[Avery IT Tech] มัลแวร์เดี๋ยวนี้มันร้ายจริงหรือ? . สวัสดีครับทุกท่าน กลับมาคุยในเรื่องของไวรัสจากคอมพิวเตอร์กันดีกว่าครับ ขึ้นชื่อว่าไวรัส มันก็น่ากลัวกันทั้งนั้นสำหรับคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ถูกต้องมั๊ยค

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

20 ก.ค. 2022 เวลา 14:48 • วิทยาศาสตร์ & เทคโนโลยี

มัลแวร์เดี๋ยวนี้มันร้ายจริงหรือ?

สวัสดีครับทุกท่าน กลับมาคุยในเรื่องของไวรัสจากคอมพิวเตอร์กันดีกว่าครับ ขึ้นชื่อว่าไวรัส มันก็น่ากลัวกันทั้งนั้นสำหรับคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ถูกต้องมั๊ยครับ

เเละอีกอย่างก็สามารถติดเชื้อหรือโดนติดตั้งไวรัสได้อย่างง่ายดายอีกด้วย แต่ปัจจุบันเทคโนโลยีการตรวจสอบปกป้องและป้องกันก็มีวิธีการใหม่ๆและสามารถตรวจสอบและปกป้องได้อย่างรวดเร็ว จนทำให้ผู้โจมตีหรือเหล่าอาชญากรไซเบอร์นั้นก็ขยันเหลือเกินที่จะออกไวรัสหรือวิธีการใหม่ๆ เพื่อหลบเลี่ยงการตรวจสอบหรือการป้องกันนั้นเอง

วันนี้มีมัลแวร์ใหม่หรือไวรัสตัวใหม่ออกมาในระบบปฏิบัติการ Linux ชื่อว่า Symbiote (ไม่ใช่ Venom นะครับ)

(Two most enduring symbiotic characters, Venom (below) and its offspring Carnage (above), battling each other in the textless cover from Venom vs. Carnage #1 (July 2004). Art by Clayton Crain)

ตัวนี้เป็นมัลแวร์รูปแบบใหม่ที่โจมตีระบบ Linux ขโมยข้อมูลส่วนตัว หรือ ข้อมูลสำคัญ ไปจนถึง เปิดอนุญาตให้เข้าถึงระยะไกลไปยังเครื่องที่ติดได้ และซ่อนตัว จนนักวิจัยที่ศึกษามันบอกว่าพวกเขาไม่สามารถสรุปได้ว่ามันถูกใช้ในแคมเปญการโจมตีไหนและตรวจสอบได้อย่างยากลำบากมาก ๆ ครับ

เเละด้วยการทำงานของ Symbiote จะคล้าย ๆ กับการฝั่งตัวไปทุกอนูหรือเข้าไปอยู่ใน Process ของการ Run คำสั่งหรือโปรแกรมของ Linux ทำให้ไม่สามารถตรวจสอบได้โดยง่าย

โดยการทำงานหลักๆของมันนั้น สามารถใช้ hook ฟังก์ชันอย่าง libc และ libpcap เพื่อช่วยในการปกปิดการมีอยู่ของตัวเอง หรือ ซ่อนการทำงานของตัวเอง ได้เช่น ในการัน Process ของ Software การเปิดไฟล์หรือการดึงข้อมูลต่างๆก็ด้วย

Symbiote ถูกพบครั้งแรกในเดือนพฤศจิกายนปี 2021 และในขณะนั้นดูเหมือนว่าจะถูกสร้างขึ้นเพื่อโจมตีสถาบันการเงินในละตินอเมริกา ต่อมานักวิจัยด้านความปลอดภัยจาก Intezer

ทำให้ทีมวิจัยและข่าวกรองของ BlackBerry กล่าวว่าสิ่งที่เรียกว่ามัลแวร์ Symbiote นั้นผิดปกติเพราะไม่ใช่ไฟล์สั่งการที่แท้จริง จริงๆ แล้วเป็นไลบรารีอ็อบเจ็กต์ที่ใช้ร่วมกันซึ่งโหลดตัวเองเข้าสู่กระบวนการที่กำลังทำงานของเครื่อง

โดยใช้ไฟล์ LD_Preload ใน Linux [อ่านเพิ่มเติมสำหรับ LD_Preload Attack]

นักวิจัยเขียนในบล็อกโพสต์ในว่า "เมื่อติดเชื้อจากมัลแวร์มันจะเข้าแฝงตัวในกระบวนการทำงานทั้งหมดแล้ว จะทำให้ผู้อาชญากรทางไซเบอร์มีฟังก์ชันการทำงานของรูทคิต ความสามารถในการเก็บเกี่ยวข้อมูลส่วนตัว ไฟล์ และความสามารถในการเข้าถึงจากระยะไกล"

https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat

โดยการที่จะตรวจสอบตอนนี้นั้นอาจจะต้องพึ่งพาการวิเคราะห์ และเฝ้าระวังคำขอ DNS ที่ผิดปกติเป๋นจำนวนมากๆนั้นเอง การถึงพาแต่ Antivirus นั้นอาจจะไม่เพียงพอในการรับมือและวิเคราะห์การทำงานหรือการส่งข้อมูลออกไปภายนอกจากมัลแวร์ Symbiote

Symbiote evasion techniques. https://www.intezer.com/blog/research/new-linux-threat-symbiote/

อ้างอิง

https://www.integraldefence.com/cyber-news/symbiote-malware-poses-stealthy-linux-based-threat-to-financial-industry/

https://www.darkreading.com/threat-intelligence/new-linux-malware-nearly-impossible-to-detect-?fbclid=IwAR0GlishhS3_R6yZUV8QQW6quC1ihQkW-k-Gx_bos8m39n_M1BumQpTRYKE

https://www.intezer.com/blog/research/new-linux-threat-symbiote/

ติดตามข่าวสารจาก Avery IT tech เพิ่มเติมได้ทุกช่องทางตามด้านล่าง

Website: https://www.averyittech.com

Facebook: Avery IT Tech

Blockdit: Avery IT Tech

#AveryITTech #IT #ITSecurity

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน