พบมัลแวร์ Auto-Color บน Linux ช่วยเปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องได้อย่างสมบูรณ์
15 Mar, 2025 / By
admin
เอซุส ประเทศไทย ประกาศเปิดตัวโน้ตบุ๊ก AI PC รุ่นใหม่ประจำปี 2025 ที่อัดแน่นด้วยเทคโนโลยี AI เพื่อเพิ่มประสิทธิภาพการทำงานในทุกด้าน ไม่ว่าจะเป็นการเรียน การทำงาน การเล่นเกม หรือเพื่อความบันเทิงส่วนตัว โดยในรุ่นปีนี้ เอซุสได้นำเสนอผลิตภัณฑ์ที่หลากหลาย ครอบคลุมทั้ง Zenbook และ Vivobook ซีรีส์
โดยหลังจากที่มัลแวร์ทำการติดตั้งลงสู่เครื่องของเหยื่อเรียบร้อยแล้ว ตัวมัลแวร์จะตรวจสอบว่าผู้ใช้งานนั้นมีสิทธิ์ในการใช้งาน (Privillege) ในระดับ Root ซึ่งเป็นระดับสูงสุดหรือไม่ ซึ่งถ้าไม่มีสิทธิ์ในระดับนี้ ตัวมัลแวร์จะหยุดการทำงานในทันที แต่ถ้ามีสิทธิ์ในระดับ Root ตัวมัลแวร์ก็จะเริ่มทำการติดตั้ง Library ของตนที่มีชื่อว่า "libcext.so.2" หลังจากนั้นตัวมัลแวร์ก็จะเริ่มทำการคัดลอกตัวเอง และเปลี่ยนชื่อตัวเองลงไปในโฟลเดอร์ /var/log/cross/auto-color (อันเป็นที่มาของชื่อมัลแวร์), แล้วทำการดัดแปลงไฟล์ "/etc/ld.preload" เพื่อรับประกันว่าตัวมัลแวร์จะยังคงอยู่ในระบบได้ (Persistence) รวมทั้งมีการตั้งค่าไฟล์ดังกล่าวให้อยู่ในสถานะถูกปกป้อง (Protected) เพื่อป้องกันการถอนการติดตั้งมัลแวร์อีกด้วย
สำหรับในส่วนของศักยภาพในการทำงานของมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยได้ให้ข้อมูลว่า เมื่อมัลแวร์ถูกติดตั้งลงสู่เครื่องแล้ว ตัวมัลแวร์จะเปิดทางให้แฮกเกอร์สามารถเข้าสู่ระบบของเหยื่อจากระยะไกล (Remote Access) ได้อย่างง่ายดาย และการถอนการติดตั้งมัลแวร์ดังกล่าวนั้นก็ทำได้ยากถ้าไม่ใช่เครื่องมือถอนการติดตั้งหรือเครื่องมือจัดการมัลแวร์ที่ถูกสร้างขึ้นมาโดยเฉพาะ นอกจากนั้น ถ้ามัลแวร์สามารถติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ได้สำเร็จ แฮกเกอร์จะสามารถส่งคำสั่งให้ทำงานต่าง ๆ ให้ได้อย่างมากมาย เช่น เก็บข้อมูลรายละเอียดของระบบเหยื่อ, สร้างหรือจัดการไฟล์บนเครื่องของเหยื่อ, รันโปรแกรมต่าง ๆ, ทำ Reverse Shell, ใช้เครื่องเป็น Proxy (ตัวแทน) ในการติดต่อกับเครื่องอื่น ไปจนถึงการถอนติดตั้งเพื่อกลบเกลื่อยร่องรอยของตัวมัลแวร์
นอกจากนั้น ศักยภาพในการหลบเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัยบนเครื่องของเหยื่อ ก็นับว่ามีความน่าสนใจ และร้ายกาจในเวลาเดียวกัน โดยมีการใช้วิธีทั้งรูปแบบไฟล์ลวงที่ไม่มีพิษมีภันอย่าง egg หรือ door, การพรางตัวในการติดต่อสื่อสารกับเซิร์ฟเวอร์ C2 โดยตัว Library ของมัลแวร์จะใช้งานฟังก์ชัน Hook ที่อยู่ภายใน libc เพื่อเข้าขัดขวางฟังก์ชัน open() system call ระหว่างที่ตัวมัลแวร์ทำการดัดแปลงไฟล์ "/proc/net/tcp" ซึ่งเป็นไฟล์ที่บันทึกข้อมูลของการติดต่อสื่อสารกับเครือข่ายต่าง ๆ ที่กำลังทำงานอยู่ อีกด้วย
เครดิต : www.sanook.com