Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ “WuSetupV.exe” เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการสร้างเซิฟเวอร์จำลองชื่อ “MSHOME-F3BE293C” ด้วย

หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์ Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย

โดยปกตินั้นซอฟต์แวร์ที่จะผ่านทาง Windows Update ได้นั้นจำเป็นต้องได้รับการรับรองจาก Microsoft และมี certificate ว่าซอฟต์แวร์นั้นๆ ได้รับอนุญาต แต่ในกรณีของ Flame กลับพบว่าตัวมัลแวร์ก็ได้รับการรับรองเช่นเดียวกับซอฟต์แวร์ธรรมดา Microsoft จึงรีบออกแพตซ์เพื่อปิดช่องโหว่นี้ทันที พร้อมทั้งถอดถอนการรับรองปลอมของ Flame

ต่อมาได้มีการให้สัมภาษณ์จากผู้เชี่ยวชาญด้านการถอดรหัสระดับโลกอ้างว่า Flame ได้ใช้หลักการ MD5 chosen-prefix collision attack ในการปลอมแปลงการรับรองของ Microsoft ซึ่งนับว่ามันเป็นตัวอย่างแรกที่นำทฤษฎีนี้มาใช้อย่างจริงจังและประสบผลสำเร็จในการโจมตี และยังทำให้นักถอดรหัสทั่วโลกตกตะลึงอีกด้วย ผู้เชี่ยวชาญด้านการถอดรหัสกล่าวว่านี่อาจเป็นผลงานจากการวิจัยด้านการเข้ารหัสในระดับสูง ซึ่งนั่นก็สอดคล้องกับข้อสรุปจาก Kaspersky Lab, CrySyS Lab, และ Symantec ว่า Flame อาจถูกสร้างมาโดยมีชาติใดชาติหนึ่งที่มีบุคลากรคุณภาพสูงอยู่เบื้องหลังและจำเป็นต้องมีนักถอดรหัสที่มีความเชี่ยวชาญสูงรวมอยู่ด้วย

ที่มา – @craiu (1,2), H Online, Symantec, Computerworld (1,2), Ars Technica

ข่าวจาก Blognone โดย pe3z