ความปลอดภัยไซเบอร์

ตัวติดตั้งอย่างเป็นทางการของ Daemon Tools ถูกฝังแบ็คดอร์ในการโจมตีซัพพลายเชนระดับโลก

6 พฤษภาคม 2569อ่าน 5 นาที

By James Okafor — CIPP/E certified, digital rights and privacy law specialist

ตัวติดตั้งอย่างเป็นทางการของ Daemon Tools ถูกฝังแบ็คดอร์ในการโจมตีซัพพลายเชนระดับโลก

ผู้โจมตีทำให้ตัวติดตั้งอย่างเป็นทางการของ Daemon Tools กลายเป็นอาวุธได้อย่างไร

การโจมตีซัพพลายเชนของ Daemon Tools เป็นตัวอย่างตำราที่ชัดเจนว่าความไว้วางใจกลายเป็นอาวุธได้อย่างไร นักวิจัยจาก Kaspersky ค้นพบว่าแฮกเกอร์ได้ดัดแปลงตัวติดตั้งของ Daemon Tools ซึ่งเป็นแอปพลิเคชันสร้างดิสก์อิมเมจและไดรฟ์เสมือนที่ใช้งานแพร่หลายที่สุดสำหรับ Windows ไฟล์อันตรายเหล่านี้ไม่ได้แพร่กระจายผ่านมิเรอร์ของบุคคลที่สามที่น่าสงสัยหรืออีเมลฟิชชิ่ง แต่มาโดยตรงจากเว็บไซต์อย่างเป็นทางการของซอฟต์แวร์ ซึ่งหมายความว่าผู้ใช้ที่ทำทุกอย่างถูกต้อง ด้วยการไปยังแหล่งที่มา ก็ยังคงตกเป็นเหยื่อ

จากผลการค้นพบของ Kaspersky ไฟล์ปฏิบัติการที่ถูกฝังโทรจันได้รับการลงนามด้วยใบรับรองดิจิทัลที่ถูกต้อง ซึ่งทำให้ดูน่าเชื่อถือในแบบที่เครื่องมือรักษาความปลอดภัยส่วนใหญ่จะไม่ตั้งข้อสงสัย เมื่อติดตั้งแล้ว แบ็คดอร์จะสำรวจข้อมูลระบบที่ได้รับผลกระทบและสร้างช่องทางสำหรับผู้โจมตีในการส่งมัลแวร์เพิ่มเติม แคมเปญนี้เข้าถึงเครื่องนับพันเครื่องในกว่า 100 ประเทศ โดยมีหน่วยงานรัฐบาลและสถาบันวิทยาศาสตร์อยู่ในกลุ่มเป้าหมายที่ได้รับการยืนยัน เวอร์ชันที่ถูกดัดแปลงที่ทราบมีตั้งแต่ 12.5.0.2421 ถึง 12.5.0.2434

การทำความเข้าใจว่าสิ่งนี้เหมาะสมกับรูปแบบที่กว้างขึ้นอย่างไรนั้นมีความสำคัญ การโจมตีซัพพลายเชน ทำงานโดยการเจาะองค์ประกอบที่เชื่อถือได้ในกระบวนการส่งมอบซอฟต์แวร์ แทนที่จะโจมตีผู้ใช้ปลายทางโดยตรง ผู้โจมตียืมความน่าเชื่อถือของผู้จำหน่ายที่ถูกกฎหมายเพื่อเข้าถึงกลุ่มเหยื่อที่ใหญ่กว่าการโจมตีโดยตรงมาก

เหตุใดการโจมตีซัพพลายเชนจึงหลีกเลี่ยงการรักษาความปลอดภัยเอนด์พอยต์แบบดั้งเดิมได้

เครื่องมือรักษาความปลอดภัยเอนด์พอยต์ส่วนใหญ่ทำงานบนโมเดลความไว้วางใจ: หากไฟล์มาจากแหล่งที่รู้จักและมีลายเซ็นที่ถูกต้อง ก็มีโอกาสน้อยกว่ามากที่จะกระตุ้นการแจ้งเตือน ผู้โจมตี Daemon Tools เข้าใจเรื่องนี้อย่างถ่องแท้ การฝังโค้ดอันตรายไว้ภายในตัวติดตั้งที่ลงนามถูกต้องและแจกจ่ายจากโดเมนอย่างเป็นทางการ ทำให้พวกเขาหลีกเลี่ยงด่านแรกของการป้องกันที่ผู้ใช้ส่วนใหญ่พึ่งพา

เครื่องมือตรวจจับไวรัสและเอนด์พอยต์ถูกสร้างขึ้นเพื่อดักจับลายเซ็นอันตรายที่รู้จักและรูปแบบพฤติกรรมที่น่าสงสัย แบ็คดอร์ที่ฝังอยู่ในแอปพลิเคชันที่ทำงานได้ตามปกติ ลงนามโดยใบรับรองของนักพัฒนาจริง ไม่แสดงสัญญาณเตือนเหล่านั้น ณ จุดที่ติดตั้ง เมื่อมัลแวร์เริ่มการลาดตระเวนหลังการติดตั้ง มันอาจดูเหมือนกิจกรรมแอปพลิเคชันตามปกติสำหรับเครื่องมือตรวจสอบแล้ว

นี่ไม่ใช่ข้อบกพร่องเฉพาะของผู้จำหน่ายความปลอดภัยรายใดรายหนึ่ง แต่สะท้อนถึงจุดอ่อนเชิงโครงสร้าง: การรักษาความปลอดภัยเอนด์พอยต์แบบดั้งเดิมมีปัญหากับการโจมตีที่เกิดขึ้นภายในขอบเขตความไว้วางใจ ความท้าทายเดียวกันนี้ปรากฏในเหตุการณ์ที่มีผลกระทบสูงอื่น ๆ ที่ผู้โจมตีใช้ประโยชน์จากข้อมูลรับรองที่ถูกต้องหรือช่องทางซอฟต์แวร์ที่ได้รับอนุญาต ดังที่เห็นในการดำเนินการขโมยข้อมูลขนาดใหญ่ที่กำหนดเป้าหมายแพลตฟอร์มที่เชื่อถือได้

VPN เพิ่มการป้องกันในระดับเครือข่ายต่อซอฟต์แวร์ที่ฝังแบ็คดอร์ได้อย่างไร

เมื่อติดตั้งแบ็คดอร์แล้ว มันจำเป็นต้องสื่อสาร แบ็คดอร์ส่วนใหญ่จะส่งสัญญาณออกไปยังโครงสร้างพื้นฐานคำสั่งและควบคุม (C2) เพื่อรับคำสั่งหรือขโมยข้อมูล กิจกรรมในระดับเครือข่ายนี้เป็นหนึ่งในสัญญาณที่สังเกตได้เพียงไม่กี่อย่างที่ยังคงมีอยู่หลังจากการบุกรุกซัพพลายเชนประสบความสำเร็จที่เอนด์พอยต์แล้ว

VPN เพียงอย่างเดียวจะไม่บล็อกมัลแวร์ แต่เมื่อรวมกับการกรอง DNS การตรวจสอบการรับส่งข้อมูล หรือนโยบายไฟร์วอลล์ที่กำหนดค่าอย่างเหมาะสม จะมีส่วนช่วยในการป้องกันแบบหลายชั้นที่สามารถตรวจพบการเชื่อมต่อขาออกที่ผิดปกติ องค์กรที่รันการรับส่งข้อมูลผ่านเกตเวย์เครือข่ายที่ตรวจสอบได้สามารถตั้งค่าสถานะปลายทางที่ไม่คาดคิดได้แม้ว่ากระบวนการต้นทางจะดูถูกต้องก็ตาม สำหรับผู้ใช้รายบุคคล บริการ VPN บางอย่างมีฟีดข่าวกรองภัยคุกคามที่บล็อกโดเมนอันตรายที่รู้จัก ซึ่งอาจขัดขวางความสามารถของแบ็คดอร์ในการเชื่อมต่อไปยังเซิร์ฟเวอร์ C2

หลักการหลักที่นี่คือการป้องกันเชิงลึก: ไม่มีการควบคุมเดียวที่หยุดทุกการโจมตีได้ แต่หลายชั้นที่เป็นอิสระบังคับให้ผู้โจมตีต้อง突破อุปสรรคมากขึ้น แบ็คดอร์ที่ไม่สามารถโทรกลับบ้านได้มีประโยชน์น้อยกว่ามากสำหรับผู้โจมตี แม้ว่าจะติดตั้งได้สำเร็จก็ตาม

วิธีตรวจสอบความสมบูรณ์ของซอฟต์แวร์และสังเกตสัญญาณของการถูกบุกรุก

เหตุการณ์ Daemon Tools ทำให้เกิดคำถามที่น่าอึดอัด: หากเว็บไซต์อย่างเป็นทางการให้บริการไฟล์อันตราย ผู้ใช้จะทำอะไรได้จริง ๆ ? คำตอบเกี่ยวข้องกับขั้นตอนปฏิบัติหลายอย่างที่ควรค่าแก่การสร้างเป็นนิสัยประจำ

ตรวจสอบแฮชการเข้ารหัสก่อนติดตั้ง ผู้เผยแพร่ซอฟต์แวร์ที่มีชื่อเสียงโพสต์เช็คซัม SHA-256 หรือ MD5 ควบคู่กับการดาวน์โหลด การเปรียบเทียบแฮชของไฟล์ที่ดาวน์โหลดกับค่าที่เผยแพร่จะยืนยันว่าไฟล์ไม่ได้ถูกแก้ไข ขั้นตอนนี้จะตรวจพบตัวติดตั้ง Daemon Tools ที่ถูกดัดแปลง หากแฮชที่สะอาดยังคงถูกเผยแพร่อยู่

ติดตามเวอร์ชันซอฟต์แวร์อย่างต่อเนื่อง เวอร์ชัน Daemon Tools ที่ถูกดัดแปลงที่ทราบครอบคลุมช่วงบิลด์ที่เฉพาะเจาะจง ผู้ใช้ที่ติดตามหมายเลขเวอร์ชันและอ้างอิงข้ามกับคำแนะนำด้านความปลอดภัยสามารถตรวจพบช่วงเวลาที่ถูกเปิดรับได้อย่างรวดเร็ว เครื่องมืออย่างตัวจัดการสินค้าคงคลังซอฟต์แวร์หรือแพลตฟอร์มจัดการแพตช์ทำให้สิ่งนี้ง่ายขึ้นในระดับใหญ่

ดูกิจกรรมเครือข่ายที่ไม่คาดคิด หลังจากติดตั้งซอฟต์แวร์ใด ๆ การตรวจสอบการเชื่อมต่อเครือข่ายที่ใช้งานอยู่อย่างรวดเร็วโดยใช้เครื่องมืออย่าง netstat หรือตัวตรวจสอบเครือข่ายเฉพาะทาง สามารถเปิดเผยการรับส่งข้อมูลขาออกที่ผิดปกติซึ่งสมควรได้รับการสืบสวน

ปฏิบัติตามคำแนะนำของผู้จำหน่ายอย่างทันท่วงที นักพัฒนา Daemon Tools ได้ยืนยันการละเมิดและเผยแพร่เวอร์ชันที่สะอาดแล้ว การอัปเดตทันทีเป็นขั้นตอนการแก้ไขที่ตรงที่สุดสำหรับทุกคนที่ติดตั้งบิลด์ที่ถูกดัดแปลง

สิ่งที่นี่หมายความว่าอะไรสำหรับคุณ

การโจมตีซัพพลายเชนของ Daemon Tools เป็นการเตือนว่าความปลอดภัยของซอฟต์แวร์ใด ๆ ในระบบของคุณแข็งแกร่งเพียงเท่าความปลอดภัยของทุกคนที่เกี่ยวข้องในการสร้างและแจกจ่ายมัน การดาวน์โหลดจากแหล่งอย่างเป็นทางการเป็นแนวทางปฏิบัติที่ดี แต่ไม่ใช่การรับประกันเมื่อแหล่งที่มาเองถูกบุกรุก

สำหรับผู้ใช้รายบุคคล หมายความว่าต้องใช้แนวคิดตรวจสอบก่อนแล้วค่อยไว้วางใจ แทนที่จะเป็นไว้วางใจก่อนแล้วค่อยตรวจสอบ การตรวจสอบแฮช การตรวจสอบเครือข่ายเชิงรุก และการแพตช์อย่างรวดเร็ว ไม่ใช่เทคนิคขั้นสูงที่สงวนไว้สำหรับผู้เชี่ยวชาญด้านความปลอดภัย แต่เป็นขั้นตอนสุขอนามัยพื้นฐานที่ลดความเสี่ยงได้อย่างมีนัยสำคัญ

สำหรับองค์กร เหตุการณ์นี้เน้นย้ำถึงคุณค่าของแนวปฏิบัติรายการส่วนประกอบซอฟต์แวร์ (SBOM) และการประเมินความเสี่ยงซัพพลายเชน โดยเฉพาะอย่างยิ่งสำหรับซอฟต์แวร์ยูทิลิตี้ที่ใช้งานแพร่หลายซึ่งอาจไม่ได้รับการตรวจสอบอย่างเข้มงวดเท่ากับแอปพลิเคชันระดับองค์กร

ทบทวนกระบวนการตรวจสอบซอฟต์แวร์ของคุณเองในวันนี้ หากคุณยังไม่ได้ตรวจสอบแฮชตัวติดตั้งหรือตรวจสอบการรับส่งข้อมูลขาออกจากแอปพลิเคชันที่เพิ่งติดตั้ง นี่เป็นช่วงเวลาที่ดีที่จะเริ่มต้น สำหรับบทนำเชิงลึกเกี่ยวกับวิธีสร้างการโจมตีเหล่านี้และเหตุใดจึงมีประสิทธิภาพสูง รายการคำศัพท์การโจมตีซัพพลายเชน ให้รากฐานที่แข็งแกร่งสำหรับการทำความเข้าใจโมเดลภัยคุกคามเบื้องหลังเหตุการณ์อย่างเหตุการณ์นี้

// คำถามที่พบบ่อย

ตัวติดตั้ง Daemon Tools ที่เป็นอันตรายถูกแจกจ่ายมาจากที่ไหน?

ตัวติดตั้งที่ถูกฝังโทรจันถูกแจกจ่ายโดยตรงจากเว็บไซต์อย่างเป็นทางการของ Daemon Tools ไม่ใช่จากมิเรอร์ของบุคคลที่สามหรืออีเมลฟิชชิ่ง ซึ่งหมายความว่าผู้ใช้ที่เข้าถึงแหล่งที่มาที่ถูกต้องก็ยังคงตกเป็นเหยื่อ

เวอร์ชันใดของ Daemon Tools ที่ได้รับการยืนยันว่าถูกดัดแปลง?

เวอร์ชันที่ถูกดัดแปลงที่ทราบมีตั้งแต่ 12.5.0.2421 ถึง 12.5.0.2434

มีกี่ประเทศที่ได้รับผลกระทบจากการโจมตีซัพพลายเชนของ Daemon Tools?

แคมเปญนี้เข้าถึงเครื่องนับพันเครื่องในกว่า 100 ประเทศ โดยมีหน่วยงานรัฐบาลและสถาบันวิทยาศาสตร์อยู่ในกลุ่มเป้าหมายที่ได้รับการยืนยัน

ใครเป็นผู้ค้นพบการโจมตีซัพพลายเชนของ Daemon Tools?

นักวิจัยจาก Kaspersky ค้นพบว่าแฮกเกอร์ได้ดัดแปลงตัวติดตั้ง Daemon Tools อย่างเป็นทางการ

เหตุใดเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมจึงตรวจจับตัวติดตั้ง Daemon Tools ที่เป็นอันตรายไม่ได้?

ไฟล์ปฏิบัติการที่ถูกฝังโทรจันได้รับการลงนามด้วยใบรับรองดิจิทัลที่ถูกต้อง ซึ่งเครื่องมือรักษาความปลอดภัยส่วนใหญ่ถือว่าเป็นสัญญาณของความน่าเชื่อถือ เครื่องมือตรวจจับไวรัสและเอนด์พอยต์ไม่ได้ถูกออกแบบมาเพื่อตั้งค่าสถานะไฟล์ที่ลงนามถูกต้องซึ่งแจกจ่ายผ่านช่องทางอย่างเป็นทางการ