ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีจากโทรจัน Duqu (Win32/Duqu) ซึ่งเป็นมัลแวร์ประเภทแบ็คดอร์โทรจัน (Trojan) ที่มีความสามารถในการขโมยข้อมูล และจากการวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยพบว่าโค้ดจำนวนมากที่พบในโทรจัน Duqu เหมือนกับที่พบในไวรัส Stuxnet ทำให้มีความเป็นไปได้ว่ามัลแวร์สองตัวนี้สร้างขึ้นจาก Source Code เดียวกัน (บางเว็บไซต์เรียก Duqu ว่าเป็นลูกชายของ Stuxnet) ซึ่งข้อแตกต่างระหว่างมัลแวร์สองตัวนี้คือ โทรจัน Duqu ไม่ได้มีเป้าหมายในการโจมตีระบบควบคุมในอุตสาหกรรม (Industrial Control Systems) แต่จะมีเป้าหมายเพื่อการขโมยข้อมูลเป็นหลัก
ประเภท (Type): Trojan
สายพันธ์ (Variants): มัลแวร์สายพันธ์ Duqu มีหลายตัวกัน เช่น Trojan:WinNT/Duqu.A, Trojan:Win32/Duqu.A, Trojan:Win32/Duqu.B, และ Trojan:Win32/Duqu.C
ชื่ออื่นๆ (Aliases):
- Worm/Win32.Stuxnet (AhnLab)
- TR/Dropper.Gen (Avira)
- PWS-Duqu (McAfee)
- Duqu.A (AVG)
- Trojan.Duqu.2 (Dr.Web)
- Win32/Duqu.A (ESET)
- Trojan.Win32.Duqu.a (Kaspersky)
- Duqu_gen.A (Norman)
- W32/Duqu-A (Sophos)
- W32.Duqu (Symantec)
รายละเอียดทางเทคนิค (Technical Information):
โทรจัน Duqu จะโจมตี Windows ผ่านช่องโหว่ความปลอดภัยที่พบไฟล์ Win32k.sys ซึ่งเป็นพาร์ซิ่งเอนจิน TrueType Font ของ Windows และมีผลกระทบกับ Windows ทุกเวอร์ชันรวมถึง Windows 7 SP1 ด้วย โทรจัน Duqu จะแพร่ระบาดผ่านทางอีเมลโดยจะแฝงมากับไฟล์เอกสาร Microsoft Word ที่แนบมากับอีเมล อย่างไรก็ตามโค้ดไวรัสจะทำงานได้ก็ต่อเมื่อมีการเปิดไฟล์แนบบนระบบที่มีช่องโหว่ความปลอดภัยเท่านั้น
ทั้งนี้ เมื่อโทรจัน Duqu ติดในเครื่องคอมพิวเตอร์มันจะทำการสร้างแบ็คดอร์เพื่อใช้เป็นช่องทางการเข้าถึงระบบจากระยะไกล (Unauthorized Remote Access) และจะทำการสร้างไฟล์ต่อไปนี้บนระบบ
- %systemroot%\inf\netp191.PNF
- %systemroot%\inf\cmi4432.PNF
- HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER
- HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER
- \Device\{3093AAZ3-1092-2929-9391}
- \Device\Gpd1
- avp.exe
- mcshield.exe
- avguard.exe
- bdagent.exe
- umxcfg.exe
- fsdfwd.exe
- rtvscan.exe
- ccSvcHst.exe
- ekrn.exe
- tmproxy.exe
- RavMonD.exe
อาการ (Symptoms):
การติดตามร่องรอยของโทรจัน Duqu นั้นทำได้ค่อนข้างยาก เนื่องจากองค์ประกอบส่วนใหญ่จะทำงานอยู่ภายในหน่วยความจำจึงทำให้มันทิ้งร่องรอยไว้เพียงเล็กน้อย โดยอาการของระบบที่ติดโทรจัน Duqu มีลักษณะดังนี้
- มีไฟล์ .PNF และ .EXE ตามรายการด้านบน
- มีรีจีสเตอร์เอนทรี่ FILTER ตามรายการด้านบน
วิธีการป้องกันโทรจัน Duqu
โทรจัน Duqu จะทำการโจมตี Windows ผ่านช่องโหว่ความปลอดภัยในพาร์ซิ่งเอนจินของ TrueType Font ซึ่งปัจจุบันยังไม่มีแพตช์สำหรับแก้ไข โดยไมโครซอฟท์ได้อธิบายรายละเอียดพร้อมคำแนะนำในการป้องกันการถูกโจมตีใน Microsoft Security Advisory 2639658 และได้ออกเครื่องมือ Microsoft Fix It สำหรับทำการป้องกันการโจมตีระบบโดยอัตโนมัติที่ Microsoft Fix It: Vulnerability in TrueType font parsing could allow elevation of privileges
นอกจากนี้ ไมโครซอฟท์ยังแนะนำวิธีการเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส ดังนี้
- เปิดใช้งาน Firewall
- ทำการอัพเดท Windows และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (Social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา
วิธีการแก้ไข
สามารถกำจัด Duqu โดยการสแกนด้วยโปรแกรมป้องกันไวรัสด้วยไวรัสเดฟินิชันเวอร์ชันใหม่ล่าสุด
บทความโดย: Thai Windows Administrator Blog
แหล่งข้อมูลอ้างอิง
บทความโดย: Thai Windows Administrator Blog
Copyright © 2011 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML