Malware

ESET พบต้นตอมัลแวร์ USB ขโมยข้อมูล

คุณ Tomáš Gardoň นักวิเคราะห์มัลแวร์จาก ESET อธิบายกับเราเกี่ยวกับ Trojan ที่มีชื่อว่า Win32/PSW.Stealer.NAI หรือที่รู้จักกันในนาม USB โจร

“USB โจร เป็นมากกว่ามัลแวร์ทั่วๆไปที่เราเคยเห็นบนอินเตอร์เน็ต” คุณ Gardoň บอก

“มัลแวร์ตั้วนี้ใช้เพียง USB เพื่อแพร่กระจาย และไม่ทิ้งร่องรอยใดๆไว้บนคอมพิวเตอร์ที่ถูกโจมตีเลย โดยผู้สร้างมัลแวร์ใช้กลไลพิเศษเพื่อป้องกันมัลแวร์ไม่ให้เผยแพร่หรือทำซ้ำได้ ทำให้การตรวจจับนั้นทำได้อยากมากยิ่งขึ้น”

เมื่อเราพบมัลแวร์ตัวใหม่ สิ่งแรกที่เราทำก็คือตั้งคำถาม “จุดประสงค์ของมันคืออะไร?”

เราพอที่จะคาดเดาจุดประสงค์ของมัลแวร์ตัวนี้ได้จากความสามารถของมัน โดยเฉพาะที่มันเป็น USB และมีความสามารถในการโจมตีโดยไม่ต้องพึ่งอินเตอร์เน็ต และข้อดีของการทำงานผ่าน USB ก็คือไม่ทิ้งร่องรอยใดๆไว้ ทำให้เป้าหมายไม่สามารถรู้ด้วยซ้ำว่าข้อมูลถูกขโมยไป

อีกจุดเด่นของมันก็คือ กระบวนการทำงานของมันสมบูรณ์ได้ใน USB เพียงอันเดียว และด้วยเหตุผลที่ไม่สามารถก๊อบปี้หรือทำซ้ำได้ รวมกับการเข้ารหัสหลายชั้นทำให้ตบตาการตรวจจับได้

คุณบอกได้ไหมว่าเหตุผลที่ผู้ผลิตสร้างมัลแวร์ที่ฝังตัวอยู่บนอุปกรณ์เพราะอะไร?

โดยมากมัลแวร์มักใช้การเข้ารหัสอยู่แล้ว และอีกเหตุผลหนึ่งที่ชัดเจนเลย คือเพื่อหลบหนีการตรวจจับ แต่ถ้าหากถูกพบ มัลแวร์ก็ยังคงทำงานอยู่บนอุปกรณ์นั้นๆ

ด้วยเหตุผลที่มันทำงานอยู่บนอุปกรณ์ ทำให้การแพร่กระจายนั้นทำได้ยากขึ้นแต่ด้วยเหตุผลเดียวกันก็ทำให้การพลาดเป้าหมายน้อยลงด้วยเช่นกัน พร้อมกับการโจมตีที่ไร้ร่องรอย หากไม่การตรวจจับบน USB และมัลแวร์ทำการลบตัวเองสำเร็จหลังจากเสร็จสิ้นภารกิจแล้ว

ดังนั้น สำหรับตัวผมเองผมคิดว่ามัลแวร์ตัวนี้ถูกสร้างมาเพื่อโจมตีเป้าหมายที่เลือกไว้แล้ว

มัลแวร์ที่สามารถโจมตีระบบโดยไม่ต้องอาศัยอินเตอร์เน็ต เป็นสิ่งที่อันตรายใช่หรือไม่?

ใช่ เพราะอุปกรณ์ใดๆที่โจมตีระบบที่แยกตัวออกมาได้นั้นต้องยอมรับว่าอันตราย และยิ่งไปกว่านั้นมันยังสามารถหายไปโดยไม่มีร่องรอยได้อีกต่างหาก

แล้วองค์กรจะสามารถทำอะไรเพื่อรับมือกับมัลแวร์นี้ได้?

ถึงมัลแวร์ตัวนี้จะค่อนข้างมีลักษณะเฉพาะ แต่ความสามารถในการรับมือกับมันยังไงก็หนีไม่พ้น มาตรการในการรักษาความปลอดภัยขององค์กรอยู่ดี

สิ่งที่สำคัญที่สุดคือพอร์ต USB สามารถปิดได้ แต่ถ้าหากมีความจำเป็นต้องใช้จริงๆ การตั้งนโยบายที่เคร่งครัดในการใช้ก็เป็นแนวทางที่ดี และจะดีมากหากพนักงานทุกคนได้รับการฝึกฝนที่ดีด้วย เช่นกัน

นั่นคือการไม่ถูกหลอกให้เริ่มการทำงานมัลแวร์?

โชคไม่ดีที่ USB โจรนี้ไม่ใช้วิธีการเข้าถึงผู้ใช้ไม่เหมือนมัลแวร์ตัวอื่นๆ ที่อาศัยทำงานของแอปพลิเคชั่นที่สามารถทำงานโดยไม่ต้องติดตั้งอย่าง Firefox portable, Notepad++ portable, TrueCrypt portable และอื่นๆ ที่มันสามารถแฝงตัวเป็นอุปกรณ์เสริม หรือเป็นเป็นไฟล์ DLL (ที่ใช้สำหรับแอปพลิเคชั่นเหล่านี้) ด้วยเหตุนี้เมื่อแอปพลิเคชั่นเริ่มทำงาน มัลแวร์ก็จะทำงานไปด้วย

แต่ฝ่ายผู้ใช้เองย่อมต้องเข้าใจความเสี่ยงจากการใช้ USB ร่วมกับโปรแกรมที่มีที่มาไม่น่าไว้วางใจ จากหลายๆแบบสำรวจพบว่าคนส่วนมากมักใช้ Thumb Drive ทุกอันไม่ว่าจะมาจากที่ไหนก็ตาม

เมื่อเราพูดถึงเซอฟเวอร์เฉพาะอย่าง ‘Air Gap’ ซึ่งส่วนใหญ่มักใช้กันในอุตสาหกรรม แล้วมัลแวร์ตัวนี้จะเป็นปัญหาใหญ่สำหรับอุตสาหกรรมหรือเปล่า?

คนไม่ดีย่อมมีวิธีที่จะโจมตีไม่ว่าทางไหนก็ตาม และการทำกำไรก็สามารถเปลี่ยนแปลงไปได้ การย้ายฐานข้อมูลก็ไม่ต่างจากการหนีเสือปะจระเข้ เท่าไหร่นัก

%d bloggers like this: