แรนซัมแวร์สายพันธุ์ใหม่ชื่อ GodDamn กำลังเป็นข่าวพาดหัวด้วยเทคนิคที่ควรทำให้ทุกคนที่คิดว่าซอฟต์แวร์แอนตี้ไวรัสของตนมีอำนาจตัดสินใจสุดท้ายเหนือสิ่งที่จะรันบนเครื่องของตนต้องกังวล ตามรายงานจาก Dark Reading ผู้อยู่เบื้องหลัง GodDamn กำลังใช้ไดรเวอร์เคอร์เนลที่เป็นอันตรายซึ่ง Microsoft เองเป็นผู้เซ็นชื่อ เปลี่ยนใบรับรองดิจิทัลที่เชื่อถือได้ให้กลายเป็นอาวุธต่อต้านเครื่องมือรักษาความปลอดภัยที่ถูกออกแบบมาให้หยุดมัน นี่คือตัวอย่างที่ชัดเจนของการโจมตีแบบ BYOVD ซึ่งย่อมาจาก 'Bring Your Own Vulnerable Driver' และกำลังกลายเป็นหนึ่งในกลเม็ดที่ไว้ใจได้มากที่สุดในคลังแสงของผู้ดำเนินการแรนซัมแวร์
เกิดอะไรขึ้น
แรนซัมแวร์ GodDamn ได้โจมตีบริษัทต่างๆ ในสหรัฐอเมริกาด้วยการติดตั้งไดรเวอร์ระดับเคอร์เนลที่มีลายเซ็นที่ถูกต้องตามกฎหมายของ Microsoft เนื่องจาก Windows เชื่อถือไดรเวอร์ที่เซ็นชื่อให้ทำงานในส่วนลึกของระบบปฏิบัติการ ไดรเวอร์นี้จึงสามารถเล็ดลอดผ่านแนวป้องกันและหยุดการทำงานของซอฟต์แวร์ความปลอดภัยก่อนที่เพย์โหลดแรนซัมแวร์จะถูกรัน เมื่อการป้องกันบนเอนด์พอยต์ถูกปิดใช้งาน ผู้โจมตีก็มีอิสระในการเข้ารหัสไฟล์และเคลื่อนที่ผ่านเครือข่ายไปได้โดยแทบไม่ถูกตรวจจับ ความจริงที่ว่า Microsoft เป็นผู้เซ็นชื่อไดรเวอร์นี้ตั้งแต่แรกคือรายละเอียดที่น่าทึ่งที่สุด ซึ่งหมายความว่าโค้ดที่เป็นอันตรายไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ใน Windows มากเท่ากับการใช้ประโยชน์จากความเชื่อถือที่มีต่อกระบวนการเซ็นชื่อเสียเอง
BYOVD เลี่ยงผ่านชั้นความปลอดภัยของคุณได้อย่างไร
ไดรเวอร์เคอร์เนลทำงานที่ระดับสิทธิ์สูงสุดบนเครื่อง Windows ซึ่งอยู่ต่ำกว่าชั้นที่เครื่องมือแอนตี้ไวรัสและการตรวจจับเอนด์พอยต์ส่วนใหญ่ทำงานอยู่ นั่นคือเหตุผลสำคัญที่ผู้โจมตีต้องการมัน ไดรเวอร์ที่มีลายเซ็นที่ถูกต้องจะไม่ก่อให้เกิดการตรวจสอบอย่างเข้มงวดเหมือนกับไฟล์ปฏิบัติการที่ไม่ได้เซ็นชื่อหรือไม่รู้จัก มันจึงสามารถโหลดอย่างเงียบๆ และถูกใช้เพื่อปิดการทำงาน ทำให้มองไม่เห็น หรือฆ่ากระบวนการความปลอดภัยอื่นๆ ที่ทำงานอยู่บนระบบ
เรื่องนี้มีความสำคัญมากกว่าแค่แอนตี้ไวรัสแบบดั้งเดิม ซอฟต์แวร์ VPN แบบไคลเอนต์ เครื่องมือกรอง DNS และแอปพลิเคชันความเป็นส่วนตัวหรือความปลอดภัยอื่นๆ ก็ทำงานเป็นกระบวนการบนระบบปฏิบัติการเดียวกันเช่นกัน และพวกมันก็อาจถูกปิดโดยผู้โจมตีระดับเคอร์เนลที่มีอำนาจควบคุมในระดับนั้นได้เช่นกัน VPN เข้ารหัสทราฟฟิกของคุณและสามารถช่วยป้องกันการสอดแนมเครือข่ายบางประเภท แต่ไม่ได้ถูกออกแบบมาให้หยุดไดรเวอร์ที่เป็นอันตรายจากการปิดการทำงานของซอฟต์แวร์ความปลอดภัยในระดับระบบปฏิบัติการ เมื่อผู้โจมตีเข้าถึงเคอร์เนลได้ พวกเขากำลังทำงานต่ำกว่าชั้นที่เครื่องมือรักษาความปลอดภัยสำหรับผู้บริโภคและองค์กรส่วนใหญ่จะมองเห็น ซึ่งเป็นเหตุผลสำคัญที่ว่าทำไมการป้องกันแบบหลายชั้นจึงมีความสำคัญแทนที่จะพึ่งพาเครื่องมือใดเพียงเครื่องมือเดียว
BYOVD ไม่ใช่เรื่องใหม่ แต่มันได้กลายเป็นเทคนิคยอดนิยมเพราะมันได้ผลดีเหลือเกินในการรับมือกับระบบป้องกันสมัยใหม่ ผู้ดำเนินการแรนซัมแวร์กำลังสร้างขีดความสามารถนี้ลงในมัลแวร์ของพวกเขาโดยตรงมากขึ้นเรื่อยๆ แทนที่จะใช้มันเป็นเครื่องมือแยกต่างหากที่ถูกติดตั้งล่วงหน้า ซึ่งช่วยเร่งการโจมตีและทำให้ตรวจจับได้ยากขึ้น รูปแบบที่กว้างขึ้นของการที่ผู้โจมตีเคลื่อนไหวอย่างรวดเร็วเมื่อพบสิ่งที่ได้ผล ปรากฏให้เห็นทั่วภูมิทัศน์ของแรนซัมแวร์ในขณะนี้ กลุ่มกรรโชกทรัพย์ยังแสดงให้เห็นถึงความเต็มใจที่จะโจมตีโครงสร้างพื้นฐานที่สำคัญอย่างรวดเร็ว ดังที่เห็นเมื่อ SpaceBears โจมตีผู้ให้บริการโทรคมนาคมฝรั่งเศส เมื่อช่วงต้นปีนี้ และปฏิบัติการขโมยข้อมูลขนาดใหญ่อย่างที่อ้างโดย ShinyHunters ต่อ NAIC แสดงให้เห็นว่าข้อมูลจำนวนมหาศาลตกอยู่ในความเสี่ยงเมื่อแนวป้องกันแรกเริ่มล้มเหลว
เหตุใดเรื่องนี้จึงสำคัญต่อความปลอดภัยอุปกรณ์ของคุณ
บทเรียนหลักจาก GodDamn ไม่ใช่แค่เรื่องแรนซัมแวร์เพียงอย่างเดียว แต่มันคือความเปราะบางของโมเดลความปลอดภัยที่วางอยู่บนความเชื่อถือ โค้ดที่เซ็นชื่อ ใบรับรองที่ตรวจสอบแล้ว และการอนุมัติจากผู้จำหน่ายล้วนมีไว้เพื่อส่งสัญญาณถึงความปลอดภัย แต่ผู้โจมตีก็ยังคงหาวิธีใช้สัญญาณเหล่านั้นในทางที่ผิดได้เสมอ ความเร็วก็นับเป็นปัจจัย เช่นเดียวกับที่ผู้โจมตีเคลื่อนไหวอย่างรวดเร็วเพื่อเจาะเซิร์ฟเวอร์นับหมื่นเครื่องหลังจากที่มีการเปิดเผย ช่องโหว่การเลี่ยงการตรวจสอบสิทธิ์ของ cPanel ที่ร้ายแรง กลุ่มแรนซัมแวร์ก็รวดเร็วในการนำเทคนิคใดๆ รวมถึงไดรเวอร์ที่เซ็นชื่อที่เป็นอันตราย มาใช้ปฏิบัติการจริง เพื่อให้พวกเขาได้เปรียบเหนือผู้ป้องกัน
สำหรับผู้ใช้ทั่วไปและผู้ดูแลระบบไอทีเช่นกัน เรื่องนี้ตอกย้ำประเด็นง่ายๆ ว่า ระบบรักษาความปลอดภัยชั้นเดียว ไม่ว่าจะเป็นแอนตี้ไวรัส VPN หรือไฟร์วอลล์ เพียงลำพังนั้นไม่เพียงพอ การป้องกันเชิงลึก ซึ่งหมายถึงการมีการป้องกันหลายชั้นซ้อนทับกัน ยังคงเป็นวิธีที่สมจริงที่สุดในการลดความเสี่ยงเมื่อผู้โจมตีกำลังหาหนทางเลี่ยงผ่านมาตรการควบคุมใดๆ ก็ตามอยู่ตลอดเวลา
สิ่งนี้มีความหมายสำหรับคุณ
หากคุณจัดการระบบ Windows ไม่ว่าจะที่บ้านหรือในสภาพแวดล้อมทางธุรกิจ แคมเปญแรนซัมแวร์ GodDamn คือเครื่องเตือนใจให้อัปเดตการบังคับใช้การเซ็นชื่อไดรเวอร์ การตรวจจับเอนด์พอยต์ และการจัดการแพตช์ ให้เป็นปัจจุบันอยู่เสมอ Windows มีกลไกในการบล็อกไดรเวอร์ที่ทราบว่าไม่ดี และการทำให้ระบบป้องกันเหล่านั้นอัปเดตเป็นสิ่งสำคัญ เนื่องจากผู้โจมตีพึ่งพาบัญชีบล็อกที่ล้าสมัยเพื่อลักลอบนำไดรเวอร์ที่มีช่องโหว่ผ่านการตรวจจับ
VPN ยังคงเป็นส่วนที่มีคุณค่าในชุดเครื่องมือความเป็นส่วนตัวและความปลอดภัยของคุณ โดยเฉพาะอย่างยิ่งสำหรับการเข้ารหัสทราฟฟิกบนเครือข่ายที่ไม่น่าเชื่อถือ และจำกัดการเปิดเผยต่อการเฝ้าติดตามบางรูปแบบ แต่ควรเข้าใจว่ามันคือชั้นหนึ่งในหลายๆ ชั้น มากกว่าจะเป็นการป้องกันที่สมบูรณ์แบบจากมัลแวร์ที่ซับซ้อน การใช้ VPN ที่มีชื่อเสียงร่วมกับซอฟต์แวร์แอนตี้ไวรัสที่อัปเดต การแพตช์ระบบปฏิบัติการตามเวลา และการจัดการการดาวน์โหลดและไฟล์แนบอีเมลอย่างระมัดระวัง จะช่วยให้คุณมีภาพรวมด้านความปลอดภัยที่แข็งแกร่งกว่าการพึ่งพาเครื่องมือใดเพียงเครื่องมือเดียวมาก
ข้อควรปฏิบัติ
อัปเดต Windows และซอฟต์แวร์ความปลอดภัยทั้งหมดให้เป็นเวอร์ชันล่าสุดเสมอ เนื่องจาก Microsoft จะอัปเดตรายชื่อบล็อกไดรเวอร์ที่มีช่องโหว่เป็นระยะๆ เพื่อปิดช่องว่างเช่นนี้ เปิดใช้งานคุณสมบัติ memory integrity และ core isolation ใน Windows Security settings ในอุปกรณ์ที่รองรับ เนื่องจากคุณสมบัติเหล่านี้ช่วยให้การโจมตี BYOVD ทำได้ยากขึ้น สำรองข้อมูลสำคัญเป็นประจำและเก็บบันทึกสำเนาแบบออฟไลน์ เพื่อที่การเข้ารหัสไฟล์ของแรนซัมแวร์จะไม่สามารถจับข้อมูลของคุณเป็นตัวประกันได้ ปฏิบัติกับ VPN ของคุณในฐานะส่วนหนึ่งของกลยุทธ์ความปลอดภัยที่กว้างขึ้น แทนที่จะเป็นเกราะป้องกันแบบสแตนด์อโลน จับคู่มันกับการป้องกันเอนด์พอยต์และพฤติกรรมการท่องเว็บอย่างปลอดภัย สุดท้าย หมั่นติดตามข้อมูลเกี่ยวกับเทคนิค BYOVD และแรนซัมแวร์ที่กำลังเกิดขึ้นใหม่ เนื่องจากการเข้าใจว่าผู้โจมตีเลี่ยงผ่านระบบป้องกันที่อิงกับความเชื่อถือได้อย่างไร คือก้าวแรกในการปิดช่องว่างเหล่านั้นก่อนที่มันจะมาถึงคุณ




