ซื้อกลับบ้านที่สำคัญ
- นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์ที่ไม่เหมือนใครซึ่งติดหน่วยความจำแฟลชบนเมนบอร์ด
- มัลแวร์นั้นกำจัดได้ยาก และนักวิจัยยังไม่เข้าใจว่ามันเข้าไปในคอมพิวเตอร์ได้อย่างไรตั้งแต่แรก
-
มัลแวร์ Bootkit จะยังคงพัฒนาต่อไป เตือนนักวิจัย
การฆ่าเชื้อคอมพิวเตอร์ต้องใช้เวลาพอสมควร มัลแวร์ตัวใหม่ทำให้งานยุ่งยากยิ่งขึ้น เนื่องจากนักวิจัยด้านความปลอดภัยค้นพบว่ามันฝังตัวเองลึกลงไปในคอมพิวเตอร์จนคุณอาจต้องโยนเมนบอร์ดเพื่อกำจัดมัน
ขนานนามว่า MoonBounce โดยหน่วยสืบราชการลับของ Kaspersky ผู้ค้นพบมัน มัลแวร์ที่เรียกกันว่า bootkit ในทางเทคนิค ข้ามผ่านฮาร์ดดิสก์และเข้าไปค้นหาตัวเองในเฟิร์มแวร์สำหรับบูต Unified Extensible Firmware Interface (UEFI) ของคอมพิวเตอร์
"การโจมตีมีความซับซ้อนมาก" Tomer Bar ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยที่ SafeBreach กล่าวกับ Lifewire ทางอีเมล "เมื่อเหยื่อติดไวรัส มันจะดื้อมากเพราะแม้แต่รูปแบบฮาร์ดไดรฟ์ก็ไม่ช่วย"
ภัยคุกคามจากนวนิยาย
มัลแวร์ Bootkit นั้นหายาก แต่ก็ไม่ใหม่ทั้งหมด โดย Kaspersky เองได้ค้นพบอีกสองตัวในช่วงสองสามปีที่ผ่านมา อย่างไรก็ตาม สิ่งที่ทำให้ MoonBounce ไม่เหมือนใครคือมันติดหน่วยความจำแฟลชที่อยู่บนเมนบอร์ด ทำให้ไม่สามารถป้องกันซอฟต์แวร์ป้องกันไวรัสและวิธีอื่นๆ ในการลบมัลแวร์ตามปกติ
อันที่จริง นักวิจัยของ Kaspersky สังเกตว่าผู้ใช้สามารถติดตั้งระบบปฏิบัติการใหม่และเปลี่ยนฮาร์ดไดรฟ์ได้ แต่ bootkit จะยังคงอยู่ในคอมพิวเตอร์ที่ติดไวรัสจนกว่าผู้ใช้จะทำการแฟลชหน่วยความจำแฟลชที่ติดไวรัสอีกครั้งตามที่อธิบายไว้ เป็น "กระบวนการที่ซับซ้อนมาก" หรือเปลี่ยนเมนบอร์ดทั้งหมด
สิ่งที่ทำให้มัลแวร์อันตรายยิ่งขึ้น บาร์กล่าวเสริมว่า มัลแวร์นั้นไม่มีไฟล์ ซึ่งหมายความว่าไม่ต้องพึ่งพาไฟล์ที่โปรแกรมป้องกันไวรัสสามารถตั้งค่าสถานะได้ และไม่ทิ้งร่องรอยไว้บนคอมพิวเตอร์ที่ติดไวรัส ทำให้มันเป็นอย่างมาก ยากที่จะแกะรอย
จากการวิเคราะห์มัลแวร์ นักวิจัยของ Kaspersky สังเกตว่า MoonBounce เป็นก้าวแรกในการโจมตีแบบหลายขั้นตอน ผู้หลอกลวงที่อยู่เบื้องหลัง MoonBounce ใช้มัลแวร์เพื่อสร้างฐานที่มั่นในคอมพิวเตอร์ของเหยื่อ ซึ่งพวกเขาเข้าใจแล้วจึงสามารถนำมาใช้เพื่อปรับใช้ภัยคุกคามเพิ่มเติมเพื่อขโมยข้อมูลหรือปรับใช้แรนซัมแวร์
การช่วยชีวิตคือนักวิจัยพบมัลแวร์เพียงตัวเดียวจนถึงตอนนี้ "อย่างไรก็ตาม มันเป็นชุดโค้ดที่ซับซ้อนมาก ซึ่งเป็นเรื่องที่น่ากังวล หากไม่มีสิ่งอื่นใด มันจะประกาศถึงความเป็นไปได้ของมัลแวร์ขั้นสูงอื่น ๆ ในอนาคต" Tim Helming ผู้เผยแพร่ศาสนาด้านความปลอดภัยของ DomainTools เตือน Lifewire ทางอีเมล
Therese Schachner ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ที่ VPNBrains เห็นด้วย "เนื่องจาก MoonBounce มีความลอบเร้นเป็นพิเศษ จึงเป็นไปได้ว่ามีการโจมตี MoonBounce เพิ่มเติมที่ยังไม่ถูกค้นพบ"
ฉีดวัคซีนให้คอมพิวเตอร์ของคุณ
นักวิจัยสังเกตว่ามัลแวร์ถูกตรวจพบเพียงเพราะผู้โจมตีใช้เซิร์ฟเวอร์การสื่อสารเดียวกัน (ที่รู้จักกันในทางเทคนิคว่าเซิร์ฟเวอร์คำสั่งและควบคุม) เป็นมัลแวร์อื่นที่รู้จักผิดพลาดเท่านั้น
อย่างไรก็ตาม เฮลมิงกล่าวเสริมว่าเนื่องจากยังไม่ชัดเจนว่าการติดเชื้อเริ่มต้นเกิดขึ้นได้อย่างไร จึงแทบจะเป็นไปไม่ได้เลยที่จะบอกทิศทางที่เฉพาะเจาะจงมาก ๆ เกี่ยวกับวิธีการหลีกเลี่ยงการติดเชื้อ การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่ได้รับการยอมรับอย่างดีถือเป็นการเริ่มต้นที่ดี
ในขณะที่มัลแวร์พัฒนาตัวเอง พฤติกรรมพื้นฐานที่ผู้ใช้ทั่วไปควรหลีกเลี่ยงเพื่อป้องกันตัวเองไม่ได้เปลี่ยนแปลงไปจริงๆ การทำให้ซอฟต์แวร์ทันสมัยอยู่เสมอ โดยเฉพาะซอฟต์แวร์ความปลอดภัยเป็นสิ่งสำคัญการหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยยังคงเป็นกลยุทธ์ที่ดี” Tim Erlin รองประธานฝ่ายกลยุทธ์ของ Tripwire แนะนำให้ Lifewire ทางอีเมล
… เป็นไปได้ว่ามีการโจมตี MoonBounce เพิ่มเติมที่ยังไม่ถูกค้นพบ
เพิ่มข้อเสนอแนะดังกล่าว Stephen Gates ผู้เผยแพร่ศาสนาด้านความปลอดภัยที่ Checkmarx บอกกับ Lifewire ทางอีเมลว่าผู้ใช้เดสก์ท็อปโดยเฉลี่ยต้องไปไกลกว่าเครื่องมือป้องกันไวรัสแบบเดิม ซึ่งไม่สามารถป้องกันการโจมตีแบบไม่มีไฟล์ได้ เช่น MoonBounce
"ค้นหาเครื่องมือที่สามารถใช้ประโยชน์จากการควบคุมสคริปต์และการป้องกันหน่วยความจำ และพยายามใช้แอปพลิเคชันจากองค์กรที่ใช้วิธีการพัฒนาแอปพลิเคชันที่ทันสมัยและปลอดภัย ตั้งแต่ด้านล่างสุดของสแต็กไปจนถึงด้านบนสุด" Gates แนะนำ
ในทางกลับกัน Bar สนับสนุนการใช้เทคโนโลยี เช่น SecureBoot และ TPM เพื่อตรวจสอบว่าเฟิร์มแวร์สำหรับบูตไม่ได้รับการดัดแปลงเป็นเทคนิคการบรรเทาปัญหามัลแวร์ bootkit อย่างมีประสิทธิภาพ
Schachner แนะนำว่าการติดตั้งการอัปเดตเฟิร์มแวร์ UEFI เมื่อมีการเผยแพร่จะช่วยให้ผู้ใช้รวมการแก้ไขความปลอดภัยที่ปกป้องคอมพิวเตอร์ของตนจากภัยคุกคามที่เกิดขึ้นใหม่ เช่น MoonBounce ได้ดีขึ้น
นอกจากนี้ เธอยังแนะนำให้ใช้แพลตฟอร์มความปลอดภัยที่รวมการตรวจจับภัยคุกคามของเฟิร์มแวร์ไว้ด้วย "โซลูชันการรักษาความปลอดภัยเหล่านี้ช่วยให้ผู้ใช้ได้รับแจ้งถึงภัยคุกคามของเฟิร์มแวร์ที่อาจเกิดขึ้นได้โดยเร็วที่สุด เพื่อให้สามารถแก้ไขได้ทันท่วงทีก่อนที่ภัยคุกคามจะบานปลาย"