BatCloak เครื่องมือที่สามารถสร้างมัลแวร์หลบหลีกการตรวจจับได้อย่างสมบรูณ์แบบ (FUD: Fully Undetectable)
นักวิจัยพบเครื่องมือที่ชื่อว่า "BatCloak" ซึ่งถูกใช้ในการสร้างมัลแวรในรูปแบบไฟล์ Batch ที่สามารถหลบหลีกการตรวจจับของ Antivirus (Antivirus Evasion Detection) ได้อย่างสมบูรณ์แบบ (Fully Undetectable) จากรายงานของ Trendmicro ระบุว่า ไฟล์มัลแวร์สามารถหลบหลีกการตรวจจับได้ถึง 80% จากไฟล์มัลแวร์เกือบ 800 ตัว
พบว่าเครื่องมือที่ชี่อ ว่า "BatCloak" นี้ถูกพัฒนามาอย่างต่อเนื่อง จนถึงเวอร์ชั่นล่าสุด ที่มีชื่อว่า "ScrubCrypt" เครื่องมือเวอร์ชั่นล่าสุดนี้ ถูกตรวจพบครั้งแรกโดยทีมวิจัยจาก Fortinet Fortiguard และมีความเชื่อมโยงกับกลุ่ม ผู้ไม่หวังดีที่ชื่อว่า "8220 Gang" ที่มีจุดประสงค์เพื่อใช้เครื่องเหยื่อทำเหมือง Crypto นอกจากนี้พบว่า ScrubCrypt เคยถูกใช้ร่วมกับมัลแวร์หลายตัว เช่น Amadey, Redline Stealer และเครื่องมือจำพวก Remote Access Trojan (RAT) อีกหลายตัว
ทั้งนี้ มีข้อสังเกตว่ามัลแวร์ที่ถูกพัฒนานี้ มาในช่วงหลัง ๆ นี้จะเน้นไปที่ความสามารถในการหลบหลีกการตรวจจับ จาก Antivirus หรือ ที่เรียกว่า Fully Undetectable (FUD) ยกตัวอย่างเช่น ก่อนหน้านี้ไม่นาน มีการประกาศขายเครื่องมือที่ชื่อว่า "Spyboy" ที่มีการระบุว่าสามารถหลบหลีกการตรวจจับจาก Endpoint Protection ได้ทุกตัว และจากความสำเร็จ ในการหลบหลีกการตรวจจับได้ของเครื่องมือเหล่านี้ทำให้เชื่อได้ว่าน่าจะมีมัลแวร์อื่น ๆ ตาม มาอีกเรื่อย ๆ
ดังนั้นการตรวจจับ และป้องกันบนเครื่องจึงควรพัฒนาตามให้ทันการใช้งาน Endpoint Protection ที่มีความสามารถของ Endpoint Detection & Response (EDR) หรือ User and Entity Behavior Analytics (UEBA) ก็สามารถเป็นทางเลือกหนึ่งในการเพิ่มศักยภาพการตรวจจับพฤติกรรมการทำงานที่ต้องสงสัยบนเครื่อง เพื่อลดความเป็นไปได้ในการโจมตีที่สำเร็จบนเครื่องได้
.
การทำงานของมัลแวร์ที่ใช้ BatCloak สร้างขึ้นมานั้น จะต้องทำการรันชุดคำสั่ง (code) แต่ละขั้นตอนที่แตกต่างกันถึง 3 ภาษา ได้แก่
1. Batch จะถูกสั่งให้ทำงาน เพื่อทำการ Deobfuscation ให้เครื่องสามารถอ่านชุดคำ สั่งเข้าใจ และสั่งให้ชุดคำสั่งทำงาน
2. PowerShell จะเริ่มทำงาน เพื่อทำการ decode, decrypt และ decompress อีกชั้นนึง เพื่อแปลงกลับมาเป็น C# และสั่งให้ชุดคำสั่งดังกล่าวทำงาน
3. C# จะทำการ decompress และ decrypt อีกชั้นจากนั้นจึงจะเป็นชุดคำ สั่งจริง ๆ (Payload) ที่จะใช้โจมตีบนเครื่องเหยื่อ
.
เกร็ดความรู้เพิ่มเติม
นักวิจัยเชื่อว่าเครื่องมือชื่อว่า "Jlaive" ที่เคยถูกแบ่งปันบน GitHub และ GitLab ด้วยบัญชีที่ชื่อว่า "ch2sh" เมื่อเดือนกันยายน 2022 และมีเครื่องมือสามารถแปลงไฟล์ EXE ไปเป็นไฟล์ Batch ที่ไม่สามารถถูกตรวจจับได้นั้น เป็นจุดเริ่มต้นของการพัฒนาต่อยอดเครื่องมือจาก open-source อย่าง “Jlaive” มาเป็นเครื่องมือ close-source ที่ชี่อ ว่า "BatCloak" นี้
ปัจจุบันบัญชี GitHub และ GitLab ดังกล่าวได้ถูกปิดไปแล้ว จึงยิ่งเป็นการตอกย้ำถึงความสำเร็จจากการแปลงไฟล์มัลแวร์ให้อยูในรูปแบบไฟล์ Batch และสามารถหลบหลีกการตรวจจับจาก Antivirus ได้ถึง 80% จากไฟล์มัลแวร์ทั้ง หมดเกือบ 800 ตัว
.
อ้างอิง
https://thehackernews.com/.../cybercriminals-using...
https://www.trendmicro.com/.../analyzing-the-fud-malware...
https://jstnk9.github.io/.../Jlaive-Antivirus-Evasion-Tool/
https://www.reddit.com/.../20230531_situational_awareness...
.
สอบถามหรือสนใจ รับบริการด้าน Cyber Security
ติดต่อ : 093-139-9442 หรือ Inbox
เว็บไซต์ : https://www.infinitythailand.io/
