กลุ่มแฮกเกอร์ Mustang Panda ซึ่งเป็นกลุ่ม APT ที่รู้จักกันดี ได้ถูกตรวจพบว่าใช้ไดรเวอร์เคอร์เนลที่เป็นอันตรายแต่ได้รับการลงนามอย่างถูกต้อง (malicious, signed kernel driver) ชื่อ `ksop.sys` เพื่อปิดการทำงานของโซลูชันความปลอดภัยบนระบบปฏิบัติการ Windows และรักษาการเข้าถึงระบบที่ถูกบุกรุกอย่างต่อเนื่อง ไดรเวอร์นี้ทำหน้าที่เป็นตัวโหลด (loader) สำหรับเพย์โหลดเชลล์โค้ดที่สามารถปฏิบัติการในระดับเคอร์เนล ซึ่งจะปิดการทำงานของซอฟต์แวร์ป้องกันไวรัสและ EDR ก่อนที่จะโหลดมัลแวร์ประเภทแบ็คดอร์ เช่น PlugX, Mianmu และ Rooty เข้าสู่ระบบ ทำให้สามารถซ่อนตัวและคงอยู่บนระบบได้เป็นเวลานาน การโจมตีนี้แสดงให้เห็นถึงความพยายามของกลุ่มผู้คุกคามในการหลีกเลี่ยงการตรวจจับและเพิ่มความทนทานในการบุกรุก.
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows
Technical Attack Steps:
- **การติดตั้งไดรเวอร์:** ผู้โจมตีติดตั้งไดรเวอร์เคอร์เนล `ksop.sys` ซึ่งเป็นอันตรายแต่มีลายเซ็นดิจิทัลที่ถูกต้อง ลงบนระบบปฏิบัติการ Windows.
- **การโหลดเพย์โหลด:** ไดรเวอร์ `ksop.sys` ทำหน้าที่เป็นตัวโหลด (loader) เพื่อฉีดและรันเพย์โหลดเชลล์โค้ดในระดับเคอร์เนล (kernel-mode).
- **ปิดการทำงานระบบรักษาความปลอดภัย:** เพย์โหลดเชลล์โค้ดที่รันในระดับเคอร์เนลจะดำเนินการเพื่อปิดการทำงานของบริการและกระบวนการที่เกี่ยวข้องกับโซลูชันความปลอดภัย เช่น Antivirus และ Endpoint Detection and Response (EDR).
- **ติดตั้งมัลแวร์เพิ่มเติม:** หลังจากปิดการทำงานของระบบป้องกันแล้ว เชลล์โค้ดจะถอดรหัสและรันมัลแวร์ระดับผู้ใช้เพิ่มเติม (user-mode payloads) เช่น PlugX, Mianmu หรือแบ็คดอร์ Rooty เพื่อคงการเข้าถึงและดำเนินกิจกรรมที่เป็นอันตรายต่อไป.
Recommendations:
Short Term:
- ตรวจสอบและระบุไดรเวอร์ที่ไม่ได้มาจากผู้ผลิตที่เชื่อถือได้ หรือไดรเวอร์ที่อาจถูกใช้ในทางที่ผิด (เช่น BYOVD) บนระบบ และทำการบล็อกหรือลบออกทันที.
- ตรวจสอบบันทึกเหตุการณ์ของระบบ (System Logs) อย่างสม่ำเสมอ โดยเฉพาะเหตุการณ์ที่เกี่ยวข้องกับการโหลดโมดูลเคอร์เนลที่ผิดปกติ หรือการพยายามปิดบริการความปลอดภัย.
- อัปเดตระบบปฏิบัติการและโซลูชันความปลอดภัย (EDR/AV) ให้เป็นเวอร์ชันล่าสุดเสมอ เพื่อให้มีแพทช์และลายเซ็นการตรวจจับล่าสุด.
- จำกัดสิทธิ์ผู้ใช้ (Least Privilege) เพื่อลดโอกาสในการติดตั้งไดรเวอร์ที่ไม่ได้รับอนุญาต หรือการดำเนินการในระดับสิทธิ์สูงที่ไม่จำเป็น.
Long Term:
- Implement Application Control หรือ Device Guard เพื่อควบคุมและจำกัดการรันโค้ดและไดรเวอร์บนระบบ โดยอนุญาตเฉพาะโปรแกรมและไดรเวอร์ที่เชื่อถือได้เท่านั้น.
- ใช้โซลูชัน EDR ที่มีความสามารถในการตรวจจับพฤติกรรมในระดับเคอร์เนล การวิเคราะห์ไดรเวอร์ และการป้องกันการเปลี่ยนแปลงบริการความปลอดภัย.
- ฝึกอบรมพนักงานเกี่ยวกับการโจมตีแบบฟิชชิ่ง การตรวจสอบอีเมลและลิงก์ที่ไม่น่าไว้วางใจ รวมถึงการใช้งานอุปกรณ์เก็บข้อมูลภายนอกอย่างปลอดภัย เพื่อป้องกันการโจมตีระยะเริ่มต้น.
- พัฒนากลยุทธ์ Zero Trust เพื่อตรวจสอบและยืนยันตัวตนของทุกอุปกรณ์และผู้ใช้ก่อนที่จะอนุญาตให้เข้าถึงทรัพยากร.
- มีแผนสำรองข้อมูลและการกู้คืนระบบที่แข็งแกร่งและผ่านการทดสอบอย่างสม่ำเสมอ เพื่อลดผลกระทบจากการถูกโจมตี.
Source: https://thehackernews.com/2025/12/mustang-panda-uses-signed-kernel-driver.html
Share this content: