Stuxnet โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell

Win32/Stuxnet หรือ Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ (Multi-component) คือเป็นทั้ง ประเภท โทรจัน (Trojan) และเวิร์ม (Worm) มีการค้นพบครั้งแรกเมื่อ 16 กรกฏาคม 2553 ที่ผ่านมา เป็นมัลแวร์ที่โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell (มีกระทบกับ Windows ทุกเวอร์ชัน) ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้เมื่อวันที่ 3 สิงหาคม 2553 ตามรายละเอียดใน ไมโครซอฟท์ออกแพตซ์ MS10-046 เป็นกรณีเร่งด่วนเพื่อแก้ปัญหาช่องโหว่ความปลอดภัย Windows

Stuxnet สามารถทำการติดตั้งและดร็อปคอมโพเนนต์ ทำการฉีดโค้ด (Injecting code) เข้าสู่โปรเซสระบบที่กำลังทำงานอยู่เพื่อสร้างช่องทางให้แบ็คดอร์ใช้ในการเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัส

หมายเหตุ: McAfee ระบุว่าเป้าหมายการโจมตีของ Stuxnet คือระบบที่รันซอฟต์แวร์ WinCC SCADA

ประเภท (Type):
- Trojan

ประเภทรอง (SubType):
- Worm

ชื่ออื่นๆ (Aliases):
- Stuxnet
ระดับการเตือนภัย (Alert Level)
Severe

รายละเอียดทางเทคนิค (Technical Information):
Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ มีการแพร่ระบาดผ่านทางอุปกรณ์เก็บข้อมูลแบบพกพาโดยอาศัยช่องโหว่ความปลอดภัยของ Windows Shell เมื่อเวิร์ม Stuxnet ถูกทำการรันมันจะทำการดร็อปไฟล์ชอร์ตคัท (.Lnk) ที่มีการฝังโค้ดอันตราย (Malicious shortcut) ลงในไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา เมื่อมีการใช้งานไดรฟ์ดังกล่าวจากโปรแกรมแอพพลิเคชันที่ทำการแสดงไอคอนของชอร์ตคัท (ตัวอย่างเช่น Windows Explorer) ถ้าคอมพิวเตอร์เครื่องดังกล่าวมีช่องโหว่ความปลอดภัย Windows Shell ก็จะทำให้ไฟล์ชอร์ตคัทถูกรันโดยอัตโนมัติในทันที สำหรับไฟล์ชอร์ตคัทที่เวิร์ม Stuxnet ดร็อปลงในเครื่องนั้นโปรแกรมป้องกันไวรัสจะตรวจพบในชื่อ Exploit:Win32/CplLnk.A

สำหรับช่องโหว่ความปลอดภัยของ Windows Shell ที่ Stuxnet ใช้เป็นช่องทางในการแพร่ระบาดนั้นถูกค้นพบเมื่อวันที่ 16 กรกฏาคม 2553 และไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้ตั้งแต่วันที่ 3 สิงหาคม 2553 สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่ พบช่องโหว่ความปลอดภัยร้ายแรงใน Windows Shell กระทบกับ Windows ทุกเวอร์ชัน

Stuxnet นั้นมีหลายคอมโพเนนต์ได้แก่
- TrojanDropper:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่ดร็อปและติดตั้งคอมโพเนนต์ต่างๆ ของ Stuxnet
- Trojan:WinNT/Stuxnet - เป็นไดรเวอร์คอมโพเนนต์ที่ทำหน้าที่โหลด/รันคอมโพเนนต์ที่เป็น Worm:Win32/Stuxnet
- Worm:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่แพร่กระจายไวรัส

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ shortcut (.lnk) อยู่ในไดรฟ์เก็บข้อมูลแบบพกพา
• มีไฟล์ดังนี้อยู่ในเครื่อง
- ~WTR4132.tmp
- %System%\drivers\mrxcls.sys
- %System%\drivers\mrxnet.sys
- %Windir%\inf\mdmcpq3.PNF
- %Windir%\inf\mdmeric3.PNF
- %Windir%\inf\oem6C.PNF
- %Windir%\inf\oem7A.PNF
• มีการแก้ไขรีจีสทรีย์ดังนี้
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
- Description: "MRXCLS"
- DisplayName: "MRXCLS"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxcls.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
- 0: "Root\LEGACY_MRXCLS\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
- Description: "MRXNET"
- DisplayName: "MRXNET"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxnet.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
- 0: "Root\LEGACY_MRXNET\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

วิธีการป้องกัน
- ทำการติดตั้งอัปเดทหมายเลข MS10-046

และเพื่อเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส แนะนำให้ดำเนินการ ดังนี้
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดWin32/Stuxnet โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
• Microsoft Virus Encyclopedia
• McAfee Threat Center

Read more »

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog

ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก

โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"

สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber

นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้

"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."

โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บน ทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้

อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบน หน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับ อนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น

แหล่งข้อมูลอ้างอิง
• Softpedia

Read more »

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น
บทความโดย: Windows Administrator Blog

MMPC (Microsoft Malware Protection Center) ได้ประกาศว่าพบแบ็คดอร์โทรจัน (Backdoor Trojan) ตัวใหม่ชื่อ Win32/Yonsole.A ซึ่งเป็นโทรจันที่ทำหน้าที่เชื่อมต่อเครื่องคอมพิวเตอร์ที่มันติดอยู่กับ เซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี (Attacker) เพื่อทำการรับคำสั่งการทำงาน

โดยโทรจัน Win32/Yonsole.A สามารถทำการแก้ไขข้อมูล Master Boot Record (MBR) ของฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ที่ส่งผลให้ไม่สามารถบูทระบบได้ โดยโค้ดของ MBR ที่ถูกแก้ไขจะมีลักษณะดังรูปที่ 1



เมื่อทำการบูทเครื่องที่โดนโทรจัน Win32/Yonsole.A แก้ไข MBR จะแสดงหน้าจอดำพร้อมแบนเนอร์ดังรูปที่ 2


สำหรับรายละเอียดของโทรจัน Win32/Yonsole.A มีดังนี้

ชื่ออื่นๆ (Aliases):
- Win-Trojan/Torr.111104.AL (AhnLab) W32/OnlineGames.EI.gen!Eldorado (Authentium (Command))
- Backdoor.Win32.Torr.cep (Kaspersky)
- Trojan:Win32/Malagent (Microsoft)
- Backdoor.Torr.QS (VirusBuster)
- Trojan horse Dropper.Generic2.DJQ (AVG)
- Trojan.Generic.3777760 (BitDefender)
- Win32/Tnega.AJE (CA)
- Win32/Farfli.AK (ESET)
- Backdoor.Win32.Torr (Ikarus)
- Generic BackDoor!cqn (McAfee)
- Trj/Downloader.MDW (Panda)
- Trojan.Win32.Generic.5200D50B (Rising AV)
- Troj/Bckdr-RBZ (Sophos)
- Trojan.Win32.Generic!BT (Sunbelt Software)
- Mal_PClient (Trend Micro)

ระดับการเตือนภัย (Alert Level)
Severe

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ f00165500k.cmd อยู่ในเครื่อง
• มีการแก้ไขรีจีสทรีย์ดังนี้
- Adds value: "ServiceDll"
- With data: "\f00165500k.cmd"
- Under key: HKLM\SYSTEM\CurrentControlSet\Services\F00165500K\Parameters

วิธีการป้องกัน
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดโทรจัน Win32/Yonsole.A โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
• Microsoft Technet
• ไมโครซอฟท์ ไวรัสเอ็นไซโคพีเดีย

Read more »

Trojan-Ransom.Win32.Winac.A - Windows "activation" ransomware

ระวัง! โทรจัน Ransom.Win32.Winac.A หลอกขโมยหมายเลขบัตรเครดิต
บทความโดย: Thai Windows Administrator Blog

มีการแจ้งเตือนผู้ใช้ Windows ให้ระวังโทรจันชื่อ Ransom.Win32.Winac.A ซึ่งเป็นโทรจันที่มีเป้าหมายเพื่อขโมยหมายเลขบัตรเครดิต โดยมันจะทำการล็อก Windows ทำให้ไม่สามารถใช้งานได้จนกว่าผู้ใช้จะทำการป้อนข้อมูลบัตรเครดิต

โดยขั้นตอนแรก โทรจัน Ransom.Win32.Winac.A จะหลอกว่า Windows ที่กำลังใช้งานอยู่นั้นเป็นเวอร์ชันละเิมิดลิขสิทธิ์ด้วยการแสดงไดอะล็อก บ็อกซ์ Microsoft Windows Activation: Microsoft privacy control พร้อมข้อความว่า "We will ask for your billing details, but your credit card will NOT be charged."




ทั้งนี้ โทรจันจะเสนอทางเลือกให้ผู้ใช้ 2 ทาง คือ "Yes, activate Windows over the internet now" เพื่อทำการแอคติเวต Windows ในทันที หรือ "No, I will do it later" เพื่อทำการแอคติเวต Windows ในภายหลัง ถ้าผู้ใช้เลือก No, I will do it later โทรจันก็จะทำการรีบูทเครื่องคอมพิวเตอร์และจะกลับมายังหน้าไดอะล็อกบ็อกซ์ Microsoft Windows Activation: Microsoft privacy control อีกครั้ง แต่ถ้าผู้ใช้เลือก Yes, activate Windows over the internet now ซึ่งจะต้องป้อนข้อมูลส่วนตัว (รวมถึงหมายเลขบัตรเครดิต) โทรจันก็จะทำการแอคติเวต Windows ที่ (อ้างว่า) ละเิมิดลิขสิทธิ์ให้เป็นเวอร์ชันถูกลิขสิทธิ์ และระบบก็จะกลับมาใช้งานได้ตามปกติอีกครั้ง



อย่างไรก็ตาม ถ้าผู้ใช้เลือกทำการแอคติเวต โทรจันก็จะทำการส่งข้อมูลบัตร เครดิตไปยังเครือข่ายบ็อท fast-flux จากนั้นข้อมูลอาจถูกใช้ในทางที่สร้างความเสียหายให้กับเจ้าของบัตรเครดิตได้

แหล่งข้อมูลอ้างอิง
• Sunbelt

Read more »