เทรนด์ไมโคร พาไปรู้จัก ‘เพทย่า’ แรนซั่มแวร์ตัวฉกาจ

ในช่วงที่ผ่านมา แรนซั่มแวร์ ในตระกูล เพทย่า (Petya) กำลังระบาดไปทั่วโลกกลายเป็นเรื่องเขย่าขวัญสั่นประสาทผู้ใช้คอมพิวเตอร์ไปตามๆ กัน นายวุฒิไกร รัตนไมตรีเกียรติ ที่ปรึกษาด้านโซลูชั่นความปลอดภัยทางไซเบอร์ เทรนด์ไมโคร (ประเทศไทย) ถือโอกาสนี้ ให้ข้อมูลเกี่ยวกับเรื่องที่เกิดขึ้นว่า

จากข้อมูลที่เทรนด์ไมโครพบมีรายงานการโจมตีจากแรนซั่มแวร์ในวงกว้างทั่วยุโรป โดยเป็นฝีมือของแรนซั่มแวร์ในตระกูลเพทย่า ที่ทางเทรนด์ไมโครตรวจพบในชื่อของ RANSOM_PETYA.SMA ที่มีการใช้ช่องโหว่ อีเทอร์นัลบลู (EternalBlue) ร่วมกับเครื่องมืออย่าง PsExec เพื่อใช้โจมตีในครั้งนี้ สำหรับแรนซั่มแวร์เพทย่านั้น เคยมีการตรวจพบมาแล้วเมื่อปี 2559 โดยพบว่ามันได้เข้าไปแก้ไขไฟล์ระบบในส่วนของมาสเตอร์บูต เร็คคอร์ด (Master Boot Record-MBR) และทำการล็อกเครื่องของเหยื่อด้วยหน้าจอบลูสกรีน เพื่อแสดงโน้ตเกี่ยวกับการเรียกค่าไถ่

ซึ่งเทรนด์ไมโคร ได้แนะนำผู้ใช้และองค์กรต่างๆ ให้ดำเนินการป้องกันในทันที ด้วยการติดตั้งแพตช์ความปลอดภัย MS17-010 แล้ว ปิดพอร์ต TCP 445 และจำกัดบัญชีผู้ใช้ที่มีสิทธิการเข้าถึงระดับแอดมินแบบกลุ่ม

สำหรับแรนซั่มแวร์กลุ่มนี้ได้บุกรุกเข้าสู่ระบบของเหยื่อโดยใช้ทูล PsExec ซึ่งเป็นยูทิลิตี้ที่ทางการของไมโครซอฟท์ ที่ใช้รันโปรเกรสต่างๆ บนระบบที่ต้องการจากระยะไกล นอกจากนี้ ยังใช้ช่องโหว่ อีเทอร์นัลบลู หรือช่องโหว่บน SMBv1 ที่มีการใช้มาแล้วในกรณีการโจมตีของวอนนาคราย (WannaCry) ซึ่งเมื่อสามารถฝังตัวบนระบบแล้ว เพทย่าก็จะรันโปรเซส rundll32.exe เพื่อสั่งรันโค้ดตัวเอง ซึ่งโค้ดอันตรายที่ทำหน้าที่เข้ารหัสจริงๆ จะเป็นไฟล์ที่ชื่อ perfc.dat โดยซ่อนตัวอยู่ในโฟลเดอร์วินโดวส์

Advertisement

จากนั้น แรนซั่มแวร์ตัวนี้ก็จะเพิ่มทาสก์แบบกำหนดเวลารันการทำงาน ที่บังคับให้ระบบรีบูตให้หลังหนึ่งชั่วโมง นอกจากนั้น ก็ยังมีการปรับแก้ Master Boot Record (MBR) เพื่อการเข้ารหัสไฟล์พร้อมแสดงข้อความวิธีการจ่ายค่าไถ่ด้วย และเมื่อมีข้อความปลอมของ CHKDSK แสดงขึ้นมา ก็ถือเป็นสัญญาณว่าการเข้ารหัสไฟล์เกิดขึ้นแล้ว

แรนซั่มแวร์เพทย่านี้มีลักษณะที่แตกต่างจากตัวอื่นๆ โดยนอกจากจะไม่เปลี่ยนสกุลไฟล์ของไฟล์ที่โดนเข้ารหัสแล้ว ไฟล์บางชนิดที่มักตกเป็นเป้าของแรนซั่มแวร์ตัวอื่น อย่างเช่นไฟล์รูปภาพและวิดีโอ กลับไม่โดนเพทย่าเล่นงาน

นอกจากการใช้ประโยชน์จากช่องโหว่อีเทอร์นัลบลูแล้ว มันยังมีพฤติกรรมอื่นที่คล้ายกับวอนนาครายอีก เช่น การฝังที่อยู่บิทคอยน์เอาไว้ในตัวโดยตรงที่ทำให้การถอดรหัสไฟล์กลับมาเป็นงานที่ยากลำบากมาก ตัวเพทย่านี้มีการเรียกค่าไถ่อยู่ที่ 300 ดอลลาร์สหรัฐ ซึ่งปัจจุบันประมาณการกันว่ามีการจ่ายเงินค่าไถ่รวมแล้ว

กว่า 7,500 ดอลลาร์สหรัฐ ไปยังที่อยู่บิทคอยน์ดังกล่าวแล้ว และจากประวัติการโจมตีที่เหมือนกับแรนซั่มแวร์อื่นๆ ทั้งหมด ทาง เทรนด์ไมโคร จึงแนะนำไม่ให้จ่ายค่าไถ่ โดยเฉพาะในกรณีเพทย่านี้ เพราะอีเมล์ที่มีระบุไว้ในข้อความเรียกค่าไถ่นั้นถูกปิดการใช้งานแล้ว

PsExec และ Windows Management Information Command-line (WMIC) ถือว่า เพทย่า ฉลาดมากที่ใช้ไฟล์ธรรมดาที่มีอยู่แล้วอย่างถูกต้องบนวินโดวส์ อย่าง PsExec และ Windows Management Information Command-line ซึ่งเป็นอินเตอร์เฟซที่ช่วยให้ใช้งาน Windows Management Instrumentation (WMI) ได้

เทรนด์ไมโครยังค้นพบอีกว่าเพทย่าที่พบใช้เทคนิคขั้นสูงในการดึงข้อมูลออกจากเครื่องที่ถูกโจมตี โดยใช้ทูลความปลอดภัยที่มีอย่าง Mimikatz ซึ่งถูกดัดแปลงมาเพื่อล้วงข้อมูลชื่อผู้ใช้และรหัสผ่าน โดยไฟล์โปรแกรม Mimikatz ทั้งแบบ 32 และ 64 บิต จะถูกเข้ารหัสและจัดเก็บไว้ในส่วนที่เก็บรวบรวมทรัพยากรของตัวแรนซั่มแวร์เอง กระบวนการดึงข้อมูลนี้เกิดขึ้นระหว่างการรันโปรเซสหลักของมัลแวร์ที่เปิดช่องการเชื่อมต่อ ทำให้ Mimikatz สามารถบันทึกข้อมูลและส่งกลับไปให้โปรเซสหลักของมัลแวร์ประมวลผลได้ต่อไป ซึ่งอย่างที่กล่าวข้างต้นนี้ Petya จึงสามารถกระจายตัวเองไปเครื่องอื่นๆ บนเครือข่ายเดียวกันโดยใช้ข้อมูลรหัสผ่านที่ล้วงได้นี้เอง

และจากการวิเคราะห์ เทรนด์ไมโครพบว่า เพทย่า นี้มีการเรียกใช้งาน CryptGenRandomAPI ในการเข้ารหัสโดยมันจะสร้างคีย์ขึ้นมา และบันทึกไว้บนดิสก์ซึ่งจะถูกเรียกใช้ในการเข้ารหัสหลังจากเครื่องถูกรีบูต ซึ่ง CryptGenRandom API นี้เองทำให้ Petya ตระกูลใหม่นี้สามารถทำงานได้สมบูรณ์กว่าตระกูลที่เคยพบก่อนหน้านี้ และส่งผลให้การถอดรหัสเป็นไปได้ยากขึ้นด้วย อีกสิ่งหนึ่งที่น่าสนใจคือ จากการวิเคราะห์โค้ดการทำงาน เพทย่าสายพันธุ์นี้ได้ลบคีย์ที่ใช้ในการเข้ารหัสทิ้งไปด้วยส่งผลให้การถอดรหัสเป็นไปได้ยากมาก จนแทบเป็นไปไม่ได้ แม้กระทั่งสำหรับคนเขียนตัวเพทย่าเองก็ตามที

QR Code
เกาะติดทุกสถานการณ์จาก Line@matichon ได้ที่นี่
Line Image