BlackByte กลับมาระบาดอีก!! ผ่านเทคนิค Bring Your Own Driver
#SecurityUpdate | กลับมาแล้ว!! BlackByte ransomware พร้อมกับเทคนิคใหม่
ที่สามารถข้ามการป้องกันบนไดรเวอร์มากกว่า 1,000 ตัว
นักวิจัยด้านความปลอดภัยที่บริษัทรักษาความปลอดภัยทางไซเบอร์ Sophos ได้เปิดเผยรายงานการตรวจพบ BlackByte ransomware กลับมาระบาดอีกครั้ง ด้วยเทคนิคใหม่ที่ถูกเรียกว่า "Bring Your Own Driver" ซึ่งจะสามารถปิดระบบป้องกันการตรวจจับบนไดรเวอร์ได้มากกว่า 1,000 ตัว
การตรวจพบในครั้งนี้ เกิดขึ้นจากรายงานการโจมตีล่าสุดที่เกิดขึ้นกับ ไดรเวอร์ของ MSI Afterburner RTCore64.sys มีการทำงานผิดพลาดซึ่งทำให้ผู้โจมตีสามารถอ่าน เขียน หรือรันโค้ดในหน่วยความจำเคอร์เนลได้โดยไม่ต้องใช้เชลล์โค้ดหรือช่องโหว่จากนั้นผู้โจมตีใช้ประโยชน์จากช่องโหว่ของไดรเวอร์เพื่อลบ Kernel Notify Routines ที่สอดคล้องกับกระบวนการเครื่องมือรักษาความปลอดภัย
วิธีการ “Bring Your Own Vulnerable Driver” (BYOVD) นั้นมีประสิทธิภาพเนื่องจากไดรเวอร์ที่มีช่องโหว่นั้นได้รับการลงนามด้วยใบรับรองที่ถูกต้องและทำงานด้วยสิทธิพิเศษระดับสูงบนระบบ ซึ่งมีตัวอย่างเด่น ของการโจมตีแบบ BYOVD ก็คือ Lazarus ใช้ไดรเวอร์ Dell ในทางที่ผิด และแฮ็กเกอร์ที่ไม่รู้จักซึ่งใช้ไดรเวอร์/โมดูลป้องกันการโกงสำหรับเกม Genshin Impact ที่เป็นข่าวมาก่อนหน้านี้
Sophos ยังได้เน้นย้ำถึงวิธีการต่างๆ ที่ BlackByte ใช้ในการโจมตีเหล่านี้เพื่อหลบเลี่ยงการวิเคราะห์จากนักวิจัยด้านความปลอดภัย เช่น การค้นหาสัญญาณของโปรแกรมแก้ไขข้อบกพร่องที่ทำงานบนระบบเป้าหมายและการออกจากระบบอีกด้วย
ทั้งนี้ทาง Sophos ได้ให้คำแนะนำมาถึงผู้ดูแลระบบ หากต้องการป้องกันในเบื้องต้นได้ เพียงเพิ่มไดรเวอร์ MSI ลงในรายการบล็อกที่ใช้งานอยู่ นอกจากนี้ ผู้ดูแลระบบควรตรวจสอบเหตุการณ์การติดตั้งไดรเวอร์ทั้งหมด และตรวจสอบบ่อยๆ เพื่อค้นหาการแทรกที่ไม่มีฮาร์ดแวร์ที่ตรงกัน
ที่มา : Sophos, Bleeping Computer