ชุดโค้ดอันตราย หรือ Exploit Kit เป็นรูปแบบหนึ่งของชุดเครื่องมือหรือทูลอันตรายที่ออกมาจำหน่ายจ่ายแจกให้วายร้ายทั้งหลายนำไปประยุกต์ใช้ทะลวงช่องโหว่ต่างๆ เพื่อกระจายมัลแวร์ไปยังระบบของเหยื่อตามต้องการ
ก่อนหน้านี้ นักพัฒนามัลแวร์ได้อาศัยช่องโหว่ของไฟล์เอกสาร Microsoft Office เป็นเวลาหลายปี แต่ปัจจุบันได้อัพเกรดตัวเองมาทำไฟล์เอกสารอันตรายทั้งไฟล์แทน ตัวอย่างเช่น Microsoft Word Intruder และ Ancalog Builder ที่สามารถกระจายเชื้อมัลแวร์ไปยังคอมพิวเตอร์เครื่องอื่นผ่านไฟล์เวิร์ดอันตรายได้ หรือชุดโค้ดอันตรายตระกูลใหม่ล่าสุดในชื่อ AK Builder ที่สามารถสร้างสร้างไฟล์เอกสารเวิร์ดอันตรายให้อยู่ในรูป Rich Text เพื่อใช้ช่องโหว่ที่สามารถสร้างความเสียหายแก่ไฟล์ จนทำให้เกิดบั๊กต่างๆ ทั้งบน Office เอง และในวินโดวส์ด้วยพร้อมกัน
จากงานวิจัยของ SophosLabs เมื่อเร็วๆ นี้ พบ AK Builder ที่แตกต่างกันสองสายพันธุ์ โดยแต่ละตัวต่างใช้ช่องโหว่บน Office คนละตัว ทาง SophosLabs ระบุว่าสายพันธุ์ AK-1 มีการระบาดอย่างหนักในช่วงกลางปี 2558 ไปจนถึง 2559 โดยได้สร้างไฟล์เอกสารอันตรายมากถึง 760 ไฟล์ สำหรับแพร่กระจายมัลแวร์ไปแล้วมากกว่า 50 ตระกูล ขณะที่สายพันธุ์ต่อมาอย่าง AK-2 มีการระบาดเพียงช่วงสั้นๆ จนถึงฤดูร้อนปีที่แล้ว
ทำไม AK Builder จึงประสบความสำเร็จในการระบาด?
เนื่องจาก AK Builder ถูกเขียนโปรแกรมด้วยสคริปต์ Python อย่างง่าย อาชญากรทั้งหลายจึงนำไปพัฒนาเป็นอาวุธของตนเองได้อย่างรวดเร็ว แถมยังคงความเรียบง่ายของโค้ดจนวายร้ายคนอื่นสามารถเอาโค้ดของคนอื่นมาพัฒนาต่อๆ กันได้เรื่อยๆ
AK Builder มีการโฆษณาผ่านคลิปยูทูป และวางจำหน่ายตามเว็บบอร์ดใต้ดินในราคาแค่ 550 ดอลลาร์ต่อชุด ด้วยราคาเป็นกันเอง แตะต้องได้ และมีพร้อมให้ซื้ออย่างง่ายดาย ทำให้เป็นที่นิยมมากในวงแฮ็กเกอร์ที่ต้องการใช้ AK Builder นี้ในสร้างไฟล์เอกสารที่เป็นอันตราย
นอกจากนี้ สิ่งที่แตกต่างจาก Microsoft Word Intruder และ Ancalog Builder คือ AK Builder รองรับการเข้ารหัสข้อมูล และแสดงข้อมูลลวงด้วย ซึ่งถือเป็นฟีเจอร์สำคัญที่ส่งผลถึงความสำเร็จในการโจมตีอย่างมาก เนื่องจากข้อมูลหลอกๆ เบื้องหน้าจะช่วยพรางกิจกรรมอันตรายที่กำลังรันอยู่เบื้องหลัง รวมถึงลดความน่าสงสัยเวลาที่เหยื่อเปิดดูเนื้อหาในไฟล์เอกสารเวิร์ดดังกล่าวอีกด้วย
แล้วเราจะรับมือกับ AK Builder ได้อย่างไร?
องค์กรต่างๆ สามารถเลือกใช้หลายวิธีร่วมกันเพื่อให้ได้ผลดีที่สุด โดยเรามีขั้นตอนที่แนะนำให้ปฏิบัติดังนี้:
1. ติดตั้งแพทช์ทันทีให้เป็นปัจจุบัน เนื่องจากเอกสารออฟฟิศอันตรายที่สร้างขึ้นมาจากชุดโค้ดอันตรายนี้ เจาะจงเล่นงานช่องโหว่ด้านความปลอดภัยที่มีแพทช์ออกมาตั้งแต่ปีที่แล้ว
2. พิจารณาติดตั้งโซลูชั่นความปลอดภัยแบบ Next-Gen ที่ครอบคลุม เพื่อจัดการกับช่องโหว่ต่างๆ และมัลแวร์ที่ไม่ได้อยู่ในรูปของไฟล์
3. ระวังไฟล์แนบที่น่าสงสัย และเปิดดูเอกสารเฉพาะจากผู้ส่งที่รู้จักเท่านั้น
4. ลบ หรือปิดการใช้งานบัญชีผู้ใช้ที่ได้รับสิทธิ์เหนือกว่าความจำเป็น และเลือกติดตั้งแอพพลิเคชั่นจากผู้ผลิตที่ไว้ใจได้เท่านั้น
5. พิจารณาใช้โปรแกรมสำหรับเรียกดูเอกสารอย่างเดียวหรือ Viewer ต่างๆ เช่น Word Viewer ของไมโครซอฟท์ เนื่องจากอ่อนไหวน้อยกว่าโปรแกรมเวิร์ดตัวเต็ม โดยเฉพาะพวกวิวเวอร์เหล่านี้ไม่สามารถเปิดรันมาโครได้ เป็นต้น
บทความโดย : Wana Tun เป็นผู้เชี่ยวชาญทางเทคนิคประจำภูมิภาคของ Sophos
Safeguarding Against Evolving Exploit Kits
Wana Tun
Exploit kits are a form of malicious toolkit that exploit security holes, known as vulnerabilities, in order to infect the user with malware.
Malware authors have been using Microsoft Office document exploits for several years, however their focus has recently shifted to document malware. Some examples include the Microsoft Word Intruder and Ancalog Builder which spread malware onto computers using booby-trapped Word files. AK Builder, the latest addition to the exploit kit family, generates malicious Word documents in Rich Text. AK Builder uses exploits to deliberately corrupt files that automatically trigger bugs in Office and underlying bugs in Windows.
In a recent research conducted by SophosLabs, it was found that there are two variations of the AK Builder which are differentiated by the Office vulnerabilities they target. SophosLabs identified that AK-1 was most active between the middle of 2015 and 2016, generating about 760 malicious documents, which were used to distribute more than 50 different malware families. The emergence of its successor AK-2 seemed to spell the end of the kit’s lifespan. By the summer of 2016, it seemed extinct.
Why is the AK Builder successful?
As the AK Builder is coded in a simple Python script, it is easy to steal the builder to start a new “development branch”, which means although an individual developed the malware, other attackers can simply access the code, modify it and release their own versions.
AK Builder is also advertised in YouTube videos and sold in underground forums at merely $550 per kit. The sheer affordability and availability of black market tools make it possible for criminals to gain access to the AK Builder to generate exploited documents.
Additionally, unlike the Microsoft Word Intruder and the Ancalog builder, the AK Builder has always supported encrypted decoys. This is an important feature in successful attacks as displaying decoy content can help hide malicious activities in the background. It is also less suspicious if this content is displayed after the victim opens what he thinks is a Word document.
How to defend against the AK Builder?
Enterprises can adopt a multi-pronged approach with these recommended steps:
1. Patch promptly as the booby-trapped Office documents generated by exploit kits, attack security holes that were patched years ago.
2. Consider implementing a holistic, next-generation security solution to manage exploits and fileless malware
3. Beware of unsolicited attachments, and only open documents from known senders
4. Remove or disable privileged accounts in the system, and only install applications from known publishers
5. Consider using a stripped-down document viewer. For example, Microsoft’s Word Viewer is usually less vulnerable than Word itself, especially since it doesn’t support macros.
Wana Tun is regional technical evangelist at Sophos
