ระวัง!! พบช่องโหว่ใน Microsoft Office ทำให้ Hacker สามารถใช้เพื่อกระจายมัลแวร์ได้

ตามรายงานของ FireEye Hacker จะใช้ประโยชน์จากช่องโหว่ทั้ง 3 นี้ผ่านทาง Microsoft Office โดยจะเรียกใช้ Script PowerShell บนเครื่องของเหยื่อ จากนั้นจะทำการดาวน์โหลดข้อมูลที่ถูกส่งไปแล้วจากเครื่อง (C&C Server) โดยช่องโหว่ที่พบได้แก่

1. ช่องโหว่ .NET Framework RCE (CVE-2017-8759) ช่องโหว่นี้เกิดจากการประมวลผลของ Microsoft .NET ที่ไม่ถูกต้อง โดย Hacker จะสร้างไฟล์เอกสารขึ้นมา แล้วส่งอีเมลไปยังผู้ใช้ หากผู้ใช้เปิดไฟล์เอกสารที่ Hacker ส่งมาจะสามารถทำให้ Hacker ใช้ช่องโหว่นี้เข้าควบคุมระบบได้ ในตอนนี้ทาง Microsoft ได้ทำการอุดช่องโหว่นี้เป็นที่เรียบร้อยแล้ว
2. ช่องโหว่ Microsoft Office RCE (CVE-2017-11882) เป็นช่องโหว่ทางด้านความจำ 17 ปี ของแพตช์อัปเดตเดือนพฤศจิกายน ช่องโหว่นี้จะเกิดขึ้นเมื่อผู้ใช้เปิดเอกสารที่ Hacker สร้างขึ้น จากนั้น Hacker ก็จะแทรกโค้ดที่เป็นอันตรายไปยังระบบที่ต้องการได้โดยไม่ต้องใช้การปฏิสัมพันธ์กับผู้ใช้เลย
3. ช่องโหว่ Dynamic Data Exchange Protocol (DDE Exploit) ช่องโหว่นี้ช่วยให้ Hacker สามารถใช้ Feature ที่มีใน Microsoft Office หรือที่เรียกกันว่า DDE ทำให้ Hacker สามารถรันโค้ดบนเครื่องของเหยื่อได้ โดยที่ไม่ต้องเปิดใช้งาน Macro หรือสร้างความเสียหายให้กับหน่วยความจำ

Hacker จะใช้ประโยชน์จากช่องโหว่ทั้ง 3 แบบนี้เพื่อส่ง Zyklon ผ่านทางอีเมล์ไปยังเครื่องผู้ใช้ ปกติแล้ว Zyklon จะมาพร้อมกับไฟล์ ZIP ที่แนบไฟล์ Office doc มาด้วย เมื่อผู้ใช้เปิดไฟล์ Doc ที่แนบมัลแวร์มาเหล่านี้มาด้วย มันจะทำการรัน Script PowerShell ทันที จากนั้นจะทำการดาวน์โหลดข้อมูล โดยที่ข้อมูลที่ต้องส่งทั้งหมด คือ มัลแวร์ Zyklon HTTP ลงในเครื่องของเหยื่อ นักวิจัย FireEye ยังกล่าวอีกว่า “ด้วยเทคนิคทั้งหมดนี้ โดเมนเดียวกันจะใช้เพื่อส่งข้อมูลในระดับถัดไป (Pause.ps1) ซึ่ง Script PowerShell อีกอันหนึ่งจะเข้าสู่ Base 64 โดยที่ Pause.ps1 เป็น Script ที่ใช้แก้ไข API ที่ใช้ในการแทรกโค้ด และยังรวมถึงการเข้ารหัสอีกด้วย ซึ่งการเข้ารหัสนี้จะตอบสนองก็ต่อเมื่อมีการดาวน์โหลดข้อมูลที่ต้องส่งทั้งหมดจาก Server ซึ่งข้อมูลที่ต้องส่งทั้งหมดเป็นไฟล์ PE (Portable Executable – ที่สามารถเปลี่ยนแปลงรูปแบบการใช้งานตัวเองได้) ที่คอมไพล์ด้วย .Net framework” สิ่งที่น่าสนใจอยู่ตรงที่ Script PowerShell จะเชื่อมต่อกับ IP ที่ไม่มีจุด เช่น http://3627732942 เพื่อดาวน์โหลดข้อมูลที่ต้องส่งทั้งหมด IP ที่ไม่มีจุดคือ? IP ที่ไม่มีจุดบางครั้งก็เรียกว่า ‘Decimal Address’ ซึ่งเป็น IPv4 Address ( คือ เลขฐานสอง 8 bit 4 ชุด เป็น 32 bit เวลาใช้จะใช้เป็นเลขฐาน 10 คั่นด้วยจุด เช่น 216.58.207.206) ปัจจุบันเว็บส่วนใหญ่จะแก้ IP ที่เป็นจุดทศนิยมเป็นที่อยู่ IPv4 เมื่อเปิดด้วย “http: //” ตามด้วยค่าทศนิยม เช่น ที่อยู่ IP ของ Google 216.58.207.206 สามารถแสดงเป็น http: // 3627732942 Zyklon เป็นมัลแวร์ที่พบเมื่อประมาณต้นปี 2016 ตัวของ Zyklon นั้นเป็นมัลแวร์ Botnet HTTP ที่เชื่อมต่อกับ Server Command and Control (C&C Server) โดยผ่านเครือข่ายที่ไม่ระบุตัวตนของ Tor ทำให้ Hacker สามารถขโมย keylogs, ข้อมูลที่สำคัญ เช่น รหัสผ่านที่เก็บไว้ใน Web Browser หรือ รหัสผ่านอีเมล์ Zyklon รุ่นต่างๆ ที่พบก่อนหน้านี้เป็นที่นิยมในตลาดมืด โดย Zyklon ที่สร้างขึ้นมาแบบธรรมดา มีราคาขายที่ 75 เหรียญ ส่วน Zyklon ที่สามารถเปิดใช้งาน Tor ราคาขายอยู่ที่ 125 เหรียญ ในตอนนี้วิธีที่ดีที่สุด สำหรับการป้องกันการโจมตีจาก Zyklon ก็คือ ไม่ควรเปิดเอกสารที่ส่งผ่านมาทางอีเมล หรือลิงค์จากเอกสารที่สงสัยว่าจะเป็นมัลแวร์ จนกว่าจะทำการตรวจสอบว่าปลอดภัยแน่นอน 100% สิ่งที่สำคัญที่สุดคือ ต้องคอยทำการอัปเดต Software และระบบอยู่เสมอ