เผยมัลแวร์ Flame ใช้ Windows Update ในการแพร่กระจาย คาดอาจมีผู้เชี่ยวชาญระดับสูงอยู่เบื้องหลัง

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ “WuSetupV.exe” เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการสร้างเซิฟเวอร์จำลองชื่อ “MSHOME-F3BE293C” ด้วย

หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์ Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย

โดยปกตินั้นซอฟต์แวร์ที่จะผ่านทาง Windows Update ได้นั้นจำเป็นต้องได้รับการรับรองจาก Microsoft และมี certificate ว่าซอฟต์แวร์นั้นๆ ได้รับอนุญาต แต่ในกรณีของ Flame กลับพบว่าตัวมัลแวร์ก็ได้รับการรับรองเช่นเดียวกับซอฟต์แวร์ธรรมดา Microsoft จึงรีบออกแพตซ์เพื่อปิดช่องโหว่นี้ทันที พร้อมทั้งถอดถอนการรับรองปลอมของ Flame

ต่อมาได้มีการให้สัมภาษณ์จากผู้เชี่ยวชาญด้านการถอดรหัสระดับโลกอ้างว่า Flame ได้ใช้หลักการ MD5 chosen-prefix collision attack ในการปลอมแปลงการรับรองของ Microsoft ซึ่งนับว่ามันเป็นตัวอย่างแรกที่นำทฤษฎีนี้มาใช้อย่างจริงจังและประสบผลสำเร็จในการโจมตี และยังทำให้นักถอดรหัสทั่วโลกตกตะลึงอีกด้วย ผู้เชี่ยวชาญด้านการถอดรหัสกล่าวว่านี่อาจเป็นผลงานจากการวิจัยด้านการเข้ารหัสในระดับสูง ซึ่งนั่นก็สอดคล้องกับข้อสรุปจาก Kaspersky Lab, CrySyS Lab, และ Symantec ว่า Flame อาจถูกสร้างมาโดยมีชาติใดชาติหนึ่งที่มีบุคลากรคุณภาพสูงอยู่เบื้องหลังและจำเป็นต้องมีนักถอดรหัสที่มีความเชี่ยวชาญสูงรวมอยู่ด้วย

ที่มา – @craiu (1,2), H OnlineSymantec, Computerworld (1,2), Ars Technica

ข่าวจาก Blognone โดย pe3z

บทความที่เกี่ยวข้อง