Malware

USB Trojan น้องใหม่ มีความสามารถป้องกันตัวเองจากการตรวจจับ

Trojan ขโมยข้อมูลตัวใหม่ถูกพบบน USB และด้วยความแตกต่างจากมัลแวร์ขโมยข้อมูลทั่วไป โดยโทรจันตัวนี้อาศัยอยู่บน USB ที่ติดตั้งโทรจันเอาไว้ และขโมยข้อมูลจากคอมพิวเตอร์โดยไร้ร่องรอย มากกว่านั้นมันยังมีกลไกที่สามารถหลบหนีการตรวจจับได้

ในขณะที่มัลแวร์ส่วนใหญ่ใช้วิธีคลาสสิคอย่างเช่น ใช้ไฟล์ทำงานอัตโนมัติ หรือสร้างชอร์ตคัตเพื่อหลอกล่อให้ผู้ใช้เปิดการทำงาน แต่เจ้า USB โจรนี้ใช้เทคนิคที่แตกต่างออกไป วิธีการนี้เกิดขึ้นจากการใช้แอปพลิเคชั่นที่ไม่ต้องติดตั้ง หรือ Portable Application อย่าง Firefox, Notapad++ และ TrueCrypt บน USB ที่กำลังเป็นที่นิยมในขณะนี้

โดยมัลแวร์ใช้ประโยชน์จากกระแสนี้โดยการแฝงตัวเข้าไปกับแอปพลิเคชั่นดังกล่าว ในรูปแบบของอุปกรณ์เสริม และถ้าแอปพลิเคชั่นถูกเปิดใช้มัลแวร์จะแอบทำงานอยู่ข้างหลัง

กลไลการป้องกันตัวเอง

มัลแวร์ประกอบด้วยหกไฟล์ มีไฟล์ 4 ตัวที่สามารถเปิดทำงานได้และอีกสองตัวเป็นไฟล์ข้อมูลส่วนประกอบ เพื่อป้องกันตัวเองจากการถูกก๊อบปี้หรือการแกะโครงสร้างย้อนหลัง มัลแวร์ตัวนี้มีสองเทคนิค อย่างแรก คือไฟล์เข้ารหัส AES128 สอง ไฟล์ที่สร้างส่วนประกอบการเข้ารหัส

การเข้ารหัสถูกประมาณการด้วย ID ของ USB และมัลแวร์ที่อาศัยอยู่ใน USB ด้วยเหตุนี้มัลแวร์ถึงจะสามารถทำงานแบบสมบูรณ์ได้ด้วย USB อันเดียว

เป็นเรื่องท้าทายสำหรับพวกเรามากที่จะวิเคราะห์มัลแวร์ตัวนี้ เพราะเราไม่มี USB ที่ติดเชื้อ ดังนั้นการสร้าง USB พาหะมาเพื่อทำการทดลองเป็นไปไม่ได้

เฉพาะไฟล์แรกเริ่มเท่านั้นที่พวกวิเคราะห์ได้ แล้ว USB ID จะเป็นเหมือนกองกำลังกับคุณสมบัติของ USB อีกเล็กน้อย หลักจากนั้นเมื่อการถอดรหัสของมัลแวร์เสร็จสิ้น เราต้องหาวิธีที่มันเริ่มการทำงาน เพราะเมื่อไฟล์มีการก๊อบปี้กันเกิดขึ้นเราจะสามารถเก็บตัวอย่างและเวลาทำงานได้

%d bloggers like this: