คุณ Tomáš Gardoň นักวิเคราะห์มัลแวร์จาก ESET อธิบายกับเราเกี่ยวกับ Trojan ที่มีชื่อว่า Win32/PSW.Stealer.NAI หรือที่รู้จักกันในนาม USB โจร
“USB โจร เป็นมากกว่ามัลแวร์ทั่วๆไปที่เราเคยเห็นบนอินเตอร์เน็ต” คุณ Gardoň บอก
“มัลแวร์ตั้วนี้ใช้เพียง USB เพื่อแพร่กระจาย และไม่ทิ้งร่องรอยใดๆไว้บนคอมพิวเตอร์ที่ถูกโจมตีเลย โดยผู้สร้างมัลแวร์ใช้กลไลพิเศษเพื่อป้องกันมัลแวร์ไม่ให้เผยแพร่หรือทำซ้ำได้ ทำให้การตรวจจับนั้นทำได้อยากมากยิ่งขึ้น”
เมื่อเราพบมัลแวร์ตัวใหม่ สิ่งแรกที่เราทำก็คือตั้งคำถาม “จุดประสงค์ของมันคืออะไร?”
เราพอที่จะคาดเดาจุดประสงค์ของมัลแวร์ตัวนี้ได้จากความสามารถของมัน โดยเฉพาะที่มันเป็น USB และมีความสามารถในการโจมตีโดยไม่ต้องพึ่งอินเตอร์เน็ต และข้อดีของการทำงานผ่าน USB ก็คือไม่ทิ้งร่องรอยใดๆไว้ ทำให้เป้าหมายไม่สามารถรู้ด้วยซ้ำว่าข้อมูลถูกขโมยไป
อีกจุดเด่นของมันก็คือ กระบวนการทำงานของมันสมบูรณ์ได้ใน USB เพียงอันเดียว และด้วยเหตุผลที่ไม่สามารถก๊อบปี้หรือทำซ้ำได้ รวมกับการเข้ารหัสหลายชั้นทำให้ตบตาการตรวจจับได้
คุณบอกได้ไหมว่าเหตุผลที่ผู้ผลิตสร้างมัลแวร์ที่ฝังตัวอยู่บนอุปกรณ์เพราะอะไร?
โดยมากมัลแวร์มักใช้การเข้ารหัสอยู่แล้ว และอีกเหตุผลหนึ่งที่ชัดเจนเลย คือเพื่อหลบหนีการตรวจจับ แต่ถ้าหากถูกพบ มัลแวร์ก็ยังคงทำงานอยู่บนอุปกรณ์นั้นๆ
ด้วยเหตุผลที่มันทำงานอยู่บนอุปกรณ์ ทำให้การแพร่กระจายนั้นทำได้ยากขึ้นแต่ด้วยเหตุผลเดียวกันก็ทำให้การพลาดเป้าหมายน้อยลงด้วยเช่นกัน พร้อมกับการโจมตีที่ไร้ร่องรอย หากไม่การตรวจจับบน USB และมัลแวร์ทำการลบตัวเองสำเร็จหลังจากเสร็จสิ้นภารกิจแล้ว
ดังนั้น สำหรับตัวผมเองผมคิดว่ามัลแวร์ตัวนี้ถูกสร้างมาเพื่อโจมตีเป้าหมายที่เลือกไว้แล้ว
มัลแวร์ที่สามารถโจมตีระบบโดยไม่ต้องอาศัยอินเตอร์เน็ต เป็นสิ่งที่อันตรายใช่หรือไม่?
ใช่ เพราะอุปกรณ์ใดๆที่โจมตีระบบที่แยกตัวออกมาได้นั้นต้องยอมรับว่าอันตราย และยิ่งไปกว่านั้นมันยังสามารถหายไปโดยไม่มีร่องรอยได้อีกต่างหาก
แล้วองค์กรจะสามารถทำอะไรเพื่อรับมือกับมัลแวร์นี้ได้?
ถึงมัลแวร์ตัวนี้จะค่อนข้างมีลักษณะเฉพาะ แต่ความสามารถในการรับมือกับมันยังไงก็หนีไม่พ้น มาตรการในการรักษาความปลอดภัยขององค์กรอยู่ดี
สิ่งที่สำคัญที่สุดคือพอร์ต USB สามารถปิดได้ แต่ถ้าหากมีความจำเป็นต้องใช้จริงๆ การตั้งนโยบายที่เคร่งครัดในการใช้ก็เป็นแนวทางที่ดี และจะดีมากหากพนักงานทุกคนได้รับการฝึกฝนที่ดีด้วย เช่นกัน
นั่นคือการไม่ถูกหลอกให้เริ่มการทำงานมัลแวร์?
โชคไม่ดีที่ USB โจรนี้ไม่ใช้วิธีการเข้าถึงผู้ใช้ไม่เหมือนมัลแวร์ตัวอื่นๆ ที่อาศัยทำงานของแอปพลิเคชั่นที่สามารถทำงานโดยไม่ต้องติดตั้งอย่าง Firefox portable, Notepad++ portable, TrueCrypt portable และอื่นๆ ที่มันสามารถแฝงตัวเป็นอุปกรณ์เสริม หรือเป็นเป็นไฟล์ DLL (ที่ใช้สำหรับแอปพลิเคชั่นเหล่านี้) ด้วยเหตุนี้เมื่อแอปพลิเคชั่นเริ่มทำงาน มัลแวร์ก็จะทำงานไปด้วย
แต่ฝ่ายผู้ใช้เองย่อมต้องเข้าใจความเสี่ยงจากการใช้ USB ร่วมกับโปรแกรมที่มีที่มาไม่น่าไว้วางใจ จากหลายๆแบบสำรวจพบว่าคนส่วนมากมักใช้ Thumb Drive ทุกอันไม่ว่าจะมาจากที่ไหนก็ตาม
เมื่อเราพูดถึงเซอฟเวอร์เฉพาะอย่าง ‘Air Gap’ ซึ่งส่วนใหญ่มักใช้กันในอุตสาหกรรม แล้วมัลแวร์ตัวนี้จะเป็นปัญหาใหญ่สำหรับอุตสาหกรรมหรือเปล่า?
คนไม่ดีย่อมมีวิธีที่จะโจมตีไม่ว่าทางไหนก็ตาม และการทำกำไรก็สามารถเปลี่ยนแปลงไปได้ การย้ายฐานข้อมูลก็ไม่ต่างจากการหนีเสือปะจระเข้ เท่าไหร่นัก
WeLiveSecurity Thai Edition's 
คุณ Tomáš Gardoň นักวิเคราะห์มัลแวร์จาก ESET อธิบายกับเราเกี่ยวกับ Trojan ที่มีชื่อว่า Win32/PSW.Stealer.NAI หรือที่รู้จักกันในนาม USB โจร
“USB โจร เป็นมากกว่ามัลแวร์ทั่วๆไปที่เราเคยเห็นบนอินเตอร์เน็ต” คุณ Gardoň บอก
“มัลแวร์ตั้วนี้ใช้เพียง USB เพื่อแพร่กระจาย และไม่ทิ้งร่องรอยใดๆไว้บนคอมพิวเตอร์ที่ถูกโจมตีเลย โดยผู้สร้างมัลแวร์ใช้กลไลพิเศษเพื่อป้องกันมัลแวร์ไม่ให้เผยแพร่หรือทำซ้ำได้ ทำให้การตรวจจับนั้นทำได้อยากมากยิ่งขึ้น”
เมื่อเราพบมัลแวร์ตัวใหม่ สิ่งแรกที่เราทำก็คือตั้งคำถาม “จุดประสงค์ของมันคืออะไร?”
เราพอที่จะคาดเดาจุดประสงค์ของมัลแวร์ตัวนี้ได้จากความสามารถของมัน โดยเฉพาะที่มันเป็น USB และมีความสามารถในการโจมตีโดยไม่ต้องพึ่งอินเตอร์เน็ต และข้อดีของการทำงานผ่าน USB ก็คือไม่ทิ้งร่องรอยใดๆไว้ ทำให้เป้าหมายไม่สามารถรู้ด้วยซ้ำว่าข้อมูลถูกขโมยไป
อีกจุดเด่นของมันก็คือ กระบวนการทำงานของมันสมบูรณ์ได้ใน USB เพียงอันเดียว และด้วยเหตุผลที่ไม่สามารถก๊อบปี้หรือทำซ้ำได้ รวมกับการเข้ารหัสหลายชั้นทำให้ตบตาการตรวจจับได้
คุณบอกได้ไหมว่าเหตุผลที่ผู้ผลิตสร้างมัลแวร์ที่ฝังตัวอยู่บนอุปกรณ์เพราะอะไร?
โดยมากมัลแวร์มักใช้การเข้ารหัสอยู่แล้ว และอีกเหตุผลหนึ่งที่ชัดเจนเลย คือเพื่อหลบหนีการตรวจจับ แต่ถ้าหากถูกพบ มัลแวร์ก็ยังคงทำงานอยู่บนอุปกรณ์นั้นๆ
ด้วยเหตุผลที่มันทำงานอยู่บนอุปกรณ์ ทำให้การแพร่กระจายนั้นทำได้ยากขึ้นแต่ด้วยเหตุผลเดียวกันก็ทำให้การพลาดเป้าหมายน้อยลงด้วยเช่นกัน พร้อมกับการโจมตีที่ไร้ร่องรอย หากไม่การตรวจจับบน USB และมัลแวร์ทำการลบตัวเองสำเร็จหลังจากเสร็จสิ้นภารกิจแล้ว
ดังนั้น สำหรับตัวผมเองผมคิดว่ามัลแวร์ตัวนี้ถูกสร้างมาเพื่อโจมตีเป้าหมายที่เลือกไว้แล้ว
มัลแวร์ที่สามารถโจมตีระบบโดยไม่ต้องอาศัยอินเตอร์เน็ต เป็นสิ่งที่อันตรายใช่หรือไม่?
ใช่ เพราะอุปกรณ์ใดๆที่โจมตีระบบที่แยกตัวออกมาได้นั้นต้องยอมรับว่าอันตราย และยิ่งไปกว่านั้นมันยังสามารถหายไปโดยไม่มีร่องรอยได้อีกต่างหาก
แล้วองค์กรจะสามารถทำอะไรเพื่อรับมือกับมัลแวร์นี้ได้?
ถึงมัลแวร์ตัวนี้จะค่อนข้างมีลักษณะเฉพาะ แต่ความสามารถในการรับมือกับมันยังไงก็หนีไม่พ้น มาตรการในการรักษาความปลอดภัยขององค์กรอยู่ดี
สิ่งที่สำคัญที่สุดคือพอร์ต USB สามารถปิดได้ แต่ถ้าหากมีความจำเป็นต้องใช้จริงๆ การตั้งนโยบายที่เคร่งครัดในการใช้ก็เป็นแนวทางที่ดี และจะดีมากหากพนักงานทุกคนได้รับการฝึกฝนที่ดีด้วย เช่นกัน
นั่นคือการไม่ถูกหลอกให้เริ่มการทำงานมัลแวร์?
โชคไม่ดีที่ USB โจรนี้ไม่ใช้วิธีการเข้าถึงผู้ใช้ไม่เหมือนมัลแวร์ตัวอื่นๆ ที่อาศัยทำงานของแอปพลิเคชั่นที่สามารถทำงานโดยไม่ต้องติดตั้งอย่าง Firefox portable, Notepad++ portable, TrueCrypt portable และอื่นๆ ที่มันสามารถแฝงตัวเป็นอุปกรณ์เสริม หรือเป็นเป็นไฟล์ DLL (ที่ใช้สำหรับแอปพลิเคชั่นเหล่านี้) ด้วยเหตุนี้เมื่อแอปพลิเคชั่นเริ่มทำงาน มัลแวร์ก็จะทำงานไปด้วย
แต่ฝ่ายผู้ใช้เองย่อมต้องเข้าใจความเสี่ยงจากการใช้ USB ร่วมกับโปรแกรมที่มีที่มาไม่น่าไว้วางใจ จากหลายๆแบบสำรวจพบว่าคนส่วนมากมักใช้ Thumb Drive ทุกอันไม่ว่าจะมาจากที่ไหนก็ตาม
เมื่อเราพูดถึงเซอฟเวอร์เฉพาะอย่าง ‘Air Gap’ ซึ่งส่วนใหญ่มักใช้กันในอุตสาหกรรม แล้วมัลแวร์ตัวนี้จะเป็นปัญหาใหญ่สำหรับอุตสาหกรรมหรือเปล่า?
คนไม่ดีย่อมมีวิธีที่จะโจมตีไม่ว่าทางไหนก็ตาม และการทำกำไรก็สามารถเปลี่ยนแปลงไปได้ การย้ายฐานข้อมูลก็ไม่ต่างจากการหนีเสือปะจระเข้ เท่าไหร่นัก
แบ่งปันสิ่งนี้: