มัลแวร์ Remcos RAT กลับมาโจมตีระบบ Windows อีกครั้ง ด้วยวิธีที่ร้ายกาจกว่าเดิม

มัลแวร์นั้นในช่วงที่ผ่านมาอาจจะได้เห็นข่าวการออกมาของมัลแวร์ใหม่หลายตัว แต่หลายตัวที่เคยโด่งดังในอดีตถึงแม้จะเงียบหายไปก็ใช่ว่าจะหายไปเลย ในทางตรงกันข้าม ผู้พัฒนามัลแวร์เหล่านี้กลับใช้เวลาที่หายไปในการพัฒนาให้มีความสามารถที่ร้ายกาจมากยิ่งกว่าเดิม เช่นข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) RemcosRAT ครั้งใหม่หลังจากที่ห่างหายไปพักหนึ่งภายใต้ชื่อแคมเปญว่า SHADOW#REACTOR ซึ่งแคมเปญนี้มาพร้อมกับขั้นตอนการฝังมัลแวร์แบบหลากขั้นตอน (Multi-Stages Infection) ที่ร้ายกาจยิ่งกว่าเดิม รวมทั้งยังมีความสามารถในการหลบเลี่ยงการถูกตรวจจับได้อย่างดีเยี่ยม โดยทีมวิจัยจาก Securonix บริษัทผู้เชี่ยวชาญด้านการจัดการกับภัยไซเบอร์ ได้กล่าวถึงขั้นตอนการฝังตัวของมัลแวร์ดังนี้

ตัวมัลแวร์นั้นจะเริ่มจากการรันตัวเรียกใช้งาน (Launcher) ในรูปแบบสคริปท์ VBS (Visual Basic Script) ที่ถูกอำพรางเพื่อสร้างความสับสนให้กับระบบตรวจจับ หรือ Obfuscation ผ่านทาง wscript.exe ซึ่งจะนำไปสู่การเปิดใช้งานมัลแวร์นกต่อ (Downloader) ในรูปแบบ PowerShell ที่จะทำหน้าที่ในการดาวน์โหลดไฟล์มัลแวร์ หรือ Payload ในรูปแบบอักษร (Text) ลงมาจากเซิร์ฟเวอร์ ซึ่งโค้ดในรูปแบบอักษรทั้งหมดนั้นจะถูกนำมาประกอบขึ้นมาใหม่ผ่านทางมัลแวร์นกต่อดังกล่าว มาเป็นมัลแวร์นกต่ออีกตัวหนึ่ง (Loader) ที่ถูกเข้ารหัสไว้ (Encoded) แล้วจึงนำมาถอดรหัส (Decoded) ด้วยการใช้งาน .NET Reactor–Protected Assembly ให้ทำงานบนหน่วยความจำ (Memory) โดยตรง ซึ่งมัลแวร์นกต่อนั้นจะทำการดึงการตั้งค่า (Configuration) ของมัลแวร์ Remcos RAT มาจากเซิร์ฟเวอร์เพื่อนำมาใช้งาน (Apply) และท้ายสุดจึงใช้เทคนิคการใช้งานเครื่องมือที่อยู่บนระบบอยู่แล้ว หรือ Living-off-the-Land (LOL) ด้วยการรันตัวมัลแวร์ผ่านทางเครื่องมือของ Windows ที่มีชื่อว่า MSBuild.exe ซึ่งจะส่งผลให้มัลแวร์ Remcos RAT สามารถเข้าควบคุมระบบของเหยื่อได้อย่างเต็มตัว นับว่าเป็นการเข้าฝังตัวที่มีความซับซ้อนอย่างมาก ทั้งยังสามารถหลบเลี่ยงการตรวจจับได้ดีอีกด้วย

ซึ่งในเชิงเทคนิคนั้นทางทีมวิจัยกล่าวว่ามีความน่าสนใจหลายอย่าง เช่น การใช้งาน Payload ในรูปแบบ Text แล้วนำมาประกอบกันภายหลังเพื่อหลีกเลี่ยงระบบการตรวจจับที่สามารถทำงานได้ถ้ามีการดาวน์โหลดไฟล์ Payload ลงมาตรง ๆ, การใช้งานสคริปท์แบบ VBS ที่เป็นไฟล์ที่ดูไม่เหมือนไฟล์ที่ผู้คนมักใช้งานกันเป็นประจำอย่าง win64.vbs ซึ่งคาดว่าแฮกเกอร์อาจใช้วิธีการหลอกลวงแบบวิศวกรรมทางสังคม (Social Engineering) เพื่อหลอกให้เหยื่อกดลิงก์แล้วนำไปสู่การดาวน์โหลดและรันไฟล์ดังกล่าว

ในส่วนของการทำงานของ PowerShell ก็มีความน่าสนใจตรงที่มีการใช้งาน System.Net.WebClient เพื่อสื่อสารกับเซิร์ฟเวอร์ที่ใช้ในการดึงสคริปท์ VBS ลงมาในขั้นตอนแรกในการดาวน์โหลดไฟล์ Payload ชื่อ "qpwoe64.txt" (หรือ "qpwoe32.txt" สำหรับระบบแบบ 32 Bit) ลงในโฟลเดอร์ชั่วคราว %TEMP% ซึ่งตัวสคริปท์ในขั้นตอนนี้ว่าตัวไฟล์มีความสมบูรณ์หรือไม่ด้วยฟังก์ชัน minLength โดยถ้าไฟล์มีขนาดเล็กกว่าที่กำหนดก็จะทำการหยุดดาวน์โหลดและดาวน์โหลดใหม่ หรือ ช่วงเวลาดาวน์โหลดไม่เกินตามช่วงเวลาหยุดพักระบบ หรือ Timeout จากการตรวจสอบผ่านฟังก์ชัน maxWait ขั้นตอนการติดตั้งมัลแวร์ก็จะทำงานต่อไป

โดยถ้าตัวไฟล์มีเป็นไปตามข้อกำหนดอย่างครบถ้วน ก็จะนำไปสู่การแปลงไฟล์ออกมาเป็นสคริปท์ PowerShell ตัวที่ 2 ที่มีชื่อว่า "jdywa.ps1" ลงบนโฟลเดอร์ชั่วคราว %TEMP% หลังจากนั้นตัว Loader ในรูปแบบ .NET Reactor ก็จะทำการสร้างการคงทนบนระบบ หรือ Persistence ให้กับมัลแวร์, ดาวน์โหลด Payload ตัวถัดไป, และ เพิ่มระบบป้องกันการถูกตรวจสอบด้วยวิธีการดีบั๊ก (Debugging) กับ ระบบป้องกันการทำงานบนสภาวะแวดล้อมจำลอง หรือ Virtual Machine แล้วจึงทำการรันมัลแวร์ผ่านทาง MSBuild.exe แล้วจึงทำการวางสคริปท์ผ่านทาง "wscript.exe" เพื่อสร้างเงื่อนไขในการรันสคริปท์ win64.vbs ขึ้นมาใหม่ ทำให้มัลแวร์สามารถคงอยู่บนระบบได้นานเท่านั้น

โดยมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มธุรกิจขนาดกลางและขนาดย่อม หรือ SME (Small-and-Medium Enterprise) ดังนั้น ผู้ที่ทำงานในองค์กรระดับดังกล่าวควรเตรียมป้องกันตัวให้พร้อม โดยเริ่มจากไม่คลิ๊กลิงก์ที่ได้รับจากกลุ่มคนที่ไม่น่าไว้วางใจอย่างเด็ดขาด