ฟีเจอร์แฝงที่ไม่ได้ถูกเปิดเผย: ช่องโหว่ของซอฟต์แวร์ไฟล์เอกสารยอดนิยมที่ผู้ร้ายไซเบอร์ใช้เหวี่ยงแหหาเหยื่อ
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบฟีเจอร์ในซอฟต์แวร์สร้างเอกสารยอดนิยม ถูกใช้โดยมิจฉาชีพเป็นช่องทางโจมตีแบบมีเป้าหมาย โดยใช้แอพพลิเคชั่นร้ายที่จะเริ่มการทำงานเมื่อเอกสารออฟฟิศธรรมดาๆ ถูกเปิดขึ้น จากนั้นข้อมูลเกี่ยวกับซอฟต์แวร์ที่มีติดตั้งอยู่บนเครื่องของเหยื่อจะถูกส่งต่อไปยังมิจฉาชีพโดยอัตโนมัติ พวกมิจฉาชีพจึงเข้าใจเครื่องของเหยื่อมากขึ้น และสามารถเลือกใช้ exploit ที่เหมาะจะเจาะเข้าเป้าหมายอย่างได้ผล
มัลแวร์เหล่านี้มีเทคนิคการโจมตีได้ทั้งบนเดสก์ทอปและเครื่องโมบาย ไม่ว่าไฟล์เอกสารธรรมดาๆ นั้นจะเปิดขึ้นมาบนอุปกรณ์ประเภทใดก็ตาม แคสเปอร์สกี้ แลปสังเกตพบว่ารูปแบบการเหวี่ยงแหหาโปรไฟล์ของเหยื่อด้วยวิธีการเช่นนี้ ตัวแอคเตอร์จารกรรมไซเบอร์ ที่ทางแคสเปอร์สกี้ แลปเรียกว่า FreakyShelly เป็นตัวที่ใช้วิธีการนี้ และได้แจ้งเตือนไปยังซอฟต์แวร์เวนเดอร์แล้ว แต่ยังมิได้ทำการแก้ไขช่องโหว่เหล่านั้นให้เป็นที่เรียบร้อยแต่อย่างใด
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลปเคยตรวจจับการส่งอีเมลแบบสเปียร์ฟิชชิ่งที่มีเอกสารในฟอร์แมท OLE2 ในช่วงที่กำลังทำการสืบสวนการโจมตีแบบมีเป้าหมาย FreakyShelly อยู่ (ฟอร์แมทแบบนี้ใช้เทคโนโลยี Object Linking และ Embedding ที่ช่วยบรรดาแอพทั้งหลายในการสร้าง compound documents ที่ภายในมีข้อมูลจากแหล่งที่ต่างกัน รวมทั้งที่มาจากอินเตอร์เน็ตด้วย) จากการดูคร่าวๆ พบว่าตัวไฟล์นั้นมิได้ดูน่าสงสัยหรือไม่น่าวางใจแต่อย่างใด เป็นไฟล์ที่มีเซ็ตคำแนะนำวิธีการใช้กูเกิ้ลเสิร์ชเอ็นจิ้นให้ได้ประโยชน์สูงสุดที่ดูเป็นประโยชน์ดีอยู่ แต่ไฟล์กลับแฝง exploits หรือแมคโครไม่ดีที่ไม่เป็นที่รู้จักอยู่ด้วย และเมื่อศึกษาพฤติกรรมของไฟล์เอกสารเช่นนี้พบว่า เมื่อเปิดไฟล์เอกสาร จะทำการส่ง GET รีเควสต์เฉพาะ ไปหาเว็บเพจที่อยู่ภายนอกองค์กร ซึ่งเป็น GET รีเควสต์ที่มีข้อมูลเกี่ยวกับบราวเซอร์ และเวอร์ชั่นของระบบปฏิบัติการ ข้อมูลซอฟต์แวร์ที่อยู่บนเครื่องหรืออปุกรณ์ที่เปิดไฟล์เอกสารนั้นที่ได้ตกเป็นเหยื่อไปแล้ว ปัญหาของคุณก็คือเว็บเพจที่เอกสารได้ส่งรีเควสต์ไปนั้นไม่ใช่ที่ที่จะต้องส่งรีเควสต์ไปเสียหน่อย
การวิจัยเพิ่มเติมของแคสเปอร์สกี้ แลปพบว่าสาเหตุที่การคุกคามเช่นนี้ได้ผล เพราะวิธีการประมวลผลข้อมูลเทคนิคอลขององค์ประกอบที่อยู่ในไฟล์และการเก็บข้อมูลนั่นเอง ไฟล์เอกสารแต่ละไฟล์จะประกอบด้วยเมตาดาต้าเฉพาะตัว เช่น สไตล์, เท็กซ์โลเคชั่นและต้นทาง, รูปภาพประกอบในเอกสาร (ถ้ามี) มาจากที่ใด และพารามิเตอร์แวดล้อมอื่นๆ เป็นต้น เมื่อเปิดไฟล์ขึ้น ออฟฟิศแอพพลิเคชั่นจะอ่านค่าเหล่านี้ จากนั้นสร้างแปลน หรือ “map” โดยอิงค่าพารามิเตอร์เหล่านี้ อาทิ ค่าที่ชี้ไปยังโลเคชั่นของภาพในไฟล์เอกสาร ซึ่งเป็นช่องทางที่มิจฉาชีพไซเบอร์จะเปลี่ยนโค้ดและส่งรายงานกลับไปยังเว็บเพจของผู้กระทำการนั่นเอง
“แม้ว่าฟีเจอร์ที่ถูกค้นพบนี้จะไม่ใช่ตัวเปิดฉากโจมตีของมัลแวร์ แต่ก็มีอันตรายมาก เพราะเป็นตัวที่สนับสนุนการคุกคามโดยที่ยูสเซอร์เจ้าของเครื่องไม่ต้องกดปุ่มหรือทำอะไรเลย แถมยังแพร่กระจายสู่คนหมู่มากได้ทั่วโลกด้วยช่วงระยะเวลาอันสั้น ด้วยความที่ซอฟต์แวร์เอกสารที่ว่านี้เป็นที่นิยมใช้กันทั่วไปนั่นเอง ยังดีที่ ณ ตอนนี้เราพบว่ามีการใช้ฟีเจอร์นี้เพียงครั้งเดียว แต่น่ากังวลใจมากเพราะว่าฟีเจอร์นี้ตรวจจับได้ยาก จึงพอคาดเดาได้ว่าพวกมิจฉาชีพไซเบอร์คงจ้องหาทางใช้เทคนิคนี้อยู่ในอนาคตอันใกล้แน่นอน” อเล็กซานเดอร์ ลิสคิน ผู้จัดการกลุ่ม Heuristic Detection Group แคสเปอร์สกี้ แลป กล่าว
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลปตรวจจับและบล็อกกั้นการคุกคามได้ด้วยการใช้เทคนิคต่อไปนี้ และเพื่อช่วยลดอัตราการตกเป็นเหยื่อของฟีเจอร์ดังที่กล่าวมาแล้ว ต่อไปนี้เป็นคำแนะนำของผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป:
- หลีกเลี่ยงการเปิดอีเมลที่ส่งมาจากแอดเดรสที่ไม่รู้จักคุ้นเคย และหลีกเลี่ยงการเปิดเอกสารที่แนบมากับอีเมลนั้นๆ;
- ติดตั้งใช้โซลูชั่นเพื่อความปลอดภัยที่ไว้วางใจได้ มีความเสถียร สามารถจะตรวจจับการคุกคามดังกล่าวได้ อาทิ โซลูชั่นจากแคสเปอร์สกี้ แลป
ท่านสามารถอ่านรายงานการวิจัยฉบับสมบูรณ์ได้ที่ Securelist blogpost ซึ่งจะประกอบด้วยรายละเอียดเชิงเทคนิคของฟีเจอร์ที่กล่าวถึงด้วย https://securelist.com/an-undocumented-word-feature-abused-by-attackers/81899/