เกร็ดน่ารู้ เรื่อง Fileless Malware ภัยมืดที่ไม่สามารถมองได้เห็น
เมื่อไม่นานมานี้มีการค้นพบ Malware สายพันธุ์ใหม่ที่ไม่เพียงแต่เป็นการหลอกลวง หรือซ่อนเร้นการโจมตีให้อยู่ในรูปแบบต่างๆ แต่ได้เข้าไปทำงานอยู่ในระดับหน่วยความจำ (RAM หรือ Memory) ของเครื่องที่โจมตี มาแล้วทั้งธนาคาร บริษัทห้างร้าน รวมถึง องค์กรระดับใหญ่ในไม่กี่เดือนที่ผ่านมา ซึ่งจากวิวัฒนาการในครั้งนี้ของเจ้า Malware สายพันธุ์ใหม่ทำให้การค้นหาตัวของ Malware ยากยิ่งขึ้น
Fileless Malware คือชื่อเรียกอย่างเป็นทางการของ Malware สายพันธุ์ใหม่ที่จะเริ่มมาป่วนวงการ Endpoint Protection และวงการ Antivirus มากขึ้น ในปัจจุบันตัวที่พบอยู่ในระบบของ Enterprise ถูกกำจัดไปได้เพียงไม่ถึง 30% ของที่มีทั้งหมดในโลกเท่านั้น!!!
การที่ Malware สายพันธุ์นี้ถูกขนานนามว่าเป็น Fileless Malware เนื่องจาก รูปแบบการทำงานจะไม่เหมือนกับ Malware ที่เราเคยรู้กันว่าจะปรากฏตัวอยู่ในรูปของไฟล์และหลอกลวงให้ผู้ใช้งานไปทำการ Activate ขบวนการการทำงานขึ้นมา แต่ใน ทางกลับกันเจ้า Fileless Malware นี้จะซ่อนตัวอยู่ใน Memory ทำ Antivirus หรือ Antimalware แบบเดิมๆ ที่มีอยู่ไม่สามารถค้นหาได้เนื่องจากเกือบจะ 100% เป็นการค้นหา Malware ที่อยู่ในรูปแบบของ Filebase เท่านั้น
Malware ที่อยู่ในสายพันธุ์นี้ล่าสุด เพิ่งถูกค้นพบจากกลุ่มธนาคารที่ค้นพบว่า มีการโจมตีบางอย่างเกิดขึ้นใน Memory ของเครื่อง Domain Controller ที่เป็น ตัวหลักของธนาคารกว่า 40 ประเทศ อาทิ สหรัฐอเมริกา อังกฤษ ฝรั่งเศส และอื่นๆ ปัจจุบันยังไม่พบการป้องกัน Malware สายพันธุ์นี้ได้แบบ 100% แต่สามารถลดโอกาสการเกิดเหตุการณ์ได้โดยวิธีการ ดังนี้
1.ปิดช่องโหว่ต่างๆ ด้วยวิธีติดตั้ง Patches ให้กับระบบต่างๆ อย่างสม่ำเสมอ 2.จำกัดสิทธิในการเข้าถึงเครื่อง Server หลักขององค์กร หรือจำกัดการเข้าใช้ด้วยวิธีการติดตั้งเครื่องมือเฉพาะทางให้กับผู้ใช้งาน 3.ติดตั้งเครื่องมือป้องกัน in-Memory Attack ซึ่งหาได้จาก Antimalware บางค่าย และ 4.จำกัดสิทธิให้กับ Application เพื่อไม่ให้การเชื่อมต่อจาก Application ที่ไม่จำเป็นและสุ่มเสี่ยงที่อยู่ในระบบองค์กรสามารถเข้าถึงเครื่อง Server หลักได้
ที่มา: หนังสือพิมพ์โพสต์ทูเดย์ วันที่ 23 มีนาคม 2560
