งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

เมื่อวันที่ 15 ตุลาคม 2554 ไมโครซอฟท์ได้ประกาศว่ามีการแพร่ระบาดของมัลแวร์ชื่อ DuQu (CVE-2011-3402) โจมตีโดยอาศัยช่องโหว่ของไฟล์ win32k.sys ซึ่งเป็นส่วนที่ใช้สำหรับการแสดงผลรูปแบบตัวอักษร TrueType Font ของระบบปฏิบัติการ Windows ทุกเวอร์ชัน ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการสั่งการเครื่องคอมพิวเตอร์เป้าหมายจากระยะไกลเพื่อให้ประมวลผลคำสั่งที่เป็นอันตรายได้ ซึ่งคำสั่งดังกล่าวจะได้รับสิทธิในระดับเดียวกับ Kernel ของระบบปฏิบัติการ ส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม อ่าน เขียน หรือลบข้อมูล รวมทั้งสามารถสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิในระดับเดียวกับผู้ดูแลระบบ (Administrator) ได้ การโจมตีอาจจะมาในรูปแบบของอีเมล HTML ที่มีคำสั่งให้ดาวน์โหลดฟอนต์โดยอัตโนมัติ หรือมากับเอกสารไฟล์แนบซึ่งใช้ช่องโหว่ดังกล่าว [1]

จากการวิเคราะห์การทำงานของ DuQu โดยผู้เชี่ยวชาญ พบว่าเป็นมัลแวร์ประเภท โทรจัน (Trojan) ซึ่งผู้พัฒนาอาจเป็นกลุ่มเดียวกันกับกลุ่มที่พัฒนา Stuxnet เนื่องจากโค้ดหลายส่วนมีความคล้ายคลึงกัน แต่มีความแตกต่างกันตรงที่ DuQu มีจุดมุ่งหมายเพื่อการขโมยข้อมูลเท่านั้น และยังไม่พบว่ามีการทำงานที่เป็นการโจมตีระบบใดระบบหนึ่งเป็นพิเศษ ซึ่งแตกต่างจาก Stuxnet ที่มีเป้าหมายเพื่อโจมตีระบบโรงไฟฟ้านิวเคลียร์ของประเทศอิหร่านโดยเฉพาะ [2] [3]

การทำงาน

DuQu ใช้เทคนิคการฝังโค้ดที่เป็น Payload ลงในโปรเซส (Injects payload instructions) มีส่วนการทำงานหลักๆ อยู่ 2 ส่วน คือ การติดตั้ง และ การฝัง Payload โดยมีขั้นตอนการทำงานดังนี้ [3]

การติดตั้ง

DuQu จะติดตั้งไดรเวอร์ปลอมของอุปกรณ์โดยใช้ชื่อ JmiNET3.sys หรือ cmi4432.sys ซึ่งไดรเวอร์ดังกล่าวจะถูกโหลดให้เป็น Service ในทุกครั้งที่ Windows เริ่มทำงาน เครื่องที่ติด DuQu จะพบอุปกรณ์เหล่านี้อยู่ในระบบ

  • \Device\{3093AAZ3-1092-2929-9391}
  • \Device\Gpd1

การฝัง Payload

DuQu จะฝัง Payload ให้ติดไปกับโปรเซสอื่นๆ โดยจะอ่านค่าการทำงานจากข้อมูลที่ถูกเข้ารหัสลับไว้ในรีจิสทรี ซึ่งรีจิสทรีที่ถูกสร้างโดยมัลแวร์ มีดังนี้

  • HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER
  • HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER

รีจิสทรีดังกล่าว จะใช้ Payload จากไฟล์ที่ถูกสร้างโดยมัลแวร์ ดังนี้

  • %systemroot%\inf\netp191.PNF
  • %systemroot%\inf\cmi4432.PNF

วิธีการแก้ไข

ไมโครซอฟท์ได้ออกซอฟต์แวร์ Fix It หมายเลข 2639658 เพื่อปรับปรุงช่องโหว่ดังกล่าวเมื่อวันที่ 3 พฤศจิกายน 2554 [5] อย่างไรก็ตาม ซอฟต์แวร์นี้เป็นเพียงการปิดกั้นการเข้าถึงไฟล์ระบบที่มีช่องโหว่ (T2embed.dll) แต่ไม่ใช่การปรับปรุงแก้ไขปัญหา โดยไมโครซอฟท์แจ้งว่าจะออกแพทช์เพื่อแก้ปัญหานี้ผ่านทาง Windows Update ในภายหลัง [6] [7]

หากยังไม่ได้ทำการติดตั้งซอฟต์แวร์ปรับปรุงช่องโหว่ดังกล่าว ผู้ใช้สามารถจำกัดความเสียหายที่อาจเกิดขึ้นได้โดยการกำหนดค่าระดับ Security ในเว็บเบราว์เซอร์หรือโปรแกรมรับส่งอีเมลของไมโครซอฟท์ให้เป็น Restricted Zone เพื่อไม่ให้มีการดาวน์โหลดฟอนต์จากเว็บไซต์ภายนอกมาโดยอัตโนมัติ รวมถึงไม่เปิดไฟล์เอกสารที่แนบมากับอีเมลที่น่าสงสัย

ศูนย์วิจัย CrySyS จากประเทศฮังการี ได้ทำการวิเคราะห์การทำงานของ DuQu และได้ออกซอฟต์แวร์ DuQu Detector Toolkit เพื่อให้ผู้ดูแลระบบใช้ในการตรวจสอบเครื่องคอมพิวเตอร์และแก้ไขการทำงานของระบบที่ถูกเปลี่ยนแปลงให้กลับสู่สภาพเดิมได้ [8] ผู้ที่สนใจสามารถดาวน์โหลดซอฟต์แวร์ดังกล่าวได้ที่ http://www.crysys.hu/

ที่มา thaiCERT

ปรับปรุงข้อมูล : 1/1/2557 0:00:00     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6793

กลุ่มข่าวสาร : ข่าวกิจกรรม

ข่าวล่าสุด

Dugga - Digital Assessment Platform
Dugga - Digital Assessment Platform (https://www.dugga.com ผู้ช่วยคนสำคัญที่จะทำให้การสอบบนโลกออนไลน์ เป็นเรื่องที่ง่ายชูฟีเจอร์เด่น- ประเภทคำถามที่หลากหลายกว่า 15 ประเภท- ระบบความปลอดภัยขั้นสูงล็อกเครื่องกั้นโกง- ใช้งานร่วมกับ Microsoft Teams ได้อย่างไร้รอยต่อ- รองรับการเข้าสอบพร้อมกันได้ระดับหลักแสนคน- AI คุมสอบ ตรวจจับละเอียด พร้อมประเมินความเสี่ยงการทุจริตได้อย่างแม่นยำข่าวประชาสัมพันธ์• VDO อบรมการใช้งาน Dugga (วันที่ 4 กรกฎาคม 2567)คู่มือการใช้งานระบบ Dugga สำหรับอาจารย์คู่มือการใช้งานระบบ Dugga สำหรับนักศึกษาเกี่ยวกับ DUGGA          Dugga Digital Assessment หรือ Dugga (อ่านว่า ดุกก้า) เป็นแพลตฟอร์มการประเมินแบบดิจิทัลที่สามารถใช้ภายในโรงเรียนมัธยม มหาวิทยาลัย และองค์กรต่าง ๆ โดยแพลตฟอร์ม Dugga รองรับการใช้งานร่วมกับระบบปฏิบัติการทั่วไป เช่น Windows, Mac OS X, iPad OS และ Chrome OSการใช้งานสำหรับอาจารย์          1.เข้าที่ URL  https://auth.dugga.com/login จากนั้นเลือก Log in with Microsoft สามารถใช้งานผ่าน eMail มหาวิทยาลัยแม่โจ้
11 กรกฎาคม 2567     |      1970
วิธีการเปลี่ยนการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator
วิธีการเปลี่ยนการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticatorเครื่องมือที่ใช้ในการยืนยันตัวตน Multi-Factor Authentication (MFA) เป็นวิธีการในการยืนยันตัวตน โดยใช้การยืนยันตัวตนหลายอย่าง เพื่อให้เกิดความปลอดภัยมากยิ่งขึ้น โดยไม่ต้องผูกกับหมายเลขโทรศัพท์ ทำให้สะดวกในการใช้งานและมีความปลอดภัยมากขึ้น1. เข้า Email มหาวิทยาลัยแม่โจ้ https://www.office.comทำการลงชื่อผู้ใช้งานให้เรียบร้อย แล้วกดที่ Profile มุมขวาบน แล้วเลือก View account2. เลือก Security info3. ทำการลบ Sign-in method ที่ไม่จำเป็นออก เมื่อลบแล้วให้กด Add sign-in method4. เลือก Authenticator app กด Add5. ระบบจะแนะนำให้ผู้ใช้งานทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือ แล้วกด Next  ** ผู้ใช้งานสามารถเลือกติดตั้งได้ ตามระบบปฏิบัติการโทรศัพท์มือถือที่ใช้งานทั้ง Android และ iOS6. เมื่อทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือแล้ว กด Next7. เปิดโปรแกรม Microsoft Authenticator app ในโทรศัพท์มือถือ กดเพิ่มเครื่องหมาย +8. เลือก Work or school account แล้วเลือก Scan QR Code9. ทำการ Scan QR code ที่ปรากฎในหน้าจอ**หากไม่สามารถ Scan QR code ได้เนื่องจาก QR code หมดอายุ ให้คลิ๊ก Back แล้วกด Next เพื่อให้ QR Code แสดงใหม่แล้วทำการ Scan ใหม่อีกครั้ง10. เมื่อ Scan QR code บนโทรศัพท์มือถือสำเร็จ จะปรากฎชื่อบัญชีที่ตั้งค่าใน Microsoft Authenticator app และจะปรากฎชุดตัวเลข บนหน้าจอ11. ทำการกรอกตัวเลขไปยัง Microsoft Authenticator app บนโทรศัพท์มือถือ เพื่อยืนยันตัวตน แล้วกด Yes12. กด Next13. Microsoft Authenticator app ทำการยืนยันตัวตนสำเร็จแล้ว กด Done14. การยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator สำเร็จแล้ว สามารถเลือกวิธีการยืนยันตัวตนได้ โดยกด Change15. ค่าเริ่มต้นการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator คือ App based authentication - notification
17 กุมภาพันธ์ 2567     |      8344
การเปิดใช้งาน MFA Microsoft Authenticator
การเปิดใช้งาน MFA Microsoft Authenticatorเข้าใช้งานเว็บไซต์ https://www.office.com ทำการลงชื่อผู้ใช้งาน Sign in2. Login โดยใช้ username @mju.ac.th แล้วกด Next3. ใส่รหัสผ่าน Email แล้วกด Sign in4. กด Next เพื่อเข้าใช้งาน5. ระบบจะแนะนำให้ผู้ใช้งานทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือ แล้วกด Next  ** ผู้ใช้งานสามารถเลือกติดตั้งได้ ตามระบบปฏิบัติการโทรศัพท์มือถือที่ใช้งานทั้ง Android และ iOS6. เมื่อทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือแล้ว กด Next7. เปิดโปรแกรม Microsoft Authenticator app ในโทรศัพท์มือถือ กดเพิ่มเครื่องหมาย +8. เลือก Work or school account แล้วเลือก Scan QR Code9. ทำการ Scan QR code ที่ปรากฎในหน้าจอ**หากไม่สามารถ Scan QR code ได้เนื่องจาก QR code หมดอายุ ให้คลิ๊ก Back แล้วกด Next เพื่อให้ QR Code แสดงใหม่แล้วทำการ Scan ใหม่อีกครั้ง10. เมื่อ Scan QR code บนโทรศัพท์มือถือสำเร็จ จะปรากฎชื่อบัญชีที่ตั้งค่าใน Microsoft Authenticator app และจะปรากฎชุดตัวเลข บนหน้าจอ11. ทำการกรอกตัวเลขไปยัง Microsoft Authenticator app บนโทรศัพท์มือถือ เพื่อยืนยันตัวตน แล้วกด Yes12. กด Next13. Microsoft Authenticator app ทำการยืนยันตัวตนสำเร็จแล้ว กด Done14. เข้าใช้งาน MS365 ผ่านเว็บ Browser ได้
15 กุมภาพันธ์ 2567     |      11775
การถอนการติดตั้งโปรแกรม Adobe Creative Cloud
การถอนการติดตั้งโปรแกรม Adobe Creative Cloud ด้วย Creative Cloud Cleaner tool How and when to use the Creative Cloud Cleaner tool?ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOS ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ Windows)1. ทำการ ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows2. แตกไฟล์ zip คลิ๊กขวาเลือก Run as administrator3. เลือก e แล้วกด Enter4. พิมพ์ y กด Enter5. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) พิมพ์ 1 แล้วกด Enter6.ดูหมายเลข ของ Clean All. ใส่หมายเลขแล้วกด Enter 7.พิมพ์ y กด Enter เพื่อยืนยันการลบโปรแกรม เมื่อเสร็จแล้วกด Enter ออกจากโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud  ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ macOS)ทำการดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOSแตกไฟล์ zip แล้ว Double Click เพื่อติดตั้งโปรแกรม กด Open3. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) กด Clean All4. เมื่อทำการถอนการติตตั้งเสร็จ ปิดโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud 
13 พฤศจิกายน 2566     |      8930