ความปลอดภัยทางเทคโนโลยี » เตือนภัย !! มัลแวร์ขุดเงินดิจิตอลระบาดในไทย

เตือนภัย !! มัลแวร์ขุดเงินดิจิตอลระบาดในไทย

5 กุมภาพันธ์ 2018
50   0

เมื่อวันที่ 24 มกราคม 2561 ทีมนักวิจัยของ Palo Alto Networks เผยแพร่ข้อมูลพบว่ามีมัลแวร์ที่ใช้ขุดเงินดิจิทัล (Cryptocurrency) สกุลเงิน Monero  ซึ่งเป็นเหรียญที่ใช้เทคโนโลยีของ Blockchain ในการรับส่ง และเหรียญดังกล่าวมีคุณสมบัติในการปกปิดข้อมูลที่อยู่บน Blockchain รวมถึงรองรับการขุดเครื่องคอมพิวเตอร์โดยทั่วไปที่ไม่ต้องการใช้ประมวลผลมาก เมื่อเทียบกับเหรียญอื่นๆ จึงอาจเป็นตัวเลือกที่ผู้ประสงค์ร้ายใช้เหรียญนี้
โดยในช่วงเดือนตุลาคมถึงธันวาคม 2560 พบว่ามัลแวร์ดังกล่าว มียอดดาวน์โหลดมากกว่า 15 ล้านครั้ง ที่น่ากังวลคือประเทศไทยมีการดาวน์โหลดสูงที่สุดกว่า 3.5 ล้านครั้ง


รูปที่ 1 จำนวนการดาวน์โหลดมัลแวร์ดังกล่าวทั่วโลก

 

มัลแวร์ดังกล่าวแพร่กระจายผ่านลิงก์อันตราย เมื่อคลิกติดตั้งแล้วจะส่งผลทำให้เครื่องคอมพิวเตอร์ทำงานช้าลง เนื่องจาก CPU จะต้องสลับงานที่ทำปกติ ไปประมวลผลการถอดรหัสต้องไปประมวลผลถอดรหัสจากการขุดเหรียญ Monero ให้กับผู้ประสงค์ร้าย
การแฮกเครื่องคอมพิวเตอร์ หรืออุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things) เพื่อใช้ติดตั้งมัลแวร์ขุดเงินดิจิทัลนั้นเริ่มมีแนวโน้มสูงมากขึ้นในปัจจุบัน เนื่องจากความสามารถในการปกปิดข้อมูลเจ้าของบัญชีเงิน และสามารถนำเงินไปใช้ในตลาดมืดได้โดยตรวจสอบติดตามได้ยาก ผู้ใช้หรือผู้ดูแลระบบควรตรวจสอบความผิดปกติ เช่น โพรเซสที่ใช้ CPU สูง เพื่อป้องกันการถูกนำเครื่องคอมพิวเตอร์มาใช้โดยไม่ได้รับอนุญาต

ช่องทางการแพร่กระจายของมัลแวร์

การแพร่กระจายที่พบเกิดจากผู้ประสงค์ร้ายนำมัลแวร์ไปฝากไว้บนบริการฝากไฟล์บนคลาวด์ตามที่ต่างๆ และมีการใช้งานบริการย่อลิงก์ให้สั้น เช่น bit.ly ในการสร้างลิงก์สำหรับเผยแพร่มัลแวร์ ซึ่งหากเหยื่อคลิกลิงก์จะส่งผลให้ไฟล์ที่เป็นมัลแวร์ถูกดาวน์โหลดลงในเครื่อง โดยรูปแบบการเผยแพร่ อาจเกิดจากมีการแจกไฟล์ต่างๆ ที่ดึงดูดให้ผู้ใช้งานทำการดาวน์โหลดและติดตั้ง เช่น แจกซอฟต์แวร์ฟรี ซอฟต์แวร์โกงเกมส์ เป็นต้น

การทำงานของมัลแวร์

ผู้ประสงค์ร้ายมีการทดลองเปลี่ยนแปลงรูปแบบการเผยแพร่มัลแวร์อยู่เป็นระยะ เริ่มจากผู้ใช้งานทำการคลิกลิงก์ของผู้ประสงค์ร้าย ส่งผลให้ทำการดาวน์โหลดมัลแวร์ไปยังเครื่องผู้ใช้งาน โดยขั้นตอนการดาวน์โหลดที่ทีมนักวิจัยของ Palo Alto Networks พบนั้นมีความแตกต่างกันไปตามรุ่นของมัลแวร์ ดังนี้
แบบที่ 1

  • เมื่อผู้ใช้งานคลิกลิงก์ bit.ly แล้วจะทำการดาวน์โหลดไฟล์สคริปต์ประเภท VBScript ไปยังเครื่องผู้ใช้งานทันที
  • ไฟล์ดังกล่าวจะสั่งเครื่องมือ BITSAdmin บนระบบปฏิบัติการ Windows เพื่อดาวน์โหลดสคริปต์ที่สอง
  • สคริปต์ที่สองจะตรวจสอบระบบปฏิบัติการว่าเป็นเวอร์ชัน 32 หรือ 64 บิต จากนั้นจะดาวน์โหลดและติดตั้งเวอร์ชันที่เหมาะสมของ XMRig ซึ่งเป็นเครื่องมือสำหรับขุดเงิน


รูปที่ 2 ขั้นตอนการดาวน์โหลดมัลแวร์โดยใช้เครื่องมือ BITSAdmin บนระบบปฏิบัติการ Windows

 

แบบที่ 2

  • คล้ายรูปแบบที่ 1 แต่เปลี่ยนรูปแบบการดาวน์โหลดสคริปต์ที่สองจากการใช้ BITSAdmin เป็นการดาวน์โหลดผ่าน HTTP

รูปที่ 3 ขั้นตอนการดาวน์โหลดมัลแวร์โดยอาศัยการเปลี่ยนเส้นทางไปยังเว็บไซต์ต่าง ๆ ก่อนพาไปยังเว็บไซต์ที่มีมัลแวร์จริงอยู่เพื่อดาวน์โลด

นอกจากนี้ภายหลังยังมีการเปลียนแปลงรูปแบบการเผยแพร่อย่างต่อเนื่อง เช่น มีการใช้ .Net Framework เพื่อ Compile ไฟล์ที่ใช้สำหรับเผยแพร่ลงในเครื่องผู้ใช้ ซึ่งจะสร้างสคริปต์สำหรับดาวน์โหลดมัลแวร์ต่ออีกที รายละเอียดศึกษาได้จากรายงานอ้างอิง [2]

มัลแวร์สำหรับขุดเงินที่ถูกดาวน์โหลดแล้วนั้น โดยส่วนใหญ่พบว่ามีการติดตั้งไว้ภายใต้โฟลเดอร์ย่อยชื่อ “msvc” ซึ่งอยู่ในโฟลเดอร์ “%APPDATA%” และใช้ชื่อไฟล์ “msvc.exe” “winmsvc.exe” หรือ “ondrive.exe” เป็นต้น จากนั้นเมื่อมัลแวร์เริ่มทำงานจะเรียกใช้พร็อกซี่ (XMRig proxies) ในการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทางที่รับข้อมูลในการประมวลผลขุดเหรียญ ซึ่งการใช้พร็อกซี่ดังกล่าวทำให้ไม่สามารถตรวจสอบที่อยู่กระเป๋าเงินดิจิทัลของผู้ประสงค์ร้ายที่รับเงินจากการขุด จึงยากที่จะระบุว่าผู้ประสงค์ร้ายได้เงินจากเผยแพร่มัลแวร์ดังกล่าวมากน้อยเพียงใด

ข้อแนะนำในการตรวจสอบ

  • เบื่องต้นให้ทำการตรวจสอบว่าคอมพิวเตอร์ที่ใช้งานมีการทำงาน CPU ผิดปกติหรือไม่ โดยการตรวจสอบผ่าน Task Manager หากพบการทำงานของ CPU ผิดปกติเช่น การทำงาน 100% อยู่ตลอดเวลาให้ต้องสงสัยว่าอาจจะติดมัลแวร์ดังกล่าวอยู่ โดยตรวจสอบได้จากโปรแกรม Task Manager ที่มาพร้อมกับระบบปฏิบัติการ Windows

รูปที่ 4 โปรแกรม Task Manager สำหรับตรวจสอบการใช้งาน CPU

  • ตรวจสอบเครือข่ายว่ามีการเขื่อมต่อไปยังเซิร์ฟเวอร์พร็อกซี่ (XMRig Proxy Connections) ที่ใช้ในการประมวลผลขุดเหรียญดังกล่าวหรือไม่ โดยมีข้อมูลของรายการเซิร์ฟเวอร์ดังนี้
หมายเลขไอพีปลายทาง พอร์ตปลายทาง
5.101.122.228 8080
5.23.48.207 7777
144.76.201.175 80
144.76.201.175 8080
f.pooling.cf 80
b.pool.gq 80
a.pool.ml 8080
a.pool.ml 123
a.pool.ml 443
a.pool.ml 8443
a.pool.ml 80
a.pool.ml 1725

ตารางที่ 1 ข้อมูลเซิร์ฟเวอร์พร็อกซี่ (XMRig Proxy) ที่ใช้ในการประมวลผลขุดเหรียญ

  • ตรวจสอบประวัติการใช้งานอินเทอร์เน็ตว่ามีการเข้าลิงก์สำหรับเผยแพร่มัลแวร์หรือไม่ โดยมีรายการลิงก์ดังนี้
    • hxxp://bit[.]ly/2j3Yk8p
    • hxxp://bit[.]ly/2hxuusK
    • hxxp://bit[.]ly/2C7caP6
    • hxxp://bit[.]ly/HSGADGFDS
    • hxxp://bit[.]ly/2yV0JNa
    • hxxp://bit[.]ly/2Algzhc
    • hxxp://bit[.]ly/2zA08wz
    • hxxp://bit[.]ly/2hcsSUN
    • hxxp://bit[.]ly/2hr6KGb
    • hxxp://bit[.]ly/2xOVfPH
    • hxxp://bit[.]ly/2BoFNMr
    • hxxp://bit[.]ly/2xlWVQl
    • hxxp://bit[.]ly/2kEApR6
    • hxxp://bit[.]ly/2AkVK8t
    • hxxp://bit[.]ly/2yyUhLX
    • hxxp://bit[.]ly/2AkyUvs
    • hxxp://bit[.]ly/2zXRI6r
    • hxxp://bit[.]ly/2jjXmbJ
    • hxxp://bit[.]ly/2hzW6Rb
    • hxxp://bit[.]ly/2mkHzdP
    • hxxp://bit[.]ly/FSJKHJK
    • hxxp://bit[.]ly/2gB0ZW0
    • hxxp://bit[.]ly/2ixSCPu
    • hxxp://bit[.]ly/FSFSAASA
    • hxxp://bit[.]ly/2A5rxKB
    • hxxp://bit[.]ly/2xbUmjC
    • hxxp://bit[.]ly/2EHv415
    • hxxp://bit[.]ly/2Aq3gja
    • hxxp://bit[.]ly/2Bhr1tv
    • hxxp://bit[.]ly/2ynGl7o
    • hxxp://bit[.]ly/SOURCETXT
    • hxxp://bit[.]ly/2zGXAQx
    • hxxp://bit[.]ly/2hEhF3i
    • hxxp://bit[.]ly/2y3iGnG
    • hxxp://bit[.]ly/2ic2mvM
    • hxxp://bit[.]ly/2itoMrG
    • hxxp://bit[.]ly/2yvqOSU
    • hxxp://bit[.]ly/2zCj1n2
    • hxxp://bit[.]ly/2jEqYks
  • ตรวจสอบไฟล์ที่ต้องสงสัย จากค่า Hash ของไฟล์มัลแวร์ในรายงาน หรือตรวจสอบภายใต้โฟลเดอร์ “%APPDATA%” หากพบไฟล์ที่มีชื่อ “msvc.exe” “winmsvc.exe” หรือ “ondrive.exe” ให้ดำเนินการลบทิ้ง

 

ที่มา : thaicert

Facebook Comments
แชร์ให้เพื่อนต่อ..