Microsoft ได้รับข่าวเมื่อเร็ว ๆ นี้เนื่องจากการประกาศ Windows 11 ในวันที่ 24 มิถุนายนปีนี้ แต่นั่นไม่ใช่เหตุผลเดียวว่าทำไมจึงเป็นหัวข้อสนทนาระหว่างผู้คน มีเหตุผลอื่นๆ อีกสองสามประการ เช่น การอัปเดตมากมายที่ปล่อยออกมาพร้อมกับข้อมูลมัลแวร์ที่เพิ่งเปิดเผย
Microsoft Security Response Center (MSRC) ยอมรับว่าได้ยอมรับไดรเวอร์ที่มี Rootkit Malware ที่เป็นอันตรายซึ่งกำลังแลกเปลี่ยนข้อมูลกับเซิร์ฟเวอร์ command-and-control (C2) ในประเทศจีน ดูเหมือนว่าผู้ประสงค์ร้ายบางคนได้หลอกล่อยักษ์ Redmond ให้ลงนามใน Netfilter Driver ซึ่งออกแบบมาเพื่อกำหนดเป้าหมายสภาพแวดล้อมการเล่นเกม ไดรเวอร์นี้ใช้เพื่อซ่อนตำแหน่งทางภูมิศาสตร์ของผู้เล่นและเล่นจากภูมิภาคใดก็ได้
ตัวอย่างแรกของมัลแวร์นี้ถูกระบุโดย Karsten Hahn นักวิเคราะห์มัลแวร์จาก G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมัน “ตั้งแต่ Windows Vista รหัสใด ๆ ที่ทำงานในโหมดเคอร์เนลจำเป็นต้องได้รับการทดสอบและลงนามก่อนเผยแพร่สู่สาธารณะเพื่อให้แน่ใจว่ามีความเสถียรสำหรับระบบปฏิบัติการ” ฮานกล่าว “ไดรเวอร์ที่ไม่มีใบรับรองของ Microsoft ไม่สามารถติดตั้งได้ตามค่าเริ่มต้น” เขากล่าวต่อ
มัลแวร์ทำงานอย่างไร
MSRC อธิบายว่าผู้ที่มีเจตนาร้ายใช้มัลแวร์นี้เพื่อใช้ประโยชน์จากเกมอื่น ๆ และประนีประนอมข้อมูลบัญชีของพวกเขาโดยใช้คีย์ล็อกเกอร์ พวกเขายังสามารถแฮ็คข้อมูลอื่นๆ ได้อีกด้วย ซึ่งรวมถึงข้อมูลบัตรเดบิต/บัตรเครดิตและที่อยู่อีเมล
เป็นที่น่าสนใจที่จะทราบว่า Netfilter เป็นแพ็คเกจแอปพลิเคชันที่ถูกต้องซึ่งอนุญาตให้ผู้ใช้เปิดใช้งานการกรองแพ็กเก็ตและแปลที่อยู่เครือข่าย นอกจากนี้ยังเพิ่มใบรับรองหลักใหม่ ตั้งค่าพร็อกซีเซิร์ฟเวอร์ใหม่ และช่วยแก้ไขการตั้งค่าอินเทอร์เน็ตได้
เมื่อผู้ใช้ติดตั้งแอปพลิเคชันนี้ในระบบของตนแล้ว จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อรับข้อมูลการกำหนดค่าและการอัปเดต Microsoft ยังอธิบายด้วยว่าเทคนิคที่ใช้ในการโจมตีเกิดขึ้นหลังการเอารัดเอาเปรียบ ซึ่งบ่งชี้ว่าฝ่ายตรงข้ามต้องได้รับสิทธิ์ของผู้ดูแลระบบก่อน จากนั้นจึงติดตั้งไดรเวอร์ระหว่างการเริ่มต้นระบบ
“แนวการรักษาความปลอดภัยยังคงพัฒนาไปอย่างรวดเร็วในขณะที่ผู้คุกคามค้นหาวิธีการใหม่และเป็นนวัตกรรมเพื่อเข้าถึงสภาพแวดล้อมในเวกเตอร์ที่หลากหลาย” MSRC กล่าว
ฮาห์นเป็นบุคคลสำคัญที่ได้รับเครดิตในการค้นหามัลแวร์ แต่ต่อมาก็มีนักวิจัยมัลแวร์คนอื่นๆ เข้ามาสมทบด้วย เช่น Johann Aydinbas, Takahiro Haruyama และ Florian Roth เขากังวลเกี่ยวกับกระบวนการลงนามโค้ดของ Microsoft และสงสัยว่ามีมัลแวร์อื่นซ่อนอยู่ด้วยชุดไดรเวอร์ที่ Microsoft อนุมัติหรือไม่
วิถีแห่งนักแสดงที่เป็นอันตราย
เมื่อ Microsoft ได้รับแจ้ง ได้ดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดเพื่อตรวจสอบเหตุการณ์และใช้มาตรการป้องกันเพื่อให้แน่ใจว่าจะไม่เกิดขึ้นอีก Microsoft ระบุว่าไม่มีหลักฐานว่ามีการใช้ใบรับรองการลงนามรหัสที่ถูกขโมย ผู้อยู่เบื้องหลังมัลแวร์นี้ปฏิบัติตามกระบวนการที่ถูกต้องในการส่งไดรเวอร์ไปยังเซิร์ฟเวอร์ของ Microsoft และยังได้รับ Microsoft ลงนามไบนารีอย่างถูกกฎหมาย
Microsoft ระบุว่าไดรเวอร์ดังกล่าวสร้างขึ้นโดยนักพัฒนาบุคคลที่สามและถูกส่งเพื่อขออนุมัติผ่านโปรแกรมความเข้ากันได้ของฮาร์ดแวร์ของ Windows หลังจากเหตุการณ์นี้ Microsoft ระงับบัญชีที่ส่งไดรเวอร์นี้และเริ่มตรวจสอบการส่งทั้งหมดที่ทำโดยบัญชีนั้นตามลำดับความสำคัญสูงสุด
นอกจากนี้ Microsoft กล่าวว่าจะปรับแต่งนโยบายการเข้าถึงของพันธมิตรตลอดจนกระบวนการตรวจสอบและลงนามเพื่อปรับปรุงการป้องกันเพิ่มเติม
ข้อสรุปใน Microsoft ยอมรับการลงชื่อเข้าใช้ไดรเวอร์ Netfilter ซึ่งโหลดด้วย Rootkit Malware
Microsoft อ้างว่ามัลแวร์ถูกสร้างขึ้นเพื่อโจมตีภาคเกมในประเทศจีนและดูเหมือนว่าจะเป็นผลงานของบุคคลเพียงไม่กี่คนเท่านั้น ไม่มีการเชื่อมต่อที่เชื่อมโยงองค์กรหรือองค์กรกับมัลแวร์ อย่างไรก็ตาม ต้องเข้าใจว่าระบบไบนารีที่ทำให้เข้าใจผิดดังกล่าวสามารถนำไปใช้ประโยชน์โดยใครก็ตามเพื่อเริ่มต้นซอฟต์แวร์ขนาดใหญ่
จู่โจม. ในอดีต การโจมตีดังกล่าวได้รับการอำนวยความสะดวกเช่นการโจมตี Stuxnet ที่โจมตีโครงการนิวเคลียร์ของอิหร่าน เนื่องจากใบรับรองที่ใช้สำหรับการเซ็นชื่อรหัสถูกขโมยจาก Realtek และ JMicron
เมื่อ Microsoft เตรียมพร้อมสำหรับการเปิดตัว Windows 11 เหตุการณ์นี้ทำให้เกิดข้อสงสัยเกี่ยวกับความปลอดภัยและความปลอดภัยที่ Microsoft มอบให้กับระบบปฏิบัติการ คุณคิดอย่างไร? กรุณาแบ่งปันความคิดของคุณในส่วนความคิดเห็นด้านล่าง ติดตามเราบนโซเชียลมีเดีย – Facebook, Instagram และ YouTube
