งมัลแวร์ "SLOTAGENT" สร้างความปวดหัวในการวิเคราะห์มากกว่าเดิม

ตรวจพบเทคนิคการป่วนการตรวจสอบแบบใหม่ของมัลแวร์ "SLOTAGENT" สร้างความปวดหัวในการวิเคราะห์มากกว่าเดิม

เทคนิคการหลอกลวงระบบตรวจจับ หรือ Obfuscation นั้น มักจะเป็นเทคนิคที่มัลแวร์ใช้ในการเอาตัวรอดบนระบบของเหยื่อ ซึ่งเทคนิคนี้ก็มีรูปแบบเทคนิคที่มากมายหลากหลาย และในคราวนี้ก็จะเป็นเทคนิคใหม่ที่ผู้เชี่ยวชาญกล่าวว่า ร้ายกาจมากกว่าเดิม

จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงผลการวิเคราะห์มัลแวร์ประเภทเข้าถึงเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่ใหม่ที่มีชื่อว่า SLOTAGENT โดยมัลแวร์ได้ชื่อนี้มาจากการที่ทีมวิจัยได้ตรวจพบค่าสตริงแบบตัวอักษร และตำแหน่งที่อยู่ของไฟล์ภายในมัลแวร์ในชื่อเดียวกัน โดยมัลแวร์ตัวนี้มีจุดเด่นที่มีฟีเจอร์ในการรันไฟล์มัลแวร์ (Payload) ในรูปแบบ Beacon Object Files ได้ ซึ่งเทคนิคดังกล่าวนั้น เป็นเทคนิคเดียวกันกับที่เครื่องมือสำหรับทดสอบการเจาะระบบอย่าง Cobalt Strike ใช้งานอยู่ ส่งผลให้มัลแวร์นั้นสามารถแพร่กระจายตัวเองไปในระบบเครือข่าย (Network) ได้อย่างแนบเนียนเนื่องจากไม่จำเป็นต้นสร้างไฟล์สำหรับการรัน (Executable) บนดิสก์ขึ้นมาใหม่ นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการหลบเลี่ยงการถูกตรวจสอบด้วยการใช้งานฟีเจอร์ Timestomping ซึ่งเป็นฟีเจอร์ในการเปลี่ยนตราประทับเวลา หรือ Timestamp แบบไดนามิก ช่วยกลบเกลื่อนร่องรอยของมัลแวร์บนระบบได้เป็นอย่างดี

ในด้านการเข้าสู่เครื่องของมัลแวร์นั้น แฮกเกอร์จะหลอกเหยื่อให้ดาวน์โหลดไฟล์บีบอัดแบบ Zip ที่ภายในนั้นมีการสอดไส้ไฟล์ WindowsOobeAppHost.AOT.exe ซึ่งเป็นไฟล์มัลแวร์นกต่อ (Loader) ที่ใช้ในการโหลดมัลแวร์ตัวจริง โดยการกดรันไฟล์ดังกล่าวนั้นจะนำไปสู่การใช้งานฟังก์ชันส่งออก (Export) ชื่อว่า __managed__Main ที่อยู่ภายในไฟล์ WindowsOobeAppHost.AOT.dll ซึ่งการเปิดใช้งานฟังก์ชันนี้จะนำไปสู่การค้นหาที่อยู่ของหน่วยความจำของฟังก์ชัน Windows API ที่จำเป็น เช่น NtCreateFile โดยทั้งหมดนี้จะนำไปสู่การโหลดและฝังมัลแวร์ SLOTAGENT ลงบนเครื่องในขณะที่หลบเลี่ยงการถูกตรวจจับโดยระบบวิเคราะห์แบบค่าคงที่ (Static Analysis) ในเวลาเดียวกัน

หลังจากที่มัลแวร์ได้ฝังตัวเองลงสู่เครื่องเป็นที่เรียบร้อยแล้ว มัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีที่ตั้งอยู่บนหมายเลขไอพี 43.156.59.110 ผ่านทางพอร์ต TCP เลขที่ 699 ในทันที ซึ่งในการสื่อสารนี้ก็เรียกได้ว่ามีความซับซ้อน จากการที่ตัวมัลแวร์นั้นได้โปรโตคอลในการสื่อสารที่ถูกสร้างขึ้นมาโดยเฉพาะ (Custom Protocol) ที่การสื่อสารนั้นจะเริ่มต้นด้วยการส่งตัววัด (Indicator) ขนาด 4 ไบต์ (Byte) ไปก่อน ตามมาด้วย ค่าพาทสตริง (Path String) ของ HTTP ปลอม (Pseudo-HTTP) เช่น as/api/v1/stream/data ตามด้วยตัวอักษรแบบขีดตั้ง หรือ Pipe Character สำหรับส่วนข้อมูลที่เกี่ยวข้องกับการปฏิบัติการหลักของมัลแวร์ (Core Operation) นั้นจะถูกส่งในรูปแบบข้อมูลตัวอักษรทั่วไป (Plain Text) ในรูปแบบไฟล์ JSON

ซึ่งในขั้นตอนที่มัลแวร์ทำการเช็คอินกับเซิร์ฟเวอร์ C2 นี้ ตัวมัลแวร์จะทำการส่งไฟล์ JSON ที่มีการระบุรายละเอียดต่าง ๆ ของเครื่องเหยื่อ เช่น รหัสระบุตัวตน (Unique Host Identifier), ชื่อคอมพิวเตอร์, ชื่อผู้ใช้งานที่มีการใช้งานอยู่ (Active Username), หมายเลขไอพีภายใน (Local IP Address), หมายเลข MAC Address ของฮาร์ดแวร์บนเครื่อง, รุ่นของระบบปฏิบัติการที่เครื่องใช้อยู่, รหัสระบุ Process ที่ทำงานอยู่, และ ระดับสิทธิ์ภายในเครื่อง (Privilege) ว่ามัลแวร์นั้นกำลังงานบนสิทธิ์ระดับใดอยู่ ซึ่งหลังจากส่งข้อมูลและเช็คอินเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะรอรับคำสั่งอยู่บนเครื่องแบบรอเฉย ๆ (Passive)

ฟีเจอร์คัวหนึ่งที่เป็นจุดเด่นของมัลแวร์นี้คือ การทำ Obfuscation เพื่อหลอกลวงระบบตรวจจับ เพื่อปกป้องการทำงานของกลไกภายในที่ชื่อ sect iij ด้วยการใช้อัลกอริทึมสำหรับการทำแฮช (Hashing Algorithm) แบบ DJB2 ระหว่างการทำ Windows API Call ทำให้โค้ดแบบ Text String ภายในถูกเข้ารหัสจนหมด และจะถอดรหัสได้โดยเครื่องมือถอดรหัสที่รันอยู่บนหน่วยความจำระหว่างการรันใช้งานมัลแวร์เท่านั้น ซึ่งจะทำให้เครื่องมือสำหรับการทำวิศวกรรมย้อนกลับ (Reverse Engineering) ถอดรหัสโค้ดชุดนี้ได้ยาก จนทำให้การวิเคราะห์ของเหล่านักวิเคราะห์มัลแวร์มีความยุ่งยากมากยิ่งขึ้นตามตัว