคราะห์หาหลักฐานของการโจมตีแบบไร้ไฟล์ มีให้ท่านศึกษาเพิ่มเติมที่บลอก blog on Securelist.com ส่วนรายละเอียดเชิลเทคนิคัล รวมทั้งการระบุสัญญานว่ามีช่องโหว่ (Indicators of Compromise) มีให้ลูกค้าของแคสเปอร์สกี้ แลปศึกษาได้เช่นกันที่ Kaspersky Intelligence Services

Latest

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

ChatGPT ใช้ยังไงให้ประหยัดเวลาทำงาน 100 เท่า

มาจนถึงตอนนี้ ยังมีใครไม่รู้จัก ChatGPT อีกไหมครับ? ถ้ายัง แอดมินขออธิบายสั้นๆ ไม่เกิน 1 นาที...

Newsletter

Don't miss

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

ChatGPT ใช้ยังไงให้ประหยัดเวลาทำงาน 100 เท่า

มาจนถึงตอนนี้ ยังมีใครไม่รู้จัก ChatGPT อีกไหมครับ? ถ้ายัง แอดมินขออธิบายสั้นๆ ไม่เกิน 1 นาที...

8 เทคใหม่ ที่จะมาเปลี่ยนอนาคตของเราในปีนี้ จากงาน CES 2023

ห่างหายไปนานกับงานที่คอไอทีและผู้ที่หลงใหลในเทคโนโลยีตั้งตารอ กับงาน CES 2023 ที่เพิ่งจบไปแล้วเมื่อวันที่ 8 ม.ค. 2023 ไม่ต้องอธิบายมาก เราขอสรุป 10 เทคเด่นๆ ที่จะมาเปลี่ยนโลกของผู้ใช้อย่างเราๆ ในปีนี้กันครับ

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ นี่ขนาดอัพเดตเป็น Windows 11 แล้ว ไมโครซอฟท์ก็ยังไม่สามารถทำให้ระบบค้นหาดีขึ้นได้เลย วันนี้ผมเลยขอเอาแอพดีๆ ฟรีๆ ที่ช่วยให้การค้นหาบนวินโดวส์ ง่าย สนุก แถมใครเห็นต้องอึ้งกันอย่างแน่นอนครับ Listary แอพค้นหาบนวินโดวส์ขั้นเทพ ขอแนะนำแอพชื่อ Listary นี่คือแอพค้นหา ที่ไมโครซอฟท์ควรไปซื้อกิจการมันซะ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้ มาไว้ในบทความนี้ ใครจำได้ซักสามสี่ฟังก์ชัน แล้วเอาไปใช้เป็นประจำได้ ชีวิตคุณก็ง่ายขึ้นหลายเท่าแล้วล่ะครับ รวม 22 คีย์ลัดปุ่ม Windows Key ยิ่งรู้เยอะ ยิ่งทำงานได้เร็วขึ้น เวลาใช้งานคือกดปุ่ม Windows Key + ปุ่มอื่นๆ...

LEAVE A REPLY

Please enter your comment!
Please enter your name here