กระสือ!!! Linux โทรจันตัวใหม่ มุ่งเป้าไปที่บริษัทด้านโทรคมนาคมในประเทศไทย
นักวิจัยด้านความปลอดภัยค้นพบโทรจันสำหรับใช้ในการเข้าถึงระบบจากระยะไกล โดยพวกเขาตั้งชื่อว่า "กระสือ" (Krasue RAT)พวกเขาพบว่าไบนารีของ "กระสือ" มี Rootkit เจ็ดรูปแบบที่รองรับ Linux Kernel หลายเวอร์ชันและอ้างอิงโค้ดจากโครงการโอเพ่นซอร์สสามโครงการ
ตามที่นักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ "Group-IB" ระบุว่าหน้าที่หลักของมัลแวร์คือการรักษาการเข้าถึงของโฮสต์ที่มัลแวร์ได้ทำการฝังตัวอยู่ ซึ่งอาจบอกได้ว่ามันถูกปรับปรุงให้ใช้งานเป็น Botnet หรือนำไปขายโดยนายหน้าด้านการเข้าถึงระบบเบื้องต้นให้กับเหล่าแฮกเกอร์ที่ต้องการเข้าถึงเป้าหมายโดยเฉพาะ
นักวิจัยเชื่อว่าโทรจันสำหรับใช้ในการเข้าถึงระบบจากระยะไกล "กระสือ" (RAT) อาจถูกนำไปใช้ในช่วงหลังของการโจมตี (Post-Exploitation) เพื่อรักษาการเข้าถึงโฮสต์ที่มัลแวร์ได้ทำการฝังตัวอยู่ของเหยื่อโดยเฉพาะ
ปัจจุบันยังไม่ชัดเจนว่ามัลแวร์ถูกแพร่กระจายได้อย่างไร แต่มัลแวร์ตัวนี้สามารถเข้าถึงเป้าหมายได้หลังจากใช้ประโยชน์จากช่องโหว่ เช่น การ Brute Force Attack หรือแม้แต่ดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ รวมถึงยังปลอมเป็นแพ็คเกจหรือไบนารีที่แอบอ้างเป็นผลิตภัณฑ์ที่ติดตั้งบนเครื่องคอมพิวเตอร์ที่ถูกต้องอีกด้วย
ในขณะนี้ดูเหมือนว่าการกำหนดเป้าหมายของกระแสจะจำกัดอยู่เพียงบริษัทโทรคมนาคมในประเทศไทยเท่านั้น
Rootkits inside
การวิเคราะห์จาก Group-IB เปิดเผยว่า Rootkit ภายในไบนารีของ Krasue RAT คือ Linux Kernel Module (LKM) ที่ทำการปลอมแปลงเป็นไดรเวอร์ VMware หลังจากถูกเรียกใช้งาน
Rootkit ระดับเคอร์เนลนั้นตรวจพบและลบได้ยากเนื่องจาก Rootkit ทำงานในระดับความปลอดภัยเดียวกันกับระบบปฏิบัติการ
นักวิจัยกล่าวว่า Rootkit รองรับ Linux Kernel เวอร์ชัน 2.6x/3.10.x ซึ่งจะช่วยให้มัลแวร์ "กระสือ" ไม่ถูกตรวจจับเนื่องจากเซิร์ฟเวอร์ Linux รุ่นเก่ามักไม่รองรับระบบป้องกันอย่าง Endpoint Detection and Response ได้ไม่ดีนัก
Group-IB พบว่า Rootkit ทั้ง 7 เวอร์ชันมีความสามารถในการเรียกใช้ระบบและฟังก์ชันการเรียกฟังก์ชันที่เหมือนกัน และใช้ชื่อปลอม “VMware User Mode Helper” เป็นชื่อเดียวกัน ทั้ง 7
Rootkit's metadata (Group-IB)
เมื่อพิจารณาจากโค้ด Rootkit จาก Group-IB นักวิจัยได้ตรวจสอบแล้วว่า Rootkit มาจาก rootkit LKM แบบโอเพ่นซอร์ส 3 ตัว ได้แก่ Diamorphine, Suterusu และ Rooty ซึ่งทั้งหมดนี้ให้บริการตั้งแต่ปี 2017
Rootkit Krasue สามารถซ่อนหรือยกเลิกการซ่อนพอร์ต สามารถทำให้ซ่อน Process ต่างๆ รวมถึงให้สิทธิ์ root และสามารถเรียกใช้คำสั่ง kill Command สำหรับ Kill Process ID ต่างๆ ได้ นอกจากนี้ยังสามารถปกปิดร่องรอยของตนเองด้วยการซ่อนไฟล์และไดเร็กทอรีที่เกี่ยวข้องกับมัลแวร์ได้
เมื่อมัลแวร์ "กระสือ" ทำสื่อสารกับเซิร์ฟเวอร์ command and control (C2) "กระสือ" สามารถรับคำสั่งต่อไปนี้:
Ping – ตอบกลับด้วย 'Pong'
Master – ตั้งค่าอัพสตรีม C&C
Info – รับข้อมูลเกี่ยวกับมัลแวร์: main pid, child pid และสถานะต่างๆ เช่น "root: เพื่อเพิ่มสิทธิ์ root" "god: ทำให้ process ไม่สามารถถูก kill ได้" "hidden: ซ่อน process" "module: rootkit is loaded"
restart - รีสตาร์ท child process
respawn - รีสตาร์ท process หลัก
god die - ฆ่าตัวเอง
shell - รันคำสั่ง shell command ด้วย /bin/sh
Group-IB ค้นพบที่อยู่ IP Address ของ C&C ที่แตกต่างกันไปจำนวน 9 แห่งที่ Hard Code ลงในมัลแวร์ โดยมีการใช้พอร์ต 554 ซึ่งพบได้ทั่วไปในการเชื่อมต่อ RTSP (Real Time Streaming Protocol)
การใช้โปรโตคอลเครือข่ายระดับแอปพลิเคชัน RTPS สำหรับการสื่อสารของมัลแวร์เป็น C&C นั้นไม่ใช่เรื่องปกติเป็นอย่างยิ่งและอาจมองได้ว่าเป็นพฤติกรรมเฉพาะกรณีของ "กระสือ" ก็เป็นได้
RTSP เป็นโปรโตคอลควบคุมเครือข่ายที่ออกแบบมาสำหรับเซิร์ฟเวอร์สื่อสตรีมมิ่ง ซึ่งช่วยสร้างและควบคุมเซสชันการเล่นสื่อสำหรับสตรีมวิดีโอและเสียง การนำทางสื่อ การจัดการสตรีมการประชุม และอื่นๆ ที่เป็นลักษณะของมัลติมีเดีย เป็นต้น
แม้ว่าจะไม่ทราบที่มาของมัลแวร์ "กระสือ" แต่นักวิจัยพบว่าในส่วนของ Rootkit มีความทับซ้อนกับ Rootkit ของมัลแวร์ Linux ตัวอื่นที่เรียกว่า XorDdos
Group-IB เชื่อว่านี่เป็นข้อบ่งชี้ว่ามัลแวร์ทั้งสองตระกูลมีผู้เขียน/ผู้ดำเนินการร่วมกัน อาจเป็นไปได้ว่าผู้พัฒนา "กระสือ" ก็สามารถเข้าถึงโค้ด XorDdos ได้เช่นกัน
ในเวลานี้ ประเภทของภัยคุกคามที่อยู่เบื้องหลังของมัลแวร์ "กระสือ" ยังคงเป็นปริศนา แต่ Group-IB ได้แบ่งปัน Indicator of Compromised รวมถึง YARA Rules เพื่อช่วยให้ผู้ที่ปฏิบัติงานด้านไซเบอร์ซีเคียวริตี้ไปตรวจภัยคุกคามนี้ และอาจสนับสนุนให้นักวิจัยคนอื่นเผยแพร่สิ่งที่พวกเขารู้เกี่ยวกับมัลแวร์ "กระสือ" ตัวนี้ อีกด้วย
Indicator of Compromised
172[.]19[.]37[.]145: 52699
172[.]19[.]37[.]159: 52699
172[.]19[.]37[.]169: 52699
172[.]19[.]37[.]170: 52699
172[.]19[.]37[.]171: 52699
172[.]19[.]37[.]172: 52699
172[.]19[.]37[.]173: 52699
172[.]19[.]37[.]175: 52699
128[.]199[.]226[.]11: 554
อ้างอิง Krasue RAT malware hides on Linux servers using embedded rootkits
