News Update

News Update

ไวรัส "Plague" ภัยคุกคามใหม่ที่แฝงตัวในระบบ Linux!

 

ขณะที่ทั่วโลกกำลังจับตาภัยคุกคามไซเบอร์ที่หลากหลาย ทีมนักวิจัยด้านความปลอดภัยได้ออกมาเปิดเผยถึงไวรัสตัวใหม่ที่น่ากังวลอย่างยิ่งชื่อ "Plague" ซึ่งมุ่งเป้าโจมตีระบบปฏิบัติการ Linux โดยตรง ถือเป็นภัยเงียบที่อันตรายถึงขั้นสามารถยึดครองระบบได้อย่างสมบูรณ์

 

Plague คืออะไร และอันตรายอย่างไร?

 

Plague ไม่ใช่ไวรัสธรรมดาที่แพร่กระจายตัวอย่างรวดเร็ว แต่เป็นมัลแวร์ที่ออกแบบมาอย่างซับซ้อนเพื่อแฝงตัวเป็น PAM (Pluggable Authentication Modules) หรือโมดูลการยืนยันตัวตนของระบบ Linux ซึ่งเป็นหัวใจสำคัญของการล็อกอินทั้งหมด ตั้งแต่การเข้าสู่ระบบผ่าน SSH ไปจนถึงคำสั่ง Sudo

 

เมื่อมัลแวร์นี้ถูกติดตั้งสำเร็จ มันจะสร้าง ช่องทางลับ (backdoor) ให้ผู้โจมตีสามารถเข้าถึงระบบได้ตลอดเวลาโดยใช้รหัสผ่านที่ถูกกำหนดไว้ในตัวไวรัส ไม่ว่าผู้ดูแลระบบจะเปลี่ยนรหัสผ่านบ่อยแค่ไหนก็ตาม ช่องโหว่นี้ก็ยังคงอยู่ ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์แบบโดยที่ไม่มีใครรู้

 

รู้จักกับ "ไวรัส PAM" ภัยคุกคามที่อันตรายถึงแก่น

 

ไวรัสที่โจมตี PAM เป็นมัลแวร์ที่ไม่ได้มีจำนวนมาก แต่เมื่อปรากฏตัวขึ้นก็จะสร้างความเสียหายอย่างรุนแรง โดยมักจะแบ่งออกได้เป็นหลายประเภทตามวิธีการโจมตี เช่น:

  •     Backdoor PAM: มัลแวร์จะแก้ไขหรือแทนที่โมดูล PAM เพื่อสร้างช่องโหว่ให้ผู้โจมตีสามารถเข้าสู่ระบบได้โดยใช้รหัสผ่านพิเศษ หรือแม้แต่ไม่ต้องใช้รหัสผ่านเลย ซึ่ง Plague จัดอยู่ในกลุ่มนี้
  •     Credential Stealer: มัลแวร์ประเภทนี้จะดักจับชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้งานป้อนเข้าระหว่างการล็อกอิน เพื่อส่งข้อมูลเหล่านี้ไปให้ผู้โจมตีนำไปใช้ประโยชน์ในภายหลัง
  •     Rootkit PAM: เป็นมัลแวร์ที่ซับซ้อนที่สุด โดยจะฝังตัวลึกในระบบและใช้ PAM เป็นเครื่องมือในการปกปิดการทำงานของตัวเอง ทำให้ยากต่อการตรวจจับและกำจัด
 

มัลแวร์อย่าง Skidmap และ Plague เป็นตัวอย่างที่ชัดเจนของมัลแวร์ประเภทนี้ ซึ่งล้วนมีเป้าหมายเพื่อยึดครองสิทธิ์ในระบบและคงอยู่บนเซิร์ฟเวอร์ได้อย่างถาวร

 

จุดเด่นที่ทำให้ Plague น่ากังวล:

  •     หลีกเลี่ยงการตรวจจับ: Plague ใช้เทคนิคซับซ้อนในการเข้ารหัสโค้ดและป้องกันการวิเคราะห์ ทำให้เครื่องมือรักษาความปลอดภัยจำนวนมากตรวจจับได้ยากในช่วงแรกของการแพร่ระบาด
  •     คงอยู่ในระบบถาวร: เมื่อถูกติดตั้งแล้วมันจะฝังตัวอย่างลึกในระบบ ทำให้ยากต่อการค้นหาและกำจัด แม้จะมีการอัปเดตระบบหรือรีบูตเครื่องไปแล้วก็ตาม
  •     เป้าหมายหลักคือเซิร์ฟเวอร์ Linux: เนื่องจากเซิร์ฟเวอร์ส่วนใหญ่บนโลกนี้ใช้ Linux ทำให้ Plague เป็นภัยคุกคามร้ายแรงต่อโครงสร้างพื้นฐานดิจิทัลทั่วโลก
 

นักวิจัยพบตัวอย่างแรกของ Plague ตั้งแต่ช่วงกลางปี 2024 แต่เพิ่งจะมีการวิเคราะห์อย่างละเอียดและเปิดเผยข้อมูลออกมาเมื่อไม่นานมานี้ ซึ่งชี้ให้เห็นว่ามัลแวร์ตัวนี้มีการพัฒนาอย่างต่อเนื่อง

 

คำแนะนำสำหรับผู้ดูแลระบบ:

 

เพื่อป้องกันภัยคุกคามจาก Plague และมัลแวร์ที่คล้ายคลึงกัน ผู้ดูแลระบบควรตรวจสอบความปลอดภัยของเซิร์ฟเวอร์อย่างสม่ำเสมอ โดยเน้นที่การอัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเสมอ และใช้งานเครื่องมือตรวจจับภัยคุกคาม (IDS) ที่มีประสิทธิภาพ เพื่อป้องกันไม่ให้ผู้โจมตีสามารถเจาะเข้าระบบได้ตั้งแต่แรก

 

ในสถานการณ์ปัจจุบัน มัลแวร์ Plague ถือเป็นภัยคุกคามที่น่ากังวลอย่างยิ่ง เพราะมันถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus แบบดั้งเดิมได้อย่างมีประสิทธิภาพ

 

ข้อมูลจากการวิเคราะห์ของนักวิจัยด้านความปลอดภัยล่าสุดชี้ให้เห็นว่า ในช่วงแรกของการค้นพบ มัลแวร์ Plague มีอัตราการตรวจจับเป็น 0/66 (0 จาก 66 โปรแกรม Antivirus) บนแพลตฟอร์ม VirusTotal ซึ่งหมายความว่าไม่มีโปรแกรม Antivirus ใดๆ ที่สามารถระบุว่ามันเป็นอันตรายได้เลย

 

สาเหตุที่โปรแกรม Anti-Virus ทั่วไปตรวจจับได้ยาก

  •     เทคนิคการเข้ารหัสโค้ด (Obfuscation): Plague ใช้เทคนิคที่ซับซ้อนในการเข้ารหัสโค้ดและข้อมูลสำคัญ ทำให้โครงสร้างไฟล์ดูเหมือนโปรแกรมปกติทั่วไป และโปรแกรม Anti-Virus ที่ใช้ฐานข้อมูล "ลายเซ็น" (signatures) แบบเดิมจึงไม่สามารถตรวจจับได้
  •     ซ่อนตัวในโมดูลระบบ: มัลแวร์ตัวนี้ปลอมตัวเป็นไลบรารีของ PAM ซึ่งเป็นส่วนประกอบที่สำคัญของระบบ Linux ทำให้มันถูกโหลดขึ้นมาพร้อมกับระบบปฏิบัติการ และดูเหมือนเป็นกระบวนการที่ถูกต้องตามปกติ
  •     เน้นการทำงานในระดับพฤติกรรม (Behavioral-based Detection): การตรวจจับ Plague จึงต้องอาศัยโปรแกรม Anti-Virus ที่มีเทคโนโลยีขั้นสูงที่เรียกว่า Behavioral Analysis หรือการวิเคราะห์พฤติกรรม ซึ่งจะคอยตรวจสอบว่าโปรแกรมมีการทำงานที่น่าสงสัยหรือไม่ เช่น การแก้ไขไฟล์ระบบที่สำคัญ การสื่อสารกับเซิร์ฟเวอร์ที่ไม่รู้จัก หรือการพยายามสร้างช่องทางเข้าถึงแบบลับๆ
 

แบรนด์ Antivirus ที่อาจสามารถตรวจจับไวรัส Plague

 

แม้ว่าในช่วงแรก Plague จะสามารถหลีกเลี่ยงการตรวจจับได้เกือบทั้งหมด แต่ในปัจจุบันบริษัทด้านความปลอดภัยไซเบอร์หลายแห่งได้เพิ่ม signature และโมเดลการตรวจจับใหม่ๆ เข้าไปในผลิตภัณฑ์ของตนแล้ว โดยเฉพาะผลิตภัณฑ์ที่มุ่งเน้นการป้องกันภัยคุกคามขั้นสูงบนเซิร์ฟเวอร์ Linux และคลาวด์

 

โดยทั่วไปแล้ว ผลิตภัณฑ์จากแบรนด์ใหญ่ๆ ที่มีเทคโนโลยีการวิเคราะห์พฤติกรรมและอัปเดตฐานข้อมูลภัยคุกคามอย่างรวดเร็วมักจะมีโอกาสในการตรวจจับมัลแวร์ประเภทนี้ได้ดีกว่า เช่น:

  •     Sophos: มีเครื่องมือ Sophos Scan & Clean ที่เน้นการตรวจจับมัลแวร์ขั้นสูงที่สามารถหลีกเลี่ยงการป้องกันแบบปกติได้
  •     Bitdefender: เป็นที่รู้จักในด้านการตรวจจับแบบเชิงรุก (Proactive Detection) และการวิเคราะห์พฤติกรรม
  •     Kaspersky: มีผลิตภัณฑ์สำหรับองค์กรที่เน้นการป้องกันภัยคุกคามที่ซับซ้อนบนเซิร์ฟเวอร์ Linux
 

นอกจากนี้ ยังมีเครื่องมือด้านความปลอดภัยเฉพาะทางสำหรับ Linux โดยเฉพาะ เช่น Linux Malware Detect (LMD) และ Rootkit Hunter (rkhunter) ที่ผู้ดูแลระบบสามารถใช้ตรวจสอบและค้นหาสิ่งผิดปกติที่อาจเกิดขึ้นได้

 

ข้อควรจำที่สำคัญ: การพึ่งพา Anti-Virus เพียงอย่างเดียวอาจไม่เพียงพอสำหรับภัยคุกคามขั้นสูงอย่าง Plague การตรวจสอบระบบอย่างสม่ำเสมอ การอัปเดตแพทช์ความปลอดภัย และการจำกัดสิทธิ์การเข้าถึงของผู้ใช้งาน เป็นสิ่งจำเป็นอย่างยิ่งในการป้องกันภัยคุกคามในลักษณะนี้

share :

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept