KISA ยืนยันพบมัลแวร์กลายพันธุ์ 8 ชนิด ระหว่างตรวจสอบเหตุแฮ็ก SKT

xguru · 2025-05-04T09:16:01+09:00

ระหว่างรับมือ เหตุการณ์ละเมิดระบบของ SKT ได้ตรวจพบ มัลแวร์กลุ่ม BPFDoor ที่มุ่งเป้าระบบ Linux ซึ่งเดิมพบอยู่ 4 ชนิด และพบเพิ่มอีก มัลแวร์กลายพันธุ์ 8 ชนิด เนื่องจากเป็นแบ็กดอร์สำหรับการแทรกซึมระยะยาวและแทบไม่ทิ้งร่องรอย จึงมีความเป็นไปได้ว่าอาจมีการรั่วไหลของข้อมูลมากกว่านี้ นอกจาก smartadm ที่แจ้งไว้ในรอบแรกแล้ว ยังพบ dbus-srv, inode262394, rad เพิ่มเติม โดยมีความสามารถอย่าง ปลอมตัวเป็นโปรเซสของระบบ, รูทคิต, ติดตั้งแบ็กดอร์ เป็นต้น ข้อมูลที่เกี่ยวข้องกับมัลแวร์ (เนื่องจากเป็นสายพันธุ์กลายพันธุ์จึงยืนยันด้วยค่าแฮชไม่ได้ เป็นข้อมูลฟังก์ชันที่คาดการณ์ได้จากการค้นหาด้วยชื่อ) ○ dbus-srv ทำงานโดย ปลอมตัวเป็น dbus-daemon ซึ่งเป็นโปรเซสของระบบ มีความสามารถในการ รวบรวมข้อมูลระบบ และ รันคำสั่งจากระยะไกล หลบเลี่ยงการตรวจจับ ด้วย การเข้ารหัสและการทำให้อ่านยาก คาดว่าเป็น แบ็กดอร์ และอาจ สื่อสารกับเซิร์ฟเวอร์ C2 (Command-and-Control) ภายนอก ได้ ○ inode262394 ซ่อนตัวโดย ปลอมแปลงโครงสร้าง inode ของระบบไฟล์ ใช้ ความสามารถแบบรูทคิต เพื่อ ปกปิดการมีอยู่ของตัวเอง และทำงานอย่างเช่น hook system call พยายาม ยกระดับสิทธิ์ของระบบ และ รักษาสิทธิ์การเข้าถึงอย่างต่อเนื่อง คำอธิบายเพิ่มเติมเกี่ยวกับ BPFDoor BPFDoor เป็น มัลแวร์แบ็กดอร์บน Linux แบบซ่อนตัวระยะยาว ที่ใช้ Berkeley Packet Filter (BPF) สำหรับ การเฝ้าดูเครือข่ายแบบ passive เป็นเครื่องมือโจมตีที่มี ความสามารถในการลอบซ่อนขั้นสูง โดยสามารถเฝ้าดูทราฟฟิกเครือข่ายได้โดยไม่ต้องเปิดพอร์ต ด้วยคุณสมบัติของ BPF จึงสามารถ หลบเลี่ยงไฟร์วอลล์ และดักฟังทราฟฟิกเครือข่ายอย่างลับ ๆ ได้ เพื่อ ปลอมตัวเป็นโปรเซสของระบบ มันจะรันจากพาธอย่าง /usr/libexec/postfix/master ทำให้ดูเหมือนบริการทั่วไปในรายการโปรเซส โดยส่วนใหญ่ ทำงานอยู่ในหน่วยความจำ และไม่ทิ้งร่องรอยบนดิสก์ จึงเอื้อต่อการ หลบเลี่ยงการวิเคราะห์ทางนิติวิทยาศาสตร์ดิจิทัล สายพันธุ์ที่ทรงพลังซึ่งปรากฏในปี 2023 มีลักษณะสำคัญดังนี้ วิธีเข้ารหัส: เดิมใช้ RC4 → เข้ารหัสบนฐาน static library ของ libtomcrypt วิธีสื่อสาร: เดิมเป็น Bind Shell → Reverse Shell โดย child process จะสร้างการเชื่อมต่อย้อนกลับ การประมวลผลคำสั่ง: เดิมเป็นคำสั่งแบบ hardcoded → ปัจจุบันรับทุกคำสั่งแบบเรียลไทม์ ชื่อไฟล์: เดิมเป็นแบบคงที่ → ตอนนี้สร้างแบบไดนามิก แม้หลังถูกตรวจจับแล้ว ก็ยัง แยก child process และ parent process ออกจากกัน เพื่อหลบเลี่ยงการรับมือจากการตรวจจับ มีการเผยแพร่ซอร์สโค้ดบน GitHub

(boho.or.kr)

3 คะแนน โดย xguru 2025-05-04 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ระหว่างรับมือ เหตุการณ์ละเมิดระบบของ SKT ได้ตรวจพบ มัลแวร์กลุ่ม BPFDoor ที่มุ่งเป้าระบบ Linux ซึ่งเดิมพบอยู่ 4 ชนิด และพบเพิ่มอีก มัลแวร์กลายพันธุ์ 8 ชนิด
- เนื่องจากเป็นแบ็กดอร์สำหรับการแทรกซึมระยะยาวและแทบไม่ทิ้งร่องรอย จึงมีความเป็นไปได้ว่าอาจมีการรั่วไหลของข้อมูลมากกว่านี้
นอกจาก smartadm ที่แจ้งไว้ในรอบแรกแล้ว ยังพบ dbus-srv, inode262394, rad เพิ่มเติม โดยมีความสามารถอย่าง ปลอมตัวเป็นโปรเซสของระบบ, รูทคิต, ติดตั้งแบ็กดอร์ เป็นต้น

ข้อมูลที่เกี่ยวข้องกับมัลแวร์ (เนื่องจากเป็นสายพันธุ์กลายพันธุ์จึงยืนยันด้วยค่าแฮชไม่ได้ เป็นข้อมูลฟังก์ชันที่คาดการณ์ได้จากการค้นหาด้วยชื่อ)

○ dbus-srv

ทำงานโดย ปลอมตัวเป็น dbus-daemon ซึ่งเป็นโปรเซสของระบบ
มีความสามารถในการ รวบรวมข้อมูลระบบ และ รันคำสั่งจากระยะไกล
หลบเลี่ยงการตรวจจับ ด้วย การเข้ารหัสและการทำให้อ่านยาก
คาดว่าเป็น แบ็กดอร์ และอาจ สื่อสารกับเซิร์ฟเวอร์ C2 (Command-and-Control) ภายนอก ได้

○ inode262394

ซ่อนตัวโดย ปลอมแปลงโครงสร้าง inode ของระบบไฟล์
ใช้ ความสามารถแบบรูทคิต เพื่อ ปกปิดการมีอยู่ของตัวเอง และทำงานอย่างเช่น hook system call
พยายาม ยกระดับสิทธิ์ของระบบ และ รักษาสิทธิ์การเข้าถึงอย่างต่อเนื่อง

คำอธิบายเพิ่มเติมเกี่ยวกับ BPFDoor

BPFDoor เป็น มัลแวร์แบ็กดอร์บน Linux แบบซ่อนตัวระยะยาว ที่ใช้ Berkeley Packet Filter (BPF) สำหรับ การเฝ้าดูเครือข่ายแบบ passive เป็นเครื่องมือโจมตีที่มี ความสามารถในการลอบซ่อนขั้นสูง โดยสามารถเฝ้าดูทราฟฟิกเครือข่ายได้โดยไม่ต้องเปิดพอร์ต
- ด้วยคุณสมบัติของ BPF จึงสามารถ หลบเลี่ยงไฟร์วอลล์ และดักฟังทราฟฟิกเครือข่ายอย่างลับ ๆ ได้
เพื่อ ปลอมตัวเป็นโปรเซสของระบบ มันจะรันจากพาธอย่าง /usr/libexec/postfix/master ทำให้ดูเหมือนบริการทั่วไปในรายการโปรเซส
โดยส่วนใหญ่ ทำงานอยู่ในหน่วยความจำ และไม่ทิ้งร่องรอยบนดิสก์ จึงเอื้อต่อการ หลบเลี่ยงการวิเคราะห์ทางนิติวิทยาศาสตร์ดิจิทัล
สายพันธุ์ที่ทรงพลังซึ่งปรากฏในปี 2023 มีลักษณะสำคัญดังนี้
- วิธีเข้ารหัส: เดิมใช้ RC4 → เข้ารหัสบนฐาน static library ของ libtomcrypt
- วิธีสื่อสาร: เดิมเป็น Bind Shell → Reverse Shell โดย child process จะสร้างการเชื่อมต่อย้อนกลับ
- การประมวลผลคำสั่ง: เดิมเป็นคำสั่งแบบ hardcoded → ปัจจุบันรับทุกคำสั่งแบบเรียลไทม์
- ชื่อไฟล์: เดิมเป็นแบบคงที่ → ตอนนี้สร้างแบบไดนามิก
- แม้หลังถูกตรวจจับแล้ว ก็ยัง แยก child process และ parent process ออกจากกัน เพื่อหลบเลี่ยงการรับมือจากการตรวจจับ
มีการเผยแพร่ซอร์สโค้ดบน GitHub

1 ความคิดเห็น

brainer 2025-05-04

ดูท่าว่าน่าจะโดนเจาะกันหมดแล้วจริง ๆ ..

KISA ยืนยันพบมัลแวร์กลายพันธุ์ 8 ชนิด ระหว่างตรวจสอบเหตุแฮ็ก SKT

○ dbus-srv

○ inode262394

คำอธิบายเพิ่มเติมเกี่ยวกับ BPFDoor

บทความที่เกี่ยวข้อง

1 ความคิดเห็น