ระวังภัย มัลแวร์ DuQu โจมตีวินโดวส์ด้วยฟอนต์ 1

เมื่อวันที่ 15 ตุลาคม 2554 ไมโครซอฟท์ได้ประกาศว่ามีการแพร่ระบาดของมัลแวร์ชื่อ DuQu (CVE-2011-3402) โจมตีโดยอาศัยช่องโหว่ของไฟล์ win32k.sys ซึ่งเป็นส่วนที่ใช้สำหรับการแสดงผลรูปแบบตัวอักษร TrueType Font ของระบบปฏิบัติการ Windows ทุกเวอร์ชัน ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการสั่งการเครื่องคอมพิวเตอร์เป้าหมายจากระยะไกลเพื่อให้ประมวลผลคำสั่งที่เป็นอันตรายได้ ซึ่งคำสั่งดังกล่าวจะได้รับสิทธิในระดับเดียวกับ Kernel ของระบบปฏิบัติการ ส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม อ่าน เขียน หรือลบข้อมูล รวมทั้งสามารถสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิในระดับเดียวกับผู้ดูแลระบบ (Administrator) ได้ การโจมตีอาจจะมาในรูปแบบของอีเมล HTML ที่มีคำสั่งให้ดาวน์โหลดฟอนต์โดยอัตโนมัติ หรือมากับเอกสารไฟล์แนบซึ่งใช้ช่องโหว่ดังกล่าว [1]

จากการวิเคราะห์การทำงานของ DuQu โดยผู้เชี่ยวชาญ พบว่าเป็นมัลแวร์ประเภท โทรจัน (Trojan) ซึ่งผู้พัฒนาอาจเป็นกลุ่มเดียวกันกับกลุ่มที่พัฒนา Stuxnet เนื่องจากโค้ดหลายส่วนมีความคล้ายคลึงกัน แต่มีความแตกต่างกันตรงที่ DuQu มีจุดมุ่งหมายเพื่อการขโมยข้อมูลเท่านั้น และยังไม่พบว่ามีการทำงานที่เป็นการโจมตีระบบใดระบบหนึ่งเป็นพิเศษ ซึ่งแตกต่างจาก Stuxnet ที่มีเป้าหมายเพื่อโจมตีระบบโรงไฟฟ้านิวเคลียร์ของประเทศอิหร่านโดยเฉพาะ [2] [3]

การทำงาน

DuQu ใช้เทคนิคการฝังโค้ดที่เป็น Payload ลงในโปรเซส (Injects payload instructions) มีส่วนการทำงานหลักๆ อยู่ 2 ส่วน คือ การติดตั้ง และ การฝัง Payload โดยมีขั้นตอนการทำงานดังนี้ [3]

การติดตั้ง

DuQu จะติดตั้งไดรเวอร์ปลอมของอุปกรณ์โดยใช้ชื่อ JmiNET3.sys หรือ cmi4432.sys ซึ่งไดรเวอร์ดังกล่าวจะถูกโหลดให้เป็น Service ในทุกครั้งที่ Windows เริ่มทำงาน เครื่องที่ติด DuQu จะพบอุปกรณ์เหล่านี้อยู่ในระบบ

• \Device\{3093AAZ3-1092-2929-9391}
• \Device\Gpd1

การฝัง Payload

DuQu จะฝัง Payload ให้ติดไปกับโปรเซสอื่นๆ โดยจะอ่านค่าการทำงานจากข้อมูลที่ถูกเข้ารหัสลับไว้ในรีจิสทรี ซึ่งรีจิสทรีที่ถูกสร้างโดยมัลแวร์ มีดังนี้

• HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER
• HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER

รีจิสทรีดังกล่าว จะใช้ Payload จากไฟล์ที่ถูกสร้างโดยมัลแวร์ ดังนี้

• %systemroot%\inf\netp191.PNF
• %systemroot%\inf\cmi4432.PNF

วิธีการแก้ไข

ไมโครซอฟท์ได้ออกซอฟต์แวร์ Fix It หมายเลข 2639658 เพื่อปรับปรุงช่องโหว่ดังกล่าวเมื่อวันที่ 3 พฤศจิกายน 2554 [5] อย่างไรก็ตาม ซอฟต์แวร์นี้เป็นเพียงการปิดกั้นการเข้าถึงไฟล์ระบบที่มีช่องโหว่ (T2embed.dll) แต่ไม่ใช่การปรับปรุงแก้ไขปัญหา โดยไมโครซอฟท์แจ้งว่าจะออกแพทช์เพื่อแก้ปัญหานี้ผ่านทาง Windows Update ในภายหลัง [6] [7]

หากยังไม่ได้ทำการติดตั้งซอฟต์แวร์ปรับปรุงช่องโหว่ดังกล่าว ผู้ใช้สามารถจำกัดความเสียหายที่อาจเกิดขึ้นได้โดยการกำหนดค่าระดับ Security ในเว็บเบราว์เซอร์หรือโปรแกรมรับส่งอีเมลของไมโครซอฟท์ให้เป็น Restricted Zone เพื่อไม่ให้มีการดาวน์โหลดฟอนต์จากเว็บไซต์ภายนอกมาโดยอัตโนมัติ รวมถึงไม่เปิดไฟล์เอกสารที่แนบมากับอีเมลที่น่าสงสัย

ศูนย์วิจัย CrySyS จากประเทศฮังการี ได้ทำการวิเคราะห์การทำงานของ DuQu และได้ออกซอฟต์แวร์ DuQu Detector Toolkit เพื่อให้ผู้ดูแลระบบใช้ในการตรวจสอบเครื่องคอมพิวเตอร์และแก้ไขการทำงานของระบบที่ถูกเปลี่ยนแปลงให้กลับสู่สภาพเดิมได้ [8] ผู้ที่สนใจสามารถดาวน์โหลดซอฟต์แวร์ดังกล่าวได้ที่ http://www.crysys.hu/

ที่มา thaiCERT