กรุงเทพฯ--15 ส.ค.--คอร์ แอนด์ พีค
เมื่อเร็วๆ นี้ มีการค้นพบการแพร่ระบาดทางเว็บล่าสุด โดยอาศัยช่องโหว่ “iFrame” ของเว็บไซต์ทั่วไป ทำการแทรกโค้ดร้ายเข้าสู่เว็บไซต์ปกติอื่นๆ ซึ่งอุปกรณ์ป้องกันไวรัส เทรนด์ ไมโคร ออฟฟิศสแกน และเทรนด์ ไมโคร อินเทอร์เน็ต ซิเคียวริตี้ และผลิตภัณฑ์เกตเวย์ และเมล์เซิร์ฟเวอร์สามารถตรวจจับและป้องกันโค้ดร้ายดังกล่าวได้
บริษัท เทรนด์ ไมโคร อินคอร์ปอเรท (ชื่อในตลาดหุ้นโตเกียว: 4704) ผู้นำด้านซอฟต์แวร์ และการบริการด้านการป้องกันไวรัสบนเครือข่าย และระบบรักษาความปลอดภัยข้อมูลบนอินเทอร์เน็ต เปิดเผยว่าการแพร่ระบาดที่เพิ่มขึ้นเมื่อเร็วๆ นี้ของเว็บไซต์ในอิตาลี ได้สร้างโค้ดร้ายจำนวนมากที่ผลิตคีย์ล็อกเกอร์เพื่อขโมยรหัสผ่านผู้ใช้หรือเปลี่ยนคอมพิวเตอร์ให้เป็นพร็อกซี่เซิร์ฟเวอร์สำหรับการโจมตีอื่นๆ ที่หลากหลายรูปแบบ ข้อมูลของบริษัท เทรนด์ ไมโคร ระบุว่าผู้ใช้นับหมื่นรายทั่วโลกเข้าถึงยูอาร์แอลที่เป็นอันตรายนี้ โดยไม่รู้ตัวว่าการท่องเว็บในรูปแบบปกติของพวกเขาก่อให้เกิดภัยคุกคามบนเว็บขึ้นแล้ว ในเริ่มแรกนั้นมัลแวร์ในรูปเอชทีเอ็มแอล (HTML) จะใช้ช่องโหว่ที่เรียกว่า "iFrames" ที่เว็บไซต์หลายแห่งนำไปใช้งาน และช่องโหว่นี้สามารถนำไปหาประโยชน์ในทางที่ผิดได้ด้วย นักวิจัยของบริษัท เทรนด์ ไมโคร เชื่อว่าในเบื้องต้น อาจเป็นการโจมตีโดยอัตโนมัติ ที่สร้างขึ้นจากชุดสร้างโทรจันคอมพิวเตอร์
การทำงานของภัยร้ายนี้ จะเริ่มขึ้นเมื่อมีการเข้าสู่หน้าเว็บไซต์ของอิตาลีที่ติดเชื้อ จากนั้นระบบก็จะส่งผู้เยี่ยมชมไปยังโฮสต์ที่เป็นห่วงโซ่ของการดาวน์โหลดมัลแวร์ร้ายต่างๆ ตามลำดับ
ในขณะที่ Trend Micro HouseCall (www.trendmicro.com/housecall) สามารถตรวจพบ และล้างคอมพิวเตอร์ที่ติดเชื้อได้ ทั้งนี้ด้วยคุณสมบัติของเทรนด์ ไมโคร อินเทอร์เน็ต ซิเคียวริตี้ และออฟฟิศสแกน 8.0 รวมถึงผลิตภัณฑ์เมล์เซิร์ฟเวอร์ และเกตเวย์ สามารปิดกั้นและกำจัดโทรจันหลากหลายชนิด และมัลแวร์ที่เกี่ยวเนื่องกับการติดเชื้อดังกล่าวได้ ด้วยความสามารถของบริษัท เทรนด์ ไมโครในการป้องกันการโจมตีเหล่านี้ เป็นไปตามยุทธศาสตร์การป้องกันภัยคุกคามบนเว็บอย่างสมบูรณ์ ซึ่งเป็นนวัตกรรมของบริษัท
ด้วยกลไกการแพร่ระบาดที่มาในรูปของห่วงโซ่ที่สลับซับซ้อนโดยอาศัยเจ้าของเว็บไซต์ที่ไม่รู้ว่าตนเองตกอยู่ในอันตรายและผู้ใช้เว็บไซต์ที่ไม่ระแวดระวังในการท่องเว็บที่ดูเหมือนว่าเป็นเว็บที่ปกติ ซึ่งทั้งหมดนี้ทำให้เครื่องคอมพิวเตอร์ของผู้ใช้งานติดเชื้อไวรัสได้โดยไม่รู้ตัว ซึ่งขั้นตอนการแพร่ระบาดนั้นเริ่มจาก
1) ยูอาร์แอลระดับแรกเป็นเว็บไซต์ที่ดูปกติแต่ถูกเจาะระบบ (แฮค) จนกลายเป็นเว็บไซต์อันตราย ในตอนแรกนั้น เว็บไซต์ในอิตาลีที่เป็นเหยื่อส่วนใหญ่จะเป็นเว็บไซต์ที่เกี่ยวกับการประชาสัมพันธ์บริการท้องถิ่นสำหรับการท่องเที่ยว โรงแรม บริการรถยนต์ ดนตรี ล็อตเตอรี่ และอื่นๆ
2) เว็บไซต์เหล่านี้ถูกเจาะระบบและที่อยู่ไอพี (IP Address) อันตราย ( HTML_IFRAME.CU) ถูกแทรกหรือใส่เข้าไว้ในรหัสเอชทีเอ็มแอลของเว็บไซต์ที่เป็นปกติดังกล่าว เมื่อผู้ใช้หลงเข้ามาในเว็บนี้ ก็จะถูกเปลี่ยนทิศทางไปยังอีกไซต์ด้วยตัวดาวน์โหลดจาวาสคริปต์ (JS_DLOADER.NTJ) สิ่งเหล่านี้ถือเป็นยูอาร์แอลระดับที่สองและสาม และบริษัท เทรนด์ ไมโคร สามารถปิดกั้นตัวดาวน์โหลดดังกล่าวได้ทัน
3) ยูอาร์แอลระดับที่สามนี้จะดาวน์โหลดโทรจันอีกตัวลงในระบบเป้าหมายจากยูอาร์แอลระดับที่สี่ตามลำดับ ซึ่งก็คือยูอาร์แอลของ TROJ_SMALL.HCK ซึ่งเทรนด์ ไมโคร สามารถปิดกั้นได้เช่นกัน
4) ต่อมาโทรจันดังกล่าวจะดาวน์โหลดโทรจันเพิ่มอีกสองตัวจากยูอาร์แอลระดับที่ห้า นั่นคือยูอาร์ แอลของ TROJ_AGENT.UHL และ TROJ_PAKES.NC ซึ่งเทรนด์ ไมโครสามารถปิดกั้นโทรจันทั้งสองตัวนี้ได้
5) จากนั้น โทรจัน PAKES จะดาวน์โหลดตัวขโมยข้อมูล ซึ่งเป็นสายพันธุ์ของโทรจัน SINOWAL จากยูอาร์แอลระดับที่หกอีกตัว
เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ดังกล่าว คอมพิวเตอร์ที่ติดเชื้อจะถูกส่งไปยังที่อยู่ไอพีอื่นที่มีจาวาสคริปต์ร้ายที่ชื่อว่า JS_DLOADER.NTJ ซึ่งบริษัท เทรนด์ ไมโครตรวจพบ จากนั้นจาวาสคริปต์นี้จะดาวน์โหลดสมาชิกใหม่ที่ชื่อวา TROJ_SMALL.HCK และพยายามทำให้เกิดหน่วยความจำล้นกับบราวเซอร์อินเทอร์เน็ตของผู้ใช้ โดยใช้ JS_DLOADER.NTJ ซึ่งอาศัยช่องโหว่ของบราวเซอร์เป็นตัวนำ ด้วยวิธีการดังกล่าว จะทำให้ระบบที่ติดเชื้อสามารถดาวน์โหลด TROJ_SMALL.HCK ได้ และในการทดสอบเบื้องต้น เทรนด์แล็บส์สังเกตว่าจาวาสคริปต์ร้ายนี้สามารถเลือกช่องโหว่ที่จะใช้ ผ่านการใช้งานของบราวเซอร์ได้
TROJ_SMALL.HCK จะดาวน์โหลด TROJ_AGENT.UHL และ TROJ_PAKES.NC ตามลำดับ โดย TROJ_AGENT.UHL สามารถทำตัวเป็นพร็อกซี่เซิร์ฟเวอร์ที่จะทำให้ผู้ใช้ระยะไกลสามารถเชื่อมต่ออินเทอร์เน็ตแบบไม่แสดงตนผ่านทางคอมพิวเตอร์ที่ติดเชื้อ ในขณะที่ TROJ_PAKES.NC จะถูกส่งไปไว้ยังโฟลเดอร์ชั่วคราวของผู้ใช้ และดาวน์โหลดตัวขโมยข้อมูลคีย์ล็อกกิ้ง (การกดแป้นพิมพ์ของผู้ใช้) ที่ชื่อว่า TSPY_SINOWAL.BJ
สำหรับการโจมตีที่ค้นพบเมื่อเร็วๆ นี้ นับเป็นครั้งที่สองของการโจมตีในลักษณะดังกล่าว ซึ่งใช้ประโยชน์จากเว็บไซต์อิตาลีจำนวนมากเพื่อแพร่กระจายจาวาสคริปต์ร้าย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว เยี่ยมชมได้ที่ www.trendmicro.com หรือที่ http://blog.trendmicro.com/another-malware-pulls-an-italian-job/
ข้อแนะนำสำหรับผู้ใช้ตามบ้าน
ระวังเว็บไซต์ที่ต้องติดตั้งซอฟต์แวร์ หลีกเลี่ยงการติดตั้งซอฟต์แวร์ใหม่จากบราวเซอร์ของคุณ นอกจากคุณจะไว้ใจเว็บไซต์และผู้ให้บริการซอฟต์แวร์รายนั้น
สแกนโปรแกรมที่ดาวน์โหลดผ่านทางอินเทอร์เน็ต และการดาวน์โหลดจากเครือข่ายเพียร์ทูเพียร์ (P2P) ผ่านทางเว็บและเอฟทีพี เซิร์ฟเวอร์ (FTP server) ด้วยซอฟต์แวร์ป้องกันไวรัสและสปายแวร์รุ่นปรับปรุงใหม่
ระวังอีเมล์แปลกๆ ที่ไม่คาดคิดไม่ว่าผู้ส่งจะเป็นใครก็ตาม อย่าเปิดไฟล์แนบท้าย หรือคลิกลิงค์ที่มีอยู่ในข้อความของอีเมล์เหล่านั้น และเมื่อเปิดใช้งาน "Automatic Update" ในระบบปฏิบัติการวินโดว์ส ต้องใช้โปรแกรมปรับปรุงใหม่ทันทีที่มีการเปิดให้ใช้งาน
ใช้บริการสแกนไวรัสแบบเวลาจริงเสมอ โดยตรวจสอบว่ามีการปรับปรุงเป็นประจำและบริการยังคงทำงานอยู่ สำหรับเครื่องมือด้านความปลอดภัยต่างๆ สามารถคลิ๊กไปได้ที่ https://www.trendmicro.com
ข้อแนะนำสำหรับผู้ใช้องค์กร
ปรับใช้วิธีการสแกน HTTP เนื่องจากภัยคุกคามบนเว็บแพร่ระบาดอย่างหนัก จึงแนะนำให้นำระบบการสแกนเว็บเข้าไปใช้ในเครือข่ายขนาดกลางและขนาดใหญ่ และใช้แนวทางรักษาความปลอดภัย คือบังคับให้ผู้ใช้งานส่งต่อเว็บที่ต้องการดูทั้งหมดไปยังอุปกรณ์สแกน การปิดช่องว่างนี้เป็นส่วนสำคัญในการต่อสู้กับมัลแวร์ และ สปายแวร์ เนื่องจากเว็บกลายเป็นช่องทางอันดับแรกในการเข้าสู่เครือข่ายองค์กร
อย่าอนุญาตให้โปรโตคอลที่ไม่จำเป็นเข้าสู่เครือข่ายองค์กร ส่วนใหญ่จะเป็นโปรโตคอลสื่อสารแบบเพียร์ทูเพียร์ (P2P) และไออาร์ซี (เครือข่ายสนทนา) ทั้งสองเป็นส่วนของคลังอาวุธของบ็อตที่จะแพร่กระจายและสื่อสารกับบ็อตมาสเตอร์ (ผู้ที่ทำหน้าเขียนโปรแกรมควบคุมการทำงานของระบบสนทนา) และไม่ควรอนุญาตให้เข้าสู่ไฟร์วอลล์ขององค์กร
ปรับใช้ซอฟต์แวร์สแกนช่องโหว่กับเครือข่าย การปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอสามารถลดผลกระทบจากช่องโหว่ใหม่ที่มีต่อเครือข่ายได้ และยังลดความเสี่ยงของการติดเชื้อจากหนอนเหล่านี้ได้
จำกัดสิทธิผู้ใช้สำหรับผู้ใช้ในเครือข่ายทั้งหมด การปฏิเสธไม่ให้ผู้ใช้มีสิทธิ์ใน "การโหลดและยกเลิกการโหลดโปรแกรมควบคุมอุปกรณ์" จะช่วยหยุดภาวะเสี่ยงได้มาก
ปรับใช้การสแกนป้องกันสปายแวร์สำหรับองค์กร เมื่อเกิดภัยคุกคามที่แพร่หลายในองค์กรธุรกิจ ผู้ดูแลระบบต้องใช้ซอฟต์แวร์เฉพาะในการตรวจจับและหยุดภัยร้ายเหล่านี้ให้ได้
สนับสนุนให้มีผู้ใช้ตื่นตัวด้านความปลอดภัย การโจมตีส่วนใหญ่ในปัจจุบันจะใช้ประโยชน์มัลแวร์ด้วยการพยายามหลอกให้ผู้ใช้หลงเชื่อ สิ่งนี้เรียกว่า “วิศวกรรมทางด้านสังคม” (Social Engineering) และเป็นสิ่งสำคัญที่จะต้องให้ความสนใจเป็นพิเศษ เนื่องจากจะเห็นได้ว่ามัลแวร์ส่วนใหญ่ที่ตรวจพบ จะไม่ก่อให้เกิดความเสียหายใดๆ ถ้าผู้ใช้ไม่คลิ๊กที่ตัวมัลแวร์นั้น ดังนั้นจึงต้องแนะนำผู้ใช้ให้รู้จักมาตรวัดความปลอดภัยพื้นฐาน และวิธีปฏิบัติต่อภัยคุกคามที่เกิดขึ้นทั่วไป สิ่งนี้จะเป็นการป้องกันการแพร่ระบาดภายในบริษัทได้ในระยะยาว และเป็นเรื่องจำเป็นที่จะต้องแจ้งให้ผู้ใช้ทราบถึงยุทธศาสตร์การโจมตีใหม่ๆ เช่นเดียวกับการทำให้ผู้ใช้ปฏิบัติตามนโยบาย และคำแนะนำด้านความปลอดภัยของบริษัท
สื่อมวลชนสอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณบุษกร สนธิกร และคุณศรีสุพัฒ เสียงเย็น
ที่ปรึกษาประชาสัมพันธ์ บริษัท คอร์ แอนด์ พีค จำกัด
โทร. 02-439-4600 ต่อ 8202, 8300 อีเมล์ busakorns@corepeak.com