Uncategories

บทวิเคราะห์แผนการโฆษณาชวนเชื่ออันตรายของ Emotet

วิเคราะห์การทำงานของ Emotet แผนการสแปมครั้งใหญ่ กับเทคนิคแทรกซึมใน Microsoft Office

เนื่องจากการระบาดของแผนการสแปม Emotet ที่ใช้ประโยชน์จากไฟล์โปรแกรม Microsoft Office เพื่อซ่อนกิจกรรมอันตรายเอาไว้

ในช่วงเดือนพฤศจิกายนปีที่แล้วมีข่าวเกี่ยวกับการแพร่ระบาดของแผนการสแปมครั้งใหญ่ Emotet ในภูมิภาคละตินอเมริกา และเราได้รับคำขอให้ตรวจสอบจำนวนมาก ทางเราเลยจึงตัดสินใจอธิบายการทำงานของแผนการนี้อย่างคร่าวๆ

ในช่วงปีที่ผ่านมาอาชญากรไซเบอร์หรือแฮกเกอร์ใช้ประโยชน์จากซอฟต์แวร์ Microsoft Office เพื่อแพร่กระจายภัยคุกคามของพวกเขา เช่น การฝังมาโคร (ชุดคำสั่ง) ในไฟล์ เพื่อเจาะช่องโหว่ แต่ในกรณีนี้พวกเขาใช้วิธี นำเอา Downloader ใส่ลงไปในไฟล์ของ Microsoft Office ทำให้ผู้ใช้ไม่ทันระวัง

พวกเขาแพร่กระจายผ่านอีเมลที่มีหน้าตาทั่วๆไป ภาพประกอบด้านล่าง

หากผู้ใช้ดาวน์โหลดไฟล์ที่แนบมาและเปิด โปรแกรมจะขออนุญาตให้เปิดใช้งานมาโคร ในภาพต่อมาจะเป็นหน้าจอที่แสดง ซึ่งดูเหมือนของจริงมาก เพราะถูกสร้างมาจาก Office 365 เช่นเดียวกัน แต่ความเป็นจริงก็คือการเริ่มทำงานฟังก์ชั่นอันตราย

จากการวิเคราะห์พบว่ามีกล่องข้อความที่บรรจุคำสั่ง “cmd” เพื่อเริ่มทำงานสคริปต์ PowerShell ที่เชื่อมต่อกับ 5 เว็บไซต์และดาวน์โหลดตัวเริ่มทำงาน (Payload) ของ Emotet

เมื่อ Payload ทำงานมันจะเชื่อมต่อไปยังเซิร์ฟเวอร์ C&C เพื่อบอกสถานะของคอมพิวเตอร์ เมื่อขั้นตอนแรกเสร็จสิ้นจะเริ่มการดาวน์โหลด และติดตั้งโมดูล รวมไปถึง Payload ตัวต่อๆไป ตามจุดประสงค์ที่แฮกเกอร์เตรียมไว้

จากการวิเคราะห์โมดูลเพิ่มเติมพบว่า แฮกเกอร์สามารถทำกิจกรรมได้หลายอย่าง ทั้งการขโมยข้อมูล แพร่กระจายไปส่วนอื่นๆของเครือข่าย รวบรวมข้อมูลสำคัญ อ่านพอร์ต และอื่นๆ

แม้จะไม่ใช่เทคนิคใหม่ทั้งหมด แต่ก็เป็นวิวัฒนาการของการซ่อนกิจกรรมอันตราย ซึ่งเราควรเรียนรู้และหาวิธีการป้องกันอย่างเหมาะสม

Author: Diego Perez
Source:
https://www.welivesecurity.com/2018/12/28/analysis-latest-emotet-propagation-campaign/
Translated by: Worapon H.

%d bloggers like this: