ภัยคุกคามใหม่! ช่องโหว่ Zero-Day พุ่งเป้าระบบ Linux ด้วยมัลแวร์ Rootkit
FortiGuard หน่วยงานวิจัยด้านความปลอดภัยไซเบอร์ภายใต้บริษัท Fortinet ได้เปิดเผยข้อมูลสำคัญเกี่ยวกับการค้นพบมัลแวร์ Rootkit ซึ่งใช้ช่องโหว่ Zero-Day โจมตีระบบปฏิบัติการ Linux โดยเฉพาะในองค์กรขนาดใหญ่ มัลแวร์ชนิดนี้มีความสามารถในการเข้าถึงระบบระดับแกนกลาง (Kernel) ของ Linux ซึ่งส่งผลกระทบต่อความปลอดภัยในระดับสูง
การโจมตีเริ่มต้นด้วยการรัน Shell Script ชื่อ Install.sh ซึ่งมีการผนวกรวมไฟล์สำคัญสองไฟล์ ได้แก่ sysinitd.ko (ไฟล์ระดับ Kernel) และ sysinitd (ไฟล์ User-Space Binary) เมื่อแฮกเกอร์ประสบความสำเร็จในการเข้าถึงระบบเป้าหมายผ่านทางพอร์ต TCP สคริปต์ Install.sh จะถูกเรียกใช้งานเพื่อฝังไฟล์ sysinitd.ko ลงในแกนกลางของระบบ พร้อมกับรันคำสั่ง insmod ซึ่งจะทำให้มัลแวร์ฝังตัวเข้าไปในระบบเป้าหมายอย่างถาวร
เมื่อมัลแวร์ถูกติดตั้งสำเร็จ จะมีการสร้าง File Entries พิเศษในระบบ ได้แก่ /proc/abrtinfo, /proc/brtinfo, และ /proc/rtinfo ซึ่งแต่ละไฟล์มีหน้าที่เฉพาะตัวในการช่วยให้มัลแวร์สามารถควบคุมและสื่อสารกับระบบได้โดยสมบูรณ์ โดย /proc/abrtinfo ทำหน้าที่เป็นช่องทางสำหรับรับคำสั่งและข้อมูลเพื่อส่งไปยังกระบวนการใน User-Space, /proc/brtinfo ใช้สำหรับดักจับข้อมูลที่ออกจากระบบ, และ /proc/rtinfo ใช้ควบคุมคำสั่งและกระบวนการต่าง ๆ ภายในระบบ
มัลแวร์ชนิดนี้ยังมีคุณสมบัติที่โดดเด่นและน่ากังวล เช่น การเข้ารหัสแพ็คเกจข้อมูลเพื่อเพิ่มความปลอดภัยในการสื่อสารของแฮกเกอร์ ซึ่งสามารถเปิดหรือปิดการเข้ารหัสนี้ได้ตามความต้องการ นอกจากนี้ มัลแวร์ยังสามารถซ่อนตัวในระบบได้อย่างแนบเนียน โดยไฟล์ sysinitd จะปลอมตัวเป็นกระบวนการ Bash Process ทำให้หลบเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัยทั่วไปได้อย่างมีประสิทธิภาพ
หนึ่งในความสามารถที่ร้ายแรงที่สุดของมัลแวร์นี้คือการยึดครอง TCP Sessions จากโปรโตคอลต่าง ๆ เช่น HTTPS, SSH, และ FTP ผ่านเทคนิคการโจมตีแบบ Three-Way Handshake ซึ่งช่วยให้แฮกเกอร์สามารถสื่อสารและควบคุมระบบเป้าหมายได้โดยตรง อีกทั้งยังมีการเรียกใช้งานโมดูล NF_INET_PRE_ROUTING เพื่อแทรกแซงและดักจับแพ็คเกจข้อมูลที่ถูกนำเข้าและส่งออกจากระบบ พร้อมทั้งคัดกรองแพ็คเกจสำหรับการโจมตี (Attack-init) ซึ่งถูกออกแบบมาโดยเฉพาะเพื่อใช้สื่อสารกับมัลแวร์
ในส่วนของการป้องกัน FortiGuard แนะนำว่าผู้ดูแลระบบควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้ทันสมัยอยู่เสมอ รวมถึงตรวจสอบโฟลเดอร์ /proc อย่างเข้มงวด โดยต้องจำกัดการเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น และควรตรวจสอบการรับส่งข้อมูลของระบบเครือข่ายอย่างละเอียดเพื่อตรวจจับความผิดปกติที่อาจเกิดขึ้น
ทั้งนี้ ภัยคุกคามนี้ชี้ให้เห็นถึงความซับซ้อนและอันตรายของมัลแวร์ในปัจจุบัน ซึ่งมุ่งเป้าโจมตีระบบปฏิบัติการ Linux ในองค์กรระดับใหญ่ ผู้ดูแลระบบและทีมรักษาความปลอดภัยไซเบอร์จึงต้องเฝ้าระวังอย่างใกล้ชิด เพราะหากปล่อยให้ช่องโหว่นี้ถูกโจมตีสำเร็จ อาจก่อให้เกิดความเสียหายที่ยากจะประเมินค่าได้
<< ติดตามหนังดี ซีรีส์ดังก่อนใครได้ที่ www.uhdmax.net | www.inwiptv.org >>