มัลแวร์ใหม่ VoidLink มีระบบลบตัวเองทิ้งอัตโนมัติ

มัลแวร์ใหม่ VoidLink มีระบบลบตัวเองทิ้งอัตโนมัติ

มุ่งหน้าเข้าโจมตีผู้ใช้ Linux

ระบบปฏิบัติการ Linux นั้น ถึงแม้จะเป็นระบบเปิด แต่ก็มักจะขึ้นชื่อในด้านความปลอดภัยที่มีมากกว่า Windows พอสมควร และผู้ใช้งานก็มักจะเป็นเหล่าผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่มีความรู้ในการใช้งานทำให้มีความปลอดภัยมากยิ่งขึ้น แต่ก็ใช่ว่าจะไม่มีมัลแวร์เลย

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทีมวิจัยจาก Check Point บริษัทผู้เชี่ยวชาญด้านการจัดการกับภัยไซเบอร์ตรวจพบแคมเปญการแพร่กระจายมัลแวร์ VoidLink ซึ่งมุ่งเน้นการโจมตีระบบคลาวด์ที่ใช้งานระบบปฏิบัติการ Linux ในการจัดการระบบโดยมัลแวร์ตัวนี้มีความสามารถในการหลบหลีกการถูกตรวจจับได้อย่างเป็นเยี่ยม ทั้งยังมีความสามารถในการลบตัวเองหลังจากที่ทำงานเสร็จสิ้นได้อีกด้วย ซึ่งตัวมัลแวร์นั้นถูกเขียนขึ้นด้วยภาษา Zig ซึ่งมักเป็นภาษาโปรแกรมที่ใช้ในการพัฒนาโครงสร้างพื้นฐานของระบบคลาวด์ แสดงให้เห็นถึงจุดประสงค์ในการโจมตีระบบคลาวด์โดยเฉพาะของมัลแวร์ตัวนี้ ซึ่งความสามารถอีกอย่างหนึ่งที่น่ากลัวคือ ความสามารถในการปรับตัวของมันเองให้เข้ากับระบบคลาวด์ของหลากผู้ให้บริการที่มักจะมีพฤติกรรม และธรรมชาติในการทำงานที่แตกต่างกัน โดยมัลแวร์จะรองรับการทำงานบนระบบคลาวด์ต่อไปนี้ AWS, GCP, Azure, Alibaba, และ Tencent ซึ่งตัวมัลแวร์นั้นจะรันอยู่ในตัวบรรจุ (Container) ของ Kubernetes หรือ Docker แล้วเริ่มทำการตรวจจับพฤติกรรมของระบบคลาวด์ และปรับเปลี่ยนกลยุทธ์การโจมตีจากภายในตัวบรรจุนั้น

ตัวมัลแวร์ยังรองรับปลั๊กอิน (Plug In) มากมายถึง 37 ตัว ซึ่งปลั๊กอินเหล่านี้จะทำงานในรูปแบบของ Object ที่โหลดผ่าน Runtime แล้วทำการรันผ่านทางหน่วยความจำ (Memory) โดยตรงคล้ายคลึงกับการทำงานของไฟล์ Beacon Object ของมัลแวร์ Cobalt Strike นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการขโมยรหัสผ่านในการใช้งานสภาพแวดล้อมคลาวด์ (Cloud Environment) และจากเครื่องมือควบคุมระบบหลายรุ่น เช่น Git เป็นต้น ทำให้เปิดทางให้แฮกเกอร์สามารถเข้าถึงข้อมูลลับต่าง ๆ ที่อยู่ภายในระบบคลาวด์ได้โดยง่าย

ในส่วนของความสามารถในการแฝงตัวบนระบบที่เป็นจุดเด่นของมัลแวร์ตัวนี้นั้น ตัวมัลแวร์หลังจากที่ถูกติดตั้งลงบนเครื่องของเป้าหมายได้สำเร็จแล้ว มัลแวร์จะทำการสแกนหาเครื่องมือด้านความปลอดภัย และเครื่องมือปกป้องแกนกลางของระบบ (Kernel Hardening Technology) รวมไปถึงเครื่องมือประเภท EDR (Endpoint Dectection and Response) ต่าง ๆ ซึ่งหลังจากที่การสแกนเสร็จสิ้น ตัวมัลแวร์จะเริ่มทำการคำนวณความเสี่ยงเพื่อค้นหาวิธีการหลบเลี่ยงที่ดีที่สุด เช่น ในสภาวะที่มีการตรวจจับอย่างเข้มข้น ตัวมัลแวร์ก็จะทำการลดความเร็วในการปฏิบัติการลง เรียกได้ว่าเป็นมัลแวร์ที่มีความฉลาดล้ำมาก

ในส่วนของการโจมตีส่วนของ Kernel ของ Linux นั้น ตัวมัลแวร์จะทำการปล่อยเครื่องมือ Rootkit ที่ตรงกับ Kernel รุ่นนั้น ๆ ออกมา เช่น ถ้าเป็นรุ่นที่ต่ำกว่า 4.0 เป็นการใช้งาน LD_PRELOAD, รุ่น 4.0 หรือ สูงกว่า จะเป็นการใช้งาน Rootkit ที่มีความสามารถในการซ่อน Process, ไฟล์, และ Network Socket รวมไปถึงโมดูลของตัว Rootkit เอง แต่ถ้าเป็น รุ่น 5.5 หรือ สูงกว่า ที่มีการสนับสนุนการใช้งาน eBPF ก็จะปล่อย Rootkit ที่ทำงานบนพื้นฐานของ eBPF ลงมาแทน ถือว่าเป็นมัลแวร์ที่มีความสามารถในการปรับตัวอันยอดเยี่ยม

ที่ร้ายมากไปกว่านั้นคือตัวมัลแวร์ยังมีการบรรจุโค้ดพิเศษที่มีความสามารถในการถอดรหัส (Decyption) ตัวเองในส่วนที่ถูกป้องกัน (Protected Region) บนหน่วยความจำ และทำการเข้ารหัส (Encryption) ตัวเองในยามที่ไม่ได้ทำงาน ยิ่งทำให้ระบบการตรวจจับ ตรวจหาได้ยากมากขึ้นไปอีก นอกจากนั้นยังมีการตรวจจับความพยายามในการดีบั๊ก (Debugging) และความพยายามที่จะดัดแปลง (Tampering) ใด ๆ อีกด้วย ซึ่งถ้าตรวจจับเมื่อไหร่ ตัวมัลแวร์จะทำการลบตัวเองรวมทั้งทุกร่องรอยที่เกิดขึ้นบนระบบทันที เพื่อสร้างความยากลำบากให้กับทีมวิเคราะห์