มัลแวร์ SysUpdate สายพันธุ์ใหม่ได้ถูกค้นพบว่ากำลังเป็นภัยคุกคามที่ซับซ้อน โดยพุ่งเป้าไปที่ระบบ Linux ด้วยความสามารถในการเข้ารหัส Command-and-Control (C2) ขั้นสูง มัลแวร์นี้ถูกพบในระหว่างการทำ Digital Forensics และ Incident Response (DFIR) และเป็นไฟล์ ELF64 แบบแพ็คที่ใช้ obfuscated packer ที่ไม่รู้จัก ทำให้การวิเคราะห์เป็นเรื่องที่ท้าทาย มัลแวร์จะปลอมตัวเป็นบริการระบบที่ถูกต้อง ทำการรวบรวมข้อมูลระบบ และสร้างการสื่อสารเครือข่ายที่เข้ารหัส เพื่อตอบสนองต่อภัยคุกคามนี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก LevelBlue ได้พัฒนาเครื่องมือพิเศษโดยใช้ Unicorn Engine emulation framework เพื่อถอดรหัสการสื่อสาร C2 ที่เข้ารหัสของมัลแวร์ โดยไม่จำเป็นต้องเข้าใจอัลกอริทึมการเข้ารหัสทั้งหมด วิธีการนี้ช่วยให้สามารถถอดรหัสทราฟฟิก C2 และเปิดเผยการสื่อสารที่เป็น plaintext ได้สำเร็จ
Severity: สูง
System Impact:
- ระบบ Linux
- โครงสร้างพื้นฐาน Command-and-Control (C2)
- เครือข่าย
Technical Attack Steps:
- มัลแวร์ปลอมตัวเป็นบริการระบบที่ถูกต้องบนระบบ Linux
- เมื่อถูกเรียกใช้งานโดยไม่มีอาร์กิวเมนต์เฉพาะ จะทำการรวบรวมข้อมูลระบบเบื้องต้นโดยการรันคำสั่ง GNU/Linux ID
- สร้างการสื่อสารเครือข่ายที่เข้ารหัสอย่างซับซ้อนเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) โดยใช้หลายโปรโตคอล
- ใช้รูทีนการเข้ารหัสที่ซับซ้อนในโค้ด C++ เพื่อเข้ารหัสทราฟฟิก C2 ซึ่งขัดขวางการตรวจจับและการวิเคราะห์ทราฟฟิก
Recommendations:
Short Term:
- ปรับใช้โซลูชัน Endpoint Detection (EDR) ที่สามารถตรวจสอบหาไฟล์ ELF executable แบบแพ็ค ที่มีพฤติกรรมบริการระบบที่น่าสงสัย
- ดำเนินการวิเคราะห์ทราฟฟิกเครือข่ายอย่างเข้มงวด เพื่อระบุรูปแบบการสื่อสารที่เข้ารหัส แม้ว่าจะยังไม่สามารถถอดรหัสได้ทันที
Long Term:
- ขั้นตอนการตอบสนองต่อเหตุการณ์ (Incident Response) ควรกำหนดขีดความสามารถในการจำลองมัลแวร์ (Malware Emulation) และวิศวกรรมย้อนกลับ (Reverse Engineering) อย่างรวดเร็ว เพื่อพัฒนาเครื่องมือถอดรหัสที่กำหนดเองในระหว่างการสอบสวนที่กำลังดำเนินอยู่
- อัปเดตระบบและซอฟต์แวร์ Linux อย่างสม่ำเสมอ เพื่อลดช่องโหว่ที่อาจถูกใช้เป็นจุดเข้าถึง
Source: https://cybersecuritynews.com/new-sysupdate-variant-malware-discovered/
Share this content: