ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

‘MnuBot’ Banking Trojan ທີ່​ໃຊ້​ເຊີເວີ MSSQL ເປັນ ​C&C

ທີມ​ງານ​ດ້ານ​ຄວາມປອດໄພຂອງ​ IBM ໄດ້​ຄົ້ນ​ພົບ​ Banking Trojan ທີ່​ຊື່​ວ່າ​ MnuBot ແລະ​ ຂຽນ​ດ້ວຍ​ Delphi ທີ່​ໃຊ້​ເຕັກ​ນິກ​ຊັບ​ຊ້ອນ​ ໂດຍ​ໃຊ້​ການ​ເຊື່ອມ​ຕໍ່ ​ແລະ ​ຮັບ​ຄຳ​ສັ່ງ​ຜ່ານ​ທາງ​ Microsoft SQL ຈາກ​ພາຍນອກ​ເພື່ອ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ຂອງ​ລະບົບ​ປ້ອງ​ກັນ​ທົ່ວ​ໄປ.​

News Images: mnubot.jpg

ຈາກ​ລາຍ​ງານ​ພົບ​ວ່າ​ພຶດຕິກຳ​ຂອງ​ມັນ​ແວ​ (Malware) ​ໂຕ​ນີ້​ ມີ​ການ​ຝັງ​ Credentials ທີ່​ເຂົ້າ​ລະ​ຫັດ​ໄວ້​ເພື່ອ​ໃຊ້​ເຊື່ອມ​ຕໍ່ໄປຫາ​ C&C ເ​ຊີເວີ​ທີ່​ເປັນ​ຖານ​ຂໍ້​ມູນ​ MSSQL ເພື່ອ​ເອີ້ນ​ຄຳ​ສັ່ງ​ໃໝ່ ​ແລະ ​ສັ່ງ​ການ​ຕົນເອງ​ ຊຶ່ງ​ນັກ​ວິ​ໄຈ​ຄາດ​ວ່າ​ຜູ້​ຄິດ​ຄົ້ນ​ວິທີ​ນີ້​ ຕ້ອງ​ການ​ຫຼີກລ້ຽງການ​ກວດ​ຈັບ​ປ້ອງ​ກັນ ​ໂດຍການ​ເຮັດ​ໃຫ້ຄືກັບເປັນ​ການຈໍລະຈອນ (Traffic) ປົກກະຕິ​ໃຊ້​ງານ​ຖານ​ຂໍ້​ມູນທົ່ວ​ໄປ​ ນອກ​ຈາກ​ນີ້​ ຍັງມີ​ຂໍ້​ດີ​ອື່ນ​ໆ​ຄື: ​ເນື່ອງ​ຈາກ​ມັນ​ແວ​ໄດ້ຮັບ​ໄຟ​ລ໌​ຕັ້ງ​ຄ່າ​ຈາກ​ເ​ຊີເວີ SQL ທຳມະດາ​ປົກກະຕິ ​ຊຶ່ງ​ບໍ່​ຕ້ອງ​ຝັງ​ຂໍ້​ມູນ​ມາ​ກ່ອນ,​ ດັ່ງ​ນັ້ນ​ ເຈົ້າ​ຂອງ​ມັນ​ແວ​​ຈະ​ເລີ່ມ​​ປະຕິບັດການ​ເມື່ອ​ໃດ​ກໍ່​ໄດ້​ ຍິ່ງໄປກວ່າ​ນັ້ນ ​ຖ້າ​ຮູ້ສຶກ​ວ່າ​ຖືກ​ນໍາຮອຍ​ຢູ່​ກໍ່ສາມາດ​ປິດ​ເຊີເວີ​ຖິ້ມ ​ເຮັດໃຫ້​ມັນ​ແວ​ບໍ່​ຕອບສະໜອງ​ໂດຍ​ສິ້ນ​ເຊີງ ​ແລະ ​ຝ່າຍ​ປ້ອງ​ກັນ​ກໍ່​ບໍ່​ສາມາດ​ເຮັດ​ Reverse Engineer ເພື່ອ​ສຶກ​ສາ​ການ​ໂຈມ​ຕີ​ໄດ້​.

ການສຶກສາຍັງພົບ​ວ່າ​ມັນ​ແວ​​ຖືກ​ອອກ​ແບບ​ Modular ປະກອບ​ດ້ວຍ​ 2 ສ່ວນ ຄື​​:

  • ສ່ວນ​ທໍາອິດ ​ເພື່ອ​ກວດສອບ​ວ່າ​ເຈົ້າ​ຂອງ​ເຄື່ອງ​ຕິດ​ມັນ​ແວແລ້ວ​ ​ຫຼື ​ບໍ່ ໂດຍ​ກວດ​ຈາກ​ໄຟ​ລ໌​ຊື່​ Desk.txt ໃນ​ໂຟນ​ເດີ​ AppData Roaming ຖ້າຫາກຍັງ​ບໍ່​ເຄີຍ​ຕິດ​ມັນ​ແວ​ມາ​ກ່ອນ ​ຈະ​ເຂົ້າໄປ​ສ້າງ​ໄຟ​ລ໌​ຊື່​ນີ້ ​ແລະ ​ເປີດ​ສະພາບ​ແວດ​ລ້ອມ​ຂອງ​ໜ້າຈໍ​ຜູ້​ໃຊ້​ໃໝ່ ​ຊຶ່ງ​ຈະ​ບໍ່​ເຫັນ​ການ​ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​ທີ່​ເຊື່ອງ​ຢູ່​ ໂດຍ​ໄຟ​ລ໌​ນີ້​ເອງ​ຈະ​ເອົາ​ໄວ້​ເກັບ​ຂໍ້​ມູນ​ຂອງ​ໜ້າຈໍທີ່​ເຊື່ອງ​ຢູ່ ​ແລະ ​ສ່ວນ​ປະກອບ​ທີ່​ສອງ​ຈະ​ຮູ້​ກົງ​ກັນ​ທີ່​ຈຸດ​ນີ້ເຊັ່ນກັນ​.
  • ສ່ວນ​ທີ່​ສອງ​ ຈະ​ເຂົ້າ​ສູ່​ໂໝດ​ Remote Access Trojan ຢ່າງ​ເປັນ​ທາງ​ການ ​ແລະ​ ເຊື່ອມ​ຕໍ່​ກັບ​ຖານ​ຂໍ້​ມູນ​ MSSQL ໂດຍ​ມີ​ຄວາມ​ສາມາດ​ດັ່ງ​ນີ້​:

1. ຮັບ​ໄຟ​ລ໌​ຕັ້ງ​ຄ່າ ​Version ​ຫຼ້າ​ສຸດ;

2. Execute ຄຳ​ສັ່ງ​ຈາກ​ໄຟ​ລ໌​ຕັ້ງ​ຄ່າ​ທີ່​ໄດ້​ມາ​;

3. ​ດັກ​ຈັບ​ຄີ​ (Key);

4. ປອມ​ແປງ​ການ​ຄລິກ (Click) ​ຂອງ​ຜູ້​ໃຊ້​ງານ​;

5. ປອມ​ແປງ​ອິນ​ພຸດ​ (Input) ຈາກ​ຄີບອດ (Keyboard) ຂອງ​ຜູ້​ໃຊ້​;

6. ເກັບຮູບພາບ​ຂອງ​ໜ້າຈໍ ​ແລະ​ ບ​ຣາວ​ເຊີ​ (Browser);

7. ຣີສະຕາດ (Restart) ​ເຄື່ອງ;

8. ຍົກ​ເລີກ​ການ​ຕິດ​ຕັ້ງ​ແອັບ​ພິເຄ​ຊັ່ນ​;

9. ສ້າງ​ການ​ວາງ​ທັບ​ໜ້າ ​Portal ຂອງ​ແບັງ (Bank) ແທ້ (​ລາຍ​ຊື່​ຂອງ​ທຸລະ​ກຳການ​ເງິນ​ທີ່ສົ​ນ​ໃຈ​ ແລະ​ ການ​ວາງ​ທັບ​ການ​ສະແດງ​ຜົນ​ໄດ້ຮັບ​ມາ​ຈາກ​ການ​ອັບ​ເດດ​ໄຟ​ລ໌​ຕັ້ງ​ຄ່າ​).

ຢ່າງໃດ​ກໍ່​ຕາມ​ MnuBot ສ້າງ​ຄວາມ​ປະ​ຫຼາດ​ໃຈ​ໃຫ້​ທີມ​ງານ​ຂອງ​ IBM ໄດ້ບໍ່​ໜ້ອຍ ​ເພາະ​ປົກກະຕິ​ແລ້ວ​ Trojan ທີ່​ຂຽນ​ດ້ວຍ​ Delphi ຈະ​ບໍ່​ມີ​ຄວາມ​ຊັບ​ຊ້ອນ​ຫຼາຍ​ເທົ່າ​ນີ້​ ອີກ​ທັງ​ຍັງມີ​ການ​ເຊື່ອງຕົນເອງຜ່ານ​ການ​ໃຊ້​ງານ​ທີ່​ເບິ່ງຄືກັບ​ປົກກະຕິ​ອີກ​ດ້ວຍ​ ຊຶ່ງ​ຄາດ​ວ່າ​ຜູ້ສ້າງ​ Trojan ມີ​ປະສົບການ​ຄວາມ​ຊ່ຽວ​ຊານ​ສູງ​ຫຼາຍ​ ແຕ່​ຍັງ​ດີ​ທີ່​ການ​ໂຈມ​ຕີ​ຍັງ​ຢູ່ໃນ​ແຖບ​ບ​ຣາ​ຊິນ​ (Brazil) ເທົ່າ​ນັ້ນ.

ເອກະສານອ້າງອີງ: 

  1.  https://www.techtalkthai.com/mnubot-banking-trojan-used-mssql-as-cc-server/
  2. https://www.bleepingcomputer.com/news/security/mnubot-banking-trojan-tries-to-hide-behind-seemingly-innocent-mssql-traffic/