มัลแวร์ร้าย CyberEYE RAT สามารถปิดการทำงานของ Windows Defender ด้วยการแก้ Registry ได้

บน Windows ตั้งแต่ Windows 10 เป็นต้นมา ถึงแม้ผู้ใช้งานจะไม่มีการติดตั้งแอนตี้ไวรัสตัวใดไว้เลยก็ตาม ก็ยังคงมี Windows Defender เป็นเครื่องมิอป้องกันภัยแบบพื้นฐาน ติดมากับตัว Windows อยู่แล้ว ด้วยเหตุนี้จึงทำให้ เครื่องมือนี้ตกเป็นเป้าในการถูกปิดการทำงานของแฮกเกอร์เป็นอย่างมาก ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมระบบจากทางไกล (Remote Access Trojan หรือ RAT) ชื่อ CyberEYE ซึ่งเป็นมัลแวร์ที่มีประสิทธิภาพในการขโมยข้อมูลที่ค่อนข้างสูงจากการที่สามารถขโมยได้มาก และหลากประเภท ไม่ว่าจะเป็น รหัสต่าง ๆ ที่บันทึกไว้บนเว็บเบราว์เซอร์, Session สำหรับเข้าใช้งานแพลตฟอร์มสำหรับเล่นวิดีโอเกมต่าง ๆ (เช่น Steam), ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี ไปจนถึงรหัส Wifi ที่ถูกบันทึกไว้บนเครื่อง โดยข้อมูลเหล่านี้จะถูกส่งกลับไปยังบอทบน Telegram ผ่าน API โดยมัลแวร์มีวิธีในการขโมยข้อมูลที่หลากหลาย ทั้งการเข้าเก็บข้อมูลด้วยวิธีการทั่วไป, การเข้าเก็บข้อมูลและดัดแปลงข้อมูลบน Clipboard ไปจนถึงการตรวจจับการพิมพ์ของเหยื่อ (Keylogging) นอกจากนั้นมัลแวร์ตัวนี้ยังมีความสามารถในการปิดการทำงานของ Windows Defender อีกด้วย

ภาพจาก: https://www.cyfirma.com/research/understanding-cybereye-rat-builder-capabilities-and-implications/

ซึ่งสำหรับการทำงานในการปิดการทำงานของ Windows Defender นั้น ตัวมัลแวร์จะใช้เทคนิคในการทำงานแบบคู่ขนานเพื่อจัดการกับฟีเจอร์ดังกล่าว ด้วยการทำการแก้ไข Registry ร่วมกับการใช้คำสั่ง PowerShell เพื่อจัดการกับซอฟต์แวร์ตัวนี้ให้อยู่หมัด

ในส่วนของการแก้ไข Registry ของ Windows Defender นั้นเรียกได้ว่าตัวมัลแวร์มีความสามารถในการจัดการได้อย่างละเอียด ด้วยการเข้าไปแก้ไขในส่วนของ SOFTWAREMicrosoftWindows DefenderFeatures โดยทำการปรับค่า TamperProtection ให้เป็น 0 เพื่อให้สามารถทำการ Tamper (เปลี่ยนแปลงค่าต่าง ๆ โดยไม่ได้รับอนุญาต) ได้ หลังจากนั้นจึงทำการตั้งค่าปิดระบบต่อต้านสปายแวร์ ด้วยการตั้งค่า DisableAntiSpyware ที่อยู่ใน SOFTWAREPoliciesMicrosoftWindows Defender ให้เป็น 1 แล้วตามมาด้วยการปิดการตรวจจับแบบตามเวลาจริง หรือ Real-Time Protection ต่าง ๆ ด้วยการตั้งค่า DisableBehaviorMonitoring, DisableOnAccessProtection, และ DisableScanOnRealtimeEnable ที่อยู่ภายใน SOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection ให้เป็น 1 ทั้งหมด

และในส่วนของการใช้คำสั่ง PowerShell เพื่อปิดการทำงานของ Windows Defender นั้น ตัวมัลแวร์จะใช้ฟังก์ชัน CheckDefenderSettings() ด้วยคำสั่ง Get-MpPreference -verbose เพื่อตรวจสอบว่ามีฟีเจอร์รักษาความปลอดภัยตัวใดที่ยังเปิดใช้งานอยู่บ้าน หลังจากนั้นก็จะใช้ค่าที่ได้จากการวิเคราะห์มาเลือกปิดผ่านทางการใช้คำสั่ง Set-MpPreference เช่น การปิด Real-Time Protection ตัวมัลแวร์จะใช้คำสั่ง Set-MpPreference -DisableRealtimeMonitoring $true เพื่อปิดระบบนี้ลง เป็นต้น นอกจากฟีเจอร์การตรวจจับข้างต้นแล้ว ตัวมัลแวร์ยังทำการสั่งปิดฟีเจอร์รักษาความปลอดภัยอื่น ๆ เช่น ฟีเจอร์บล็อกมัลแวร์ทันทีที่เห็น (DisableBlockAtFirstSeen), ฟีเจอร์ตรวจสอบกิจกรรมของไฟล์และโปรแกรมต่าง ๆ (DisableIOAVProtection), และ ฟีเจอร์โหมดความเป็นส่วนตัว (DisablePrivacyMode) อีกด้วย

ทางทีมวิจัยจาก Cyfirma บริษัทผู้พัฒนาโซลูชันด้านการรักษาความปลอดภัยไซเบอร์ ยังได้เปิดเผยอีกว่า ปัจจุบันมัลแวร์ CyberEYE RAT นั้นเป็นที่นิยมในกลุ่มแฮกเกอร์มาก เนื่องจากหน้าจอการควบคุมนั้นมีความสวยงาม ใช้งานได้ง่าย มีฟีเจอร์ที่หลากหลาย ใช้ได้ง่ายแม้แต่กับแฮกเกอร์มือใหม่ ทั้งยังสามารถหาได้จากหลายแหล่ง เช่น ช่องลับบนแอปแชท Telegram และ คลังดิจิทัล (Repository) บน Github โดยมีแฮกเกอร์ที่อยู่เบื้องหลังของการพัฒนานี้ที่รู้จักแต่ในนามว่า @cisamul23 และ @CodQu ทั้งนี้ ทางแหล่งข่าวไม่ได้มีการให้ข้อมูลว่า แฮกเกอร์ใช้วิธีการใดในการแพร่กระจายมัลแวร์ดังกล่าวให้เข้าถึงตัวเหยื่อ