Back to Blog

SprySOCKS แบ็คดอร์จากจีนขยายเป้าหมายสู่ Windows ซ่อนตัวด้วย Driver

SprySOCKS แบ็คดอร์จากจีนขยายเป้าหมายมาสู่ Windows พร้อมกลไกซ่อนตัวด้วยไดรเวอร์ ค้นพบโดย ESET สายพันธุ์ WIN_DRV และ WIN_PLUS

Sales
1 min read
SprySOCKS แบ็คดอร์จากจีนขยายเป้าหมายสู่ Windows ซ่อนตัวด้วย Driver

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก ESET ได้เปิดเผยถึงการค้นพบแบ็คดอร์ SprySOCKS ในเวอร์ชันใหม่ที่ทำงานบนระบบปฏิบัติการ Windows ซึ่งก่อนหน้านี้เคยถูกตรวจพบเฉพาะในระบบปฏิบัติการ Linux เท่านั้น

แบ็คดอร์ดังกล่าวถูกออกแบบมาเพื่อให้ผู้โจมตีสามารถควบคุมเครื่องเป้าหมายจากระยะไกลและส่งผ่านข้อมูลผ่านเครือข่ายได้อย่างแนบเนียน โดยเฉพาะอย่างยิ่งในองค์กรที่ให้ความสำคัญกับความปลอดภัยต่ำ


สองสายพันธุ์ใหม่บน Windows


ESET ระบุว่าเวอร์ชัน Windows ที่พบใหม่มีชื่อรหัสภายในว่า WIN_DRV และ WIN_PLUS โดยทั้งสองมาพร้อมกับการกำหนดค่าเซิร์ฟเวอร์ควบคุมหรือ C&C แบบฝังตายตัว และรองรับการสื่อสารผ่านโปรโตคอล TCP และ UDP

ความแตกต่างสำคัญคือ WIN_DRV มีความสามารถในการซ่อนตัวผ่านการติดตั้งไดรเวอร์ ซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับจากซอฟต์แวร์ความปลอดภัยทั่วไปได้ดีขึ้น


กลไกการซ่อนตัวด้วยไดรเวอร์


การที่ WIN_DRV ใช้ไดรเวอร์ในการทำงานเป็นจุดที่น่ากังวล เนื่องจากไดรเวอร์สามารถทำงานในระดับเคอร์เนลของระบบปฏิบัติการ ทำให้มัลแวร์สามารถเข้าถึงทรัพยากรระบบได้ลึกกว่าโปรแกรมทั่วไป

นอกจากนี้ การใช้ไดรเวอร์ยังช่วยให้มัลแวร์สามารถหลบเลี่ยงการสแกนจากแอนตี้ไวรัส และป้องกันไม่ให้ผู้ใช้หรือผู้ดูแลระบบตรวจพบกระบวนการที่ผิดปกติได้ยากขึ้น


เป้าหมายและผลกระทบที่อาจเกิดขึ้น


แม้ยังไม่มีการเปิดเผยเหยื่อรายใดโดยเฉพาะ แต่การที่แบ็คดอร์นี้ขยายมาสู่ Windows ทำให้กลุ่มเป้าหมายกว้างขึ้นอย่างมาก เนื่องจาก Windows เป็นระบบปฏิบัติการที่ใช้งานแพร่หลายที่สุดในโลก โดยเฉพาะในองค์กรธุรกิจและหน่วยงานรัฐ

แบ็คดอร์ SprySOCKS สามารถใช้เป็นเครื่องมือในการขโมยข้อมูล ควบคุมเครื่องจากระยะไกล หรือใช้เป็นฐานในการโจมตีต่อเนื่องไปยังเครือข่ายอื่น ๆ


แนวทางการป้องกันและตรวจจับ


องค์กรควรตรวจสอบให้แน่ใจว่าระบบรักษาความปลอดภัยสามารถตรวจจับพฤติกรรมผิดปกติที่เกิดจากไดรเวอร์ที่ไม่ได้รับอนุญาต รวมถึงการอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ

การใช้โซลูชัน Endpoint Detection and Response หรือ EDR จะช่วยเพิ่มความสามารถในการตรวจจับมัลแวร์ที่ซับซ้อนเช่นนี้ นอกจากนี้ การจำกัดสิทธิ์การติดตั้งไดรเวอร์เฉพาะผู้ดูแลระบบที่เชื่อถือได้ก็เป็นมาตรการสำคัญ


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด