มัลแวร์ Purple Fox อาจจะเป็นชื่อที่ยังไม่ค่อยคุ้นหูกันมากนัก เนื่องจากพึ่งค้นพบในปี 2018 และในปี 2021 ได้ถูกพูดถึงอีกครั้งด้วยการอับเกรดความสามารถในการแพร่กระจายที่เพิ่มถึง 600% ดังนั้นวันนี้เราจะพาทุกคนไปทำความรู้จักกับมัลแวร์นี้กัน

Purple Fox คืออะไร?

Purple Fox เป็นแคมเปญมัลแวร์ที่ถูกค้นพบในปี 2018 โดยทำให้ติดมัลแวร์นี้ด้วย Exploit kits และ Phishing emails โดยกำหนดเป้าหมายไปยังเครื่องที่ใช้งาน Internet Explorer และ Windows ที่มีช่องโหว่ SMB ในการเพิ่มสิทธิ์ต่าง ๆ โดยในปี 2018 มีผู้ตกเป็นเหยื่อมากกว่า 30,000 เครื่อง

การแพร่กระจายแบบใหม่ในปี 2021

ตั้งแต่ปลายปี 2020 มาจนถึงต้นปี 2021 Guardicore Global Sensors Network (GGSN) ได้ตรวจพบการอับเกรดความสามารถแพร่กระจายแบบใหม่ของ Purple Fox ซึ่งก็คือการ Scan port ของเครื่องระบบปฏิบัติการ Windows ผ่านอินเตอร์เน็ตเพื่อหาช่องโหว่ SMB ของเครื่องเหยี่อ และทำการโจมตีเพื่อเข้าครอบครองเครื่องเหยื่อด้วยวิธีการ Brute force

ที่มารูปภาพ : Guardicore

การโจมตีแบบ Brute Force คืออะไร?

Brute force เป็นการโจมตีด้วยการเดารหัสผ่านทุกรูปแบบที่มีความเป็นไปได้ของตัวอักษรและตัวเลขแต่ละหลัก ยกตัวอย่างรหัสผ่านที่เป็นตัวเลข 4 หลัก โปรแกรมจะทำการเดารหัสผ่านไล่ตั้งแต่ 0000 ไปจนถึง 9999 ทุกความเป็นไปได้จนกว่าจะได้รหัสผ่านที่ถูกต้อง

ดังนั้นการป้องกันการถูกโจมตีด้วยวิธีนี้คุณสามารถตั้งรหัสผ่านที่มีความซับซ้อนมากขึ้นให้มีความยาวอย่างน้อย 8 หลัก ผสมทั้งตัวอักษร ตัวพิมพ์ใหญ่ พิมพ์เล็ก และตัวเลข นอกจากนั้นยังควรเปลี่ยนรหัสผ่านเป็นประจำอย่างน้อยทุก ๆ 1 เดือน หรือถ้าในกรณีพิมพ์รหัสผ่านผิดในจำนวนที่กำหนดก็ให้ระบบทำการล๊อกไม่ให้เข้าใช้งานก็จะเป็นการป้องกันการโจมตีได้วิธีหนึ่ง

เมื่อ Purple Fox สามารถโจมตีด้วยการ Brute force เข้ามาได้แล้ว จะติดตั้ง Rootkit ที่ช่วยให้ผู้คุกคามสามารถซ่อนมัลแวร์ไว้ในเครื่องทำให้ตรวจจับและลบออกได้ยาก รวมถึงมีความสามารถในการดาวน์โหลดมัลแวร์อื่น ๆ เข้ามาติดตั้งเพิ่มได้อีกด้วย

Rootkit คืออะไร?

Rootkit มาจากคำว่า Root และ kit โดย Root คือ ผู้ดูแลระบบระดับสูงสุดในระบบปฏิบัติการ Unix และ kit คือชุดเครื่องมือที่ช่วยในการเข้าถึงระบบจากระยะไกล เมื่อรวมกันแล้ว Rootkit ก็คือ เครื่องมือที่ช่วยให้เข้าถึงระบบในระดับผู้ดูแลสูงสุดจากระยะไกล

โดย Rootkit ที่มาพร้อมกับมัลแวร์ จะช่วยให้ผู้โจมตี หรือแฮกเกอร์เข้าเครื่องเหยื่อได้จากระยะไกลผ่านการติดตั้งเครื่องมือต่าง ๆ โดยที่เจ้าของเครื่องไม่รู้ตัวได้เลย โดย Rootkit จะสามารถซ่อนจากโปรแกรมป้องกันไวรัส และโปรแกรมความปลอดภัยอื่น ๆ ได้อีกด้วย เพื่อทำหน้าที่เป็น Backdoor ที่มองไม่เห็นสำหรับเหล่าแฮกเกอร์ โดยปัจจุบันก็สามารถใช้โจมตีระบบปฏิบัติการได้ทุกรูปแบบเลย

การตรวจหา Rootkit
  1. การตรวจพฤติกรรมการใช้งาน เป็นวิธีการตรวจเช็คพฤติกรรมการใช้งานของผู้ดูแลระบบปกติ กับพฤติกรรมการใช้งานที่อาจเป็นอันตรายต่อระบบ
  2. การแสกนแบบใช้ Signature เป็นการสแกนหา Signature ที่อยู่ในฐานข้อมูล ดังนั้นการสแกน Signature จึงใช้ได้ผลกับ Rootkit ที่โปรแกรม Antivirus รู้จักเท่านั้น
  3. การสแกนหาความแตกต่าง (Cross-comparison) เปรียบเทียบข้อมูลดิบที่ไม่ถูกทำลายกับเนื้อหาที่อาจติดไวรัสที่ส่งคืนโดย API โดยทั่วไป
  4. ทำการเชื่อมต่อระบบหรือเครื่องคอมพิวเตอร์ที่เชื่อถือ การส่งข้อมูลภายในองค์กร อาจจะใช้งาน USB หรือ CD-ROM โดย Copy ข้อมูลมาจากแหล่งที่น่าเชื่อถือ และทำการ Scan ไวรัสทุกครั้งก่อนการใช้งาน
  5. ตรวจสอบความสมบูรณ์ (Integrity check) เพื่อตรวจสอบว่าโปรแกรมหรือไฟล์ที่นำมาติดตั้งบนเครื่องคอมพิวเตอร์มีความถูกต้อง สมบูรณ์ ไม่ผ่านการเปลี่ยนแปลงหรือฝังมัลแวร์ไว้ ผู้ใช้งานสามารถตรวจสอบค่าความถูกต้อง (Hashing) ของไฟล์หรือโปรแกรมได้จากเว็บไซต์ของผู้ผลิต

การแพร่กระจายแบบใหม่ของ Purple Fox ทำให้มีเหยื่อที่ถูกโจมตีเพิ่มขึ้นถึง 600% ขยายการโจมตีเหยื่อจนถึงปัจจุบันกว่า 90,000 เครื่องแล้ว

ผลกระทบ

หากโดนมัลแวร์ Purple Fox จะส่งผลกระทบทำให้คอมพิวเตอร์ของคุณทำงานได้ช้าลง หรืออาจร้ายแรงไปถึงขั้นใช้งานไม่ได้เลยทีเดียว

อีกหนึ่งผลกระทบของการโดนมัลแวร์ Purple Fox คือไม่สามารถเชื่อมต่ออินเตอร์เน็ต หรือการเข้าถึงข้อมูลเครือข่าย

อุปกรณ์และระบบเป้าหมาย

เป้าหมายหลักของคนร้ายที่ใช้มัลแวร์ Purple Fox ในการโจมตี คือเหยื่อที่ใช้ระบบปฏิบัติการ Windows Server ที่ค่อนข้างเก่า เช่น Windows Server ที่ใช้ IIS รุ่น 7.5, Microsoft FTP และเซิร์ฟเวอร์ที่ใช้ Microsoft RPC เป็นต้น

การป้องกันและแก้ไข
  1. Update patch Windows ให้เป็นปัจจุบัน
  2. ตรวจสอบแหล่งที่มาของ link หรือไฟล์ที่จะต้องทำการดาวน์โหลดให้แน่ใจว่ามาจากแหล่งที่มาที่มีความน่าเชื่อถือ
  3. ระมัดระวังในการเปิดไฟล์แนบ หรือรูปภาพทางอีเมล์ เพื่อป้องกันมัลแวร์ที่มาผ่าน Phishing emails
  4. สแกนเพื่อตรวจหาสิ่งแปลกปลอมรายวัน รายสัปดาห์ หรือรายเดือน

Purple Fox เป็นมัลแวร์อันตรายที่สามารถซ่อนอยู่ในเครื่องทำให้ตรวจจับได้ยาก การตรวจหาจากผู้เชี่ยวชาญจึงเป็นอีกหนึ่งทางเลือกขององค์กร INETMS มีบริการศูนย์เฝ้าระวังรักษาความมั่นคงปลอดภัยระบบเครือข่าย และเทคโนโลยีสารสนเทศ (Security Operation Center) มีทีมผู้เชี่ยวชาญที่มีความรู้และประสบการณ์ด้าน Security ที่พร้อมดูแล เฝ้าระวัง แจ้งเตือน และให้คำแนะนำในกรณีตรวจพบพฤติกรรมที่เป็นภัยคุกคามรูปแบบต่าง ๆ หรือเหตุการณ์ที่ผิดปกติตลอด 24 ชั่วโมง อีกทั้งยังมีระบบ AI ช่วยในการวิเคราะห์พฤติกรรมเพื่อสู้กับ Hacker ในยุคดิจิตอล พร้อมทั้งอัพเดท ช่องโหว่ใหม่ ๆ จากทั่วโลกด้วย Threat intelligence ทำให้ระบบคอมพิวเตอร์ของคุณปลอดภัยอยู่เสมอ

บริการ VA เป็นบริการสแกน และตรวจสอบด้านความปลอดภัยของระบบไอที เพื่อค้นหาจุดอ่อนที่มีความเสี่ยง พร้อมประเมินระดับความปลอดภัยและให้คำแนะนำในการแก้ไขปัญหาที่พบ โดยทีมงานผู้เชี่ยวชาญที่มีประสบการณ์ด้านการรักษาความปลอดภัยคอมพิวเตอร์โดยเฉพาะ

บริการ Pentest เป็นบริการเจาะระบบตาม Methodology OSSTMM และ OWASP เพื่อช่วยในการประเมินความความเสี่ยงของระบบคอมพิวเตอร์ซึ่งเป็นทรัพย์สินที่สำคัญขององค์กร ทั้ง Web Application และ Mobile Application ทำให้ทราบถึงช่องโหว่และวิธีการเข้าถึง เพื่อให้สามารถป้องกันได้อย่างถูกต้อง และถูกวิธี

สอบถามข้อมูลบริการ Managed Security เพิ่มเติมได้ที่

โทรศัพท์ : 0-2257-7100

อีเมล์ : sales@inetms.co.th

ที่มา : https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/

https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

บริการ Security