หน้าแรก > ข่าวสาร
การป้องกันไวรัสเบื้องต้น 11 Feb 2021
ระวังภัยช่องโหว่ใน WinRAR 20 Feb 2019
พ.ร.บ. คอมพิวเตอร์คืออะไร 11 Feb 2019
ไมโครซอฟท์ชวนเลิกใช้ IE 11 Feb 2019
ปีสุดท้ายของ Windows7 09 Feb 2019
Muhstik เป็นมัลแวร์เรียกค่าไถ่ (ransomware) ที่มีการแพร่ระบาดมาตั้งแต่ช่วงเดือนกันยายน 2562 ช่องทางการโจมตีจะอาศัยการ brute force รหัสผ่านร่วมกับช่องโหว่การตั้งค่า SQL และ phpMyAdmin ในอุปกรณ์ QNAP NAS โดยหลังจากที่มัลแวร์ได้สิทธิ์เข้า ถึงตัวอุปกรณ์แล้วจะเข้ารหัสลับข้อมูลข้างใน จากนั้นจะเปลี่ยนนามสกุลไฟล์เป็น ".muhstik" และส่งข้อมูลสำหรับใช้สร้างกุญแจถอดรหัส ลับกู้คืนไฟล์ไปที่เครื่องเซิร์ฟเวอร์ของผู้พัฒนามัลแวร์
หนึ่งในผู้ที่ตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่สายพันธุ์นี้คือนาย Tobias Frömel ซึ่งเป็นนักพัฒนาซอฟต์แวร์ โดยหลังจากที่เขา ได้จ่ายเงินค่าไถ่เพื่อกู้ไฟล์กลับคืนมาแล้ว (0.09 บิตคอยน์หรือประมาณ 700 ดอลลาร์สหรัฐฯ) เขาได้วิเคราะห์ตัวมัลแวร์ดังกล่าวเพื่อศึก ษาช่องทางการแพร่กระจายและหาข้อมูลการติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ โดยหลังจากที่พบข้อมูล เขาได้ตัดสินใจเจาะระบบเว็บ ไซต์ดังกล่าวและพบว่าข้างในมีไฟล์ที่สามารถใช้สร้างกุญแจสำหรับถอดรหัสลับข้อมูลได้ นอกจากนี้เขายังพบฐานข้อมูลที่มีกุญแจของเครื่อง ที่ตกเป็นเหยื่อถึง 2,858 เครื่องด้วย
หลังจากที่ได้ข้อมูลดังกล่าว เขาได้แชร์กุญแจสำหรับถอดรหัสลับข้อมูลในเว็บบอร์ดที่ให้คำปรึกษากับผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ โดยได้รับการยืนยันจากเหยื่อคนอื่นๆ ว่ากุญแจเหล่านี้สามารถใช้งานได้จริง ในเวลาต่อมาบริษัท Emsisoft ได้พัฒนาเครื่องมือสำหรับ ใช้ถอดรหัสลับกู้คืนข้อมูลได้แล้ว โดยผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ Muhstik สามารถดาวน์โหลดได้จาก https://www.emsisoft.com/ransomware-decryption-tools/muhstik
เมื่อวันที่ 4 ตุลาคม 2562 ทีม Project Zero ของ Google ได้รายงานช่องโหว่ใน Android ที่มีผลกระทบกับโทรศัพท์มือถือ
หลายรุ่น ตัวช่องโหว่สามารถใช้โจมตีเพื่อให้ได้สิทธิ์ root ของเครื่อง ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกยึดเครื่องได้ จากรายงาน
ทาง Google พบว่าช่องโหว่นี้ถูกใช้โจมตีแล้ว กำลังทยอยออกแพตช์ให้กับอุปกรณ์ที่ได้รับผลกระทบ ระหว่างนี้ผู้ใช้ควรระวัง
ไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ
จากรายงานของทีม Project Zero ช่องโหว่นี้เกิดจากข้อผิดพลาดประเภท use-after-free ในส่วน binder driver ของ Linux kernel ซึ่งตัวช่องโหว่ได้ถูกแก้ไขไปแล้วใน kernel เวอร์ชัน 4.14 เมื่อต้นปี 2561 โดยที่การแก้ไขนั้นไม่ได้มีการบันทึกข้อมูล CVE ของช่องโหว่นี้ไว้ ทำให้เมื่อทางทีมพัฒนา Android นำโค้ดของ Linux kernel ไปพัฒนาต่อจึงไม่ได้มีการดึงแพตช์ที่ว่านี้ ไปรวมด้วย อีกทั้งตัวแพตช์นี้อยู่ในส่วนของ kernel จึงไม่ได้ถูกใส่ไว้ในแพตช์ประจำเดือน ส่งผลให้อุปกรณ์ที่วางจำหน่ายหรือ ใช้ซอฟต์แวร์ที่พัฒนาในระหว่างนั้นได้รับผลกระทบด้วย (ปัจจุบันช่องโหว่นี้มีรหัส CVE-2019-2215)
ตัวอย่างรายชื่อโทรศัพท์มือถือที่ได้รับการยืนยันว่ามีช่องโหว่นี้ได้แก่ Google Pixel 1 และ 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, มือถือ LG รุ่นที่ใช้ Android Oreo, และ Samsung Galaxy S7 จนถึง S9 (รุ่นที่ไม่อยู่ในรายชื่อนี้อาจไม่มีช่องโหว่หรืออาจยังไม่ได้ยืนยัน)
ทาง Google รายงานว่าพบการนำช่องโหว่นี้ไปใช้โจมตีจริงแล้ว โดยช่องทางการโจมตีนั้นทาง Google ยืนยันว่าช่องโหว่นี้ยัง ไม่สามารถใช้เพื่อแฮกยึดเครื่องจากระยะไกลได้ แนวทางการโจมตีที่เป็นไปได้คือต้องติดตั้งแอปพลิเคชันที่โจมตีช่องโหว่นี้ลงใน เครื่อง หากจะโจมตีผ่านเว็บไซต์จำเป็นต้องใช้ช่องโหว่อื่นร่วมด้วย ดังนั้นเบื้องต้นในระหว่างที่รอแพตช์ผู้ใช้ควรลดความเสี่ยงด้วย การไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ ทั้งนี้ ทาง Google แจ้งว่าแพตช์สำหรับ Pixel 1 และ 2 จะปล่อยมาพร้อมกับ แพตช์เดือนตุลาคม ส่วนแพตช์ของผู้ผลิตมือถือรายอื่นๆ นั้นผู้ใช้ต้องตรวจสอบกับทางผู้ผลิตอีกครั้งหนึ่ง
เมื่อวันที่ 23 กันยายน 2562 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ระดับ Critical ในโปรแกรม
Internet Explorer โดยเป็นช่องโหว่ประเภท Remote Code Execution ที่ทำให้ผู้ไม่หวังดีสามารถสั่งรัน
โค้ดอันตรายบนเครื่องของเหยื่อได้ โดยระดับสิทธิ์ที่ผู้ไม่หวังดีจะได้รับหากโจมตีสำเร็จจะเป็นระดับเดียวกับผู้
ใช้ที่ล็อกอินอยู่ นั่นหมายความว่าหากเป็นการโจมตีผู้ดูแลระบบ ผู้ไม่หวังดีก็สามารถควบคุมเครื่องได้แบบสมบูรณ์
ช่องโหว่นี้มีรหัส CVE-2019-1367 แพตช์มีให้เฉพาะ Internet Explorer ที่ยังได้รับการสนับสนุนอยู่ในปัจจุ บันคือเวอร์ชัน 9-11 หากยังใช้Internet Explorer เวอร์ชันต่ำกว่านั้นจำเป็นต้องอัปเกรดโปรแกรมก่อน สาเหตุ ที่ทาง Microsoft ต้องออกแพตช์แบบเร่งด่วนเนื่องจากมีรายงานการโจมตีผ่านช่องโหว่นี่แล้ว ผู้ใช้ควรติดตั้งอัป เดตนี้โดยเร็วที่สุด หากยังไม่สามารถทำได้ ทาง Microsoft ได้แนะนำวิธีแก้ไขปัญหาเฉพาะหน้าด้วยการจำกัด การทำงานของไฟล์ jscript.dll ซึ่งกระบวนการนี้ต้องใช้สิทธิ์ของผู้ดูแลระบบในการทำ และหากแก้ปัญหาด้วยวิธี นี้อาจมีปัญหากับเว็บไซต์ที่จำเป็นต้องใช้ฟังก์ชันของไฟล์ DLL ดังกล่าว
บริษัท F-Secure เผยแพร่รายงานสถิติภัยคุกคามในช่วงครึ่งแรกของปี 2019 โดยรวมพบการโจมตีที่เกี่ยวข้องกับ
อุปกรณ์ IoT เพิ่มมากขึ้น (ทั้งตกเป็นเป้าของการโจมตีและเป็นต้นทางของการโจมตีต่อ) พอร์ตที่ถูกโจมตีมากที่สุด 3
อันดับแรกคือ Telnet, SMB, และ SSH ส่วนช่องทางการแพร่กระจายมัลแวร์เรียกค่าไถ่ที่พบมากที่สุดคือการ brute
force รหัสผ่าน รองลงมาคือการโจมตีผ่านอีเมล์
พอร์ต Telnet (TCP 23) มักถูกเปิดใช้งานมาเป็นค่าเริ่มต้นในอุปกรณ์ IoT ซึ่งพอร์ตนี้เป็นช่องทางหลักที่จะถูกโจมตีจาก มัลแวร์ พอร์ต SMB (445) นิยมใช้ในการแชร์ไฟล์หรืออุปกรณ์ผ่านเครือข่าย ซึ่งพอร์ตนี้เป็นช่องทางหลักในการโจมตีจาก มัลแวร์หลายสายพันธุ์ ที่โด่งดังที่สุดคือ Wannacry ส่วนพอร์ต SSH (TCP 22) มักถูกโจมตีด้วยวิธี brute force รหัสผ่าน รวมถึงเป็นหนึ่งในช่องทางที่สามารถใช้โจมตีอุปกรณ์ IoT ได้ด้วย
สถิติการโจมตีจากมัลแวร์ โดยรวมพบว่าการโจมตีที่มุ่งเน้นสร้างความเสียหายนั้นเริ่มลดลง ในขณะที่การโจมตีเพื่อใช้ควบคุม เครื่องเป็น botnet หรือการโจมตีด้วยจุดประสงค์ทางการเงิน เช่น มัลแวร์เรียกค่าไถ่ หรือมัลแวร์ขุดเงินดิจิทัล นั้นเพิ่มมากขึ้น ช่องทางการแพร่กระจายมัลแวร์เรียกค่าไถ่ที่พบมากที่สุด (31%) คือการ brute force รหัสผ่านของเครื่องที่เปิดให้เข้าถึงบริการ remote desktop ผ่านอินเทอร์เน็ต รองลงมาคือการโจมตีผ่านอีเมล (23%) ซึ่งมีทั้งการส่งมัลแวร์มาทางไฟล์แนบ หรือส่งลิงก์เพื่อ หลอกให้คลิกเข้าไปยังเว็บไซต์ที่ฝังโค้ดมัลแวร์
ข้อมูลภาพรวมภัยคุกคามที่พบนี้อาจจะยังไม่ครอบคลุมทั้งหมดเนื่องจากข้อจำกัดเรื่องวิธีการและขอบเขตของการรวบรวมข้อมูล อย่างไรก็ตาม สถิติเหล่านี้ก็พอเป็นข้อสังเกตให้กับผู้ดูแลระบบหรือผู้ที่เกี่ยวข้องเพื่อพิจารณารับมือภัยคุกคามโดยอ้างอิงจากแนว โน้มการโจมตีที่เกิดขึ้นจริงได้ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้จากรายงานฉบับเต็ม
Copyright © 2020 Alpine Technology Manufacturing (Thailand) Co.,Ltd
แอล์ไพน์ เทคโนโลยี แมนูเฟคเจอริ่ง (ประเทศไทย) จำกัด 210 หมู่ 13 ถ.สุวรรณศร ต.ดงขี้เหล็ก อ.เมือง จ.ปราจีนบุรี 25000