ผู้ใช้ Windows ทุกคนควรอัปเดตทันทีเมื่อแฮ็ก 'ควบคุมเสร็จสมบูรณ์' ได้รับการยืนยันแล้ว

สองสามสัปดาห์ก่อน นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Eclypsium เปิดเผย ผู้ผลิตฮาร์ดแวร์รายใหญ่เกือบทั้งหมดมีข้อบกพร่องที่สามารถอนุญาตให้แอปพลิเคชันที่เป็นอันตรายได้รับสิทธิ์เคอร์เนลในระดับผู้ใช้ ดังนั้นจึงสามารถเข้าถึงเฟิร์มแวร์และฮาร์ดแวร์ได้โดยตรง

นักวิจัยได้เปิดเผยรายชื่อผู้จำหน่าย BIOS และผู้ผลิตฮาร์ดแวร์ ซึ่งรวมถึง Toshiba, ASUS, Huawei, Intel, Nvidia และอื่นๆ ข้อบกพร่องยังส่งผลกระทบต่อ Windows เวอร์ชันใหม่ทั้งหมดซึ่งรวมถึง Windows 7, 8, 8.1 และ Windows 10 ในขณะที่ Microsoft ได้ออกแถลงการณ์ยืนยันว่า Windows Defender มีความสามารถมากกว่าที่จะจัดการกับปัญหาได้ แต่พวกเขาไม่ได้ระบุว่าผู้ใช้ต้องการ ให้อยู่ใน Windows เวอร์ชันล่าสุดเพื่อใช้ประโยชน์จากสิ่งเดียวกัน สำหรับ Windows เวอร์ชันเก่า Microsoft ตั้งข้อสังเกตว่าจะใช้ความสามารถ HVCI (Hypervisor-enforced Code Integrity) ในการขึ้นบัญชีดำไดรเวอร์ที่รายงานไปยังพวกเขา ขออภัย คุณลักษณะนี้มีเฉพาะในโปรเซสเซอร์ Intel รุ่นที่ 7 และใหม่กว่าเท่านั้น ดังนั้น CPU รุ่นเก่าหรือรุ่นใหม่กว่าที่ปิดใช้งาน HCVI จึงต้องถอนการติดตั้งไดรเวอร์ด้วยตนเอง

หากยังไม่ใช่ข่าวร้ายเพียงพอ ขณะนี้แฮกเกอร์สามารถใช้ข้อบกพร่องเพื่อใช้ประโยชน์จากผู้ใช้ได้แล้ว Remote Access Trojan หรือ RAT มีมาหลายปีแล้ว แต่การพัฒนาล่าสุดทำให้มันอันตรายกว่าที่เคย NanoCore RAT เคยขายบน Dark Web ในราคา $25 แต่ถูกแฮ็กกลับมาในปี 2014 และแฮ็กเกอร์เวอร์ชันฟรีก็มีให้ใช้งาน หลังจากนี้ เครื่องมือมีความซับซ้อนเมื่อมีการเพิ่มปลั๊กอินใหม่เข้าไป ตอนนี้ นักวิจัยจาก LNTRX Labs ได้ค้นพบการเพิ่มใหม่ที่ช่วยให้แฮกเกอร์สามารถใช้ประโยชน์จากข้อบกพร่องนี้ และขณะนี้เครื่องมือนี้มีให้บริการฟรีบน Dark Web

ในกรณีที่คุณประเมินเครื่องมือต่ำไป แฮ็กเกอร์สามารถปิดระบบจากระยะไกลหรือรีบูตระบบ เรียกดูไฟล์จากระยะไกล เข้าถึงและควบคุมตัวจัดการงาน ตัวแก้ไขรีจิสทรี หรือแม้แต่เมาส์ ไม่เพียงแค่นั้น ผู้โจมตียังสามารถเปิดหน้าเว็บ ปิดใช้งานไฟแสดงการทำงานของเว็บแคมเพื่อสอดแนมเหยื่อโดยไม่มีใครสังเกตเห็น และจับภาพเสียงและวิดีโอ เนื่องจากผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ได้อย่างเต็มที่ พวกเขาจึงสามารถกู้คืนรหัสผ่านและรับข้อมูลรับรองการเข้าสู่ระบบโดยใช้คีย์ล็อกเกอร์ รวมทั้งล็อกคอมพิวเตอร์ด้วยการเข้ารหัสแบบกำหนดเองที่สามารถทำหน้าที่เหมือนแรนซัมแวร์

ข่าวดีก็คือ NanoCore RAT มีมาหลายปีแล้ว ซอฟต์แวร์นี้เป็นที่รู้จักกันดีในหมู่นักวิจัยด้านความปลอดภัย ทีมงาน LMNTRX (ผ่านทาง ฟอร์บ) แบ่งเทคนิคการตรวจจับออกเป็นสามประเภทหลัก:

• T1064 – การเขียนสคริปต์: เนื่องจากผู้ดูแลระบบมักใช้สคริปต์เพื่อทำงานประจำ การเรียกใช้โปรแกรมสคริปต์ที่ถูกต้องอย่างผิดปกติ เช่น PowerShell หรือ Wscript อาจส่งสัญญาณถึงพฤติกรรมที่น่าสงสัย การตรวจสอบไฟล์ office เพื่อหารหัสมาโครยังช่วยระบุสคริปต์ที่ผู้โจมตีใช้ กระบวนการของ Office เช่น winword.exe วางไข่อินสแตนซ์ของ cmd.exe หรือแอปพลิเคชันสคริปต์ เช่น wscript.exe และ powershell.exe อาจบ่งบอกถึงกิจกรรมที่เป็นอันตราย

• T1060 – คีย์การเรียกใช้รีจิสทรี / โฟลเดอร์เริ่มต้น: การตรวจสอบ Registry สำหรับการเปลี่ยนแปลงในการเรียกใช้คีย์ที่ไม่สัมพันธ์กับซอฟต์แวร์ที่รู้จักหรือวงจรของโปรแกรมแก้ไข และการตรวจสอบโฟลเดอร์เริ่มต้นสำหรับการเพิ่มเติมหรือการเปลี่ยนแปลง สามารถช่วยตรวจจับมัลแวร์ได้ โปรแกรมที่น่าสงสัยที่ดำเนินการเมื่อเริ่มต้นระบบอาจแสดงเป็นกระบวนการที่ผิดปกติซึ่งไม่เคยเห็นมาก่อนเมื่อเปรียบเทียบกับข้อมูลในอดีต โซลูชันเช่น LMNTRIX Respond ซึ่งตรวจสอบตำแหน่งสำคัญเหล่านี้และแจ้งเตือนเมื่อมีการเปลี่ยนแปลงหรือเพิ่มเติมที่น่าสงสัย สามารถช่วยตรวจจับพฤติกรรมเหล่านี้ได้

• T1193 – เอกสารแนบสเปียร์ฟิชชิ่ง: ระบบตรวจจับการบุกรุกเครือข่าย เช่น LMNTRIX Detect สามารถใช้ตรวจจับ spearphishing ที่มีไฟล์แนบที่เป็นอันตรายในระหว่างการขนส่ง ในกรณีของ LMNTRIX Detect ห้องจุดชนวนในตัวสามารถตรวจจับสิ่งที่แนบมาที่เป็นอันตรายตามพฤติกรรม แทนที่จะเป็นลายเซ็น นี่เป็นสิ่งสำคัญเนื่องจากการตรวจจับตามลายเซ็นมักจะล้มเหลวในการป้องกันผู้โจมตีที่เปลี่ยนแปลงและอัปเดตเพย์โหลดบ่อยครั้ง

โดยรวมแล้ว เทคนิคการตรวจหาเหล่านี้ใช้ได้กับองค์กรและสำหรับผู้ใช้ส่วนบุคคล/ตามบ้าน สิ่งที่ดีที่สุดที่ต้องทำตอนนี้คืออัปเดตซอฟต์แวร์ทุกชิ้นเพื่อให้แน่ใจว่าทำงานบนเวอร์ชันล่าสุด ซึ่งรวมถึงไดรเวอร์ Windows ซอฟต์แวร์ของบริษัทอื่น และแม้แต่ Windows Updates สิ่งสำคัญที่สุดคือ อย่าดาวน์โหลดหรือเปิดอีเมลที่น่าสงสัยหรือติดตั้งซอฟต์แวร์บุคคลที่สามจากผู้ขายที่ไม่รู้จัก