หลายปีที่ผ่านมา Microsoft Defender ถือเป็นเกราะป้องกันหลักของผู้ใช้ Windows พัฒนาอย่างต่อเนื่องจากโปรแกรมแอนตี้ไวรัสฟรีที่หลายคนมองข้าม สู่โซลูชันด้านความปลอดภัยที่ไมโครซอฟท์ผลักดันให้เป็นมาตรฐานในทุกเครื่อง Windows ทั้งการสแกนไฟล์ การบล็อกมัลแวร์แบบเรียลไทม์ ไปจนถึงระบบแจ้งเตือนภัยไซเบอร์ แต่ล่าสุด “เกราะเหล็ก” ที่หลายคนไว้ใจ กลับถูกเจาะทะลวงโดยกลุ่ม Akira Ransomware ผ่านเทคนิคการโจมตีใหม่ที่ใช้ประโยชน์จากช่องโหว่ไดรเวอร์ของ Intel
รู้จัก เทคนิค BYOVD คืออะไร?
การโจมตีครั้งนี้ใช้วิธีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) ซึ่งหมายถึงการนำไดรเวอร์ที่ถูกลงนามอย่างถูกต้องโดยผู้พัฒนา (และถูก Windows ยอมรับ) แต่มีช่องโหว่ด้านความปลอดภัย มาใช้เป็น “เครื่องมือ” ในการเจาะระบบ
เมื่อไดรเวอร์เหล่านี้ถูกติดตั้งลงในเครื่อง มันสามารถเปิดสิทธิ์ให้แฮ็กเกอร์เข้าถึงระดับ Kernel ได้ทันที จากนั้นก็สามารถทำสิ่งที่ปกติแล้ว Windows จะบล็อก เช่น ปิดการทำงานของ Microsoft Defender
จุดเริ่มต้นจากไดรเวอร์ Intel rwdrv.sys
นักวิจัยด้านความปลอดภัยจาก GuidePoint Security พบว่า Akira ransomware ใช้ประโยชน์จากไดรเวอร์ Intel ที่ชื่อ rwdrv.sys ซึ่งปกติเป็นส่วนหนึ่งของโปรแกรม ThrottleStop สำหรับปรับแต่งประสิทธิภาพซีพียู
ขั้นตอนการโจมตีเริ่มจากการหลอกเหยื่อให้ติดตั้งไฟล์ปลอม เมื่อ rwdrv.sys ถูกโหลดเข้าไปในระบบ มันจะเปิดทางให้แฮ็กเกอร์เข้าถึงสิทธิ์ระดับ Kernel จากนั้นแฮ็กเกอร์จะโหลดไดรเวอร์ตัวที่สองเพื่อทำภารกิจต่อ
hlpdrv.sys ตัวการปิด Microsoft Defender
เมื่อได้สิทธิ์สูงสุดแล้ว กลุ่มโจมตีจะนำไดรเวอร์เสริมชื่อ hlpdrv.sys มาลงทะเบียนเป็น Service ของระบบ เพื่อให้สามารถควบคุมการทำงานของ Windows ได้
เป้าหมายหลักคือการ ปิด Microsoft Defender ด้วยการแก้ไขค่า Registry โดยเฉพาะค่า DisableAntiSpyware ผ่าน regedit.exe เมื่อค่าถูกเปลี่ยน Defender ก็จะหยุดทำงานทันที ทำให้ระบบขาดเกราะป้องกันโดยสิ้นเชิง
ผลกระทบเมื่อ Defender ถูกปิด
- เครื่องคอมพิวเตอร์ไม่มีระบบสแกนไฟล์เรียลไทม์
- มัลแวร์และแรนซัมแวร์สามารถทำงานได้โดยไม่ถูกตรวจจับ
- การโจมตีอื่น ๆ เช่น การขโมยข้อมูลหรือการเข้ารหัสไฟล์เกิดขึ้นได้ง่ายขึ้น
- ผู้ใช้ทั่วไปไม่มีการแจ้งเตือนว่าระบบป้องกันถูกปิด
นี่คือการเปิด “ประตูบ้าน” ให้ผู้โจมตีเข้ามาโดยไม่มีใครคอยเฝ้าประตู
การใช้งานจริงตั้งแต่กลางกรกฎาคม
รายงานล่าสุดชี้ว่าการโจมตีรูปแบบนี้ ถูกใช้จริงตั้งแต่กลางเดือนกรกฎาคมที่ผ่านมา ไม่ใช่เพียงการทดสอบในห้องแล็บเท่านั้น และแนวโน้มยังเพิ่มมากขึ้นเรื่อย ๆ จนผู้เชี่ยวชาญต้องออกกฎ YARA และเผยแพร่ Indicators of Compromise (IoCs) ให้ผู้ดูแลระบบนำไปใช้ตรวจสอบ
Akira ขยายการโจมตีไปยัง SonicWall VPN
นอกจาก Microsoft Defender กลุ่ม Akira ยังพุ่งเป้าไปที่อุปกรณ์ SonicWall VPN ซึ่งใช้ในองค์กรจำนวนมาก บางรายงานระบุว่าการโจมตีอาศัยช่องโหว่ที่รู้จักอยู่แล้ว (ไม่ใช่ Zero-Day) เพื่อเจาะเข้าสู่เครือข่ายภายใน
SonicWall แนะนำให้ผู้ดูแลระบบ
- ปิดหรือจำกัด SSLVPN หากไม่จำเป็น
- เปิดใช้งาน Multi-Factor Authentication (MFA)
- ใช้ Botnet และ Geo-IP Filtering
- ลบบัญชีผู้ใช้งานที่ไม่จำเป็น
Indicators of Compromise (IoCs) ที่ต้องจับตา
- การปรากฏของไฟล์ rwdrv.sys และ hlpdrv.sys ในเส้นทาง
%AppData%\\Local\\Temp\\ - การสร้าง Service แปลก ๆ เช่น mgdsrv และ KMHLPSVC
- คีย์เวิร์ดในไฟล์ เช่น “HlpDrv” หรือ “\Device\KMHLPDRV”
- Hash ของไฟล์ที่ตรงกับข้อมูลจาก GuidePoint Security
วิธีป้องกันสำหรับผู้ใช้ทั่วไป
- อย่าพึ่งพา Defender เพียงอย่างเดียว ควรติดตั้งแอนตี้ไวรัสหรือ EDR เสริม
- หลีกเลี่ยงการคลิกลิงก์หรือไฟล์แนบที่ไม่น่าเชื่อถือ
- ไม่รันสคริปต์หรือไฟล์ที่ไม่รู้จัก
- อัปเดต Windows และไดรเวอร์จากแหล่งที่เชื่อถือได้เท่านั้น
- เปิดใช้งาน Two-Factor Authentication (2FA) สำหรับทุกบัญชีที่สำคัญ
แนวทางสำหรับผู้ดูแลระบบองค์กร
- ใช้ YARA Rules และ IoCs ที่เผยแพร่โดยผู้เชี่ยวชาญด้านความปลอดภัย
- ตรวจสอบการโหลดไดรเวอร์แปลก ๆ หรือ Service ที่ไม่คุ้นเคย
- กำหนดสิทธิ์แบบ Least Privilege ลดการใช้บัญชีที่มีสิทธิ์สูงเกินจำเป็น
- สำรองข้อมูลสม่ำเสมอ และทดสอบกระบวนการกู้คืน
- ติดตามข่าวสารด้าน Security Patch จาก Microsoft, Intel และ SonicWall อย่างต่อเนื่อง
สรุป
เหตุการณ์นี้ตอกย้ำว่า แม้จะเป็นโซลูชันด้านความปลอดภัยที่เชื่อถือได้อย่าง Microsoft Defender ก็ยังมีโอกาสถูกปิดการทำงานโดยวิธีการใหม่ ๆ ของแฮ็กเกอร์ กลุ่ม Akira ransomware แสดงให้เห็นว่าการโจมตีแบบ BYOVD เป็นอาวุธที่ทรงพลัง และองค์กรหรือผู้ใช้ทั่วไปต้องไม่ประมาท
การป้องกันไม่ใช่แค่เรื่องของซอฟต์แวร์ แต่คือการสร้างวินัยด้านความปลอดภัยไซเบอร์ ทั้งการอัปเดต การสำรองข้อมูล และการใช้เครื่องมือเสริมที่รัดกุม เพื่อให้พร้อมรับมือกับภัยไซเบอร์ทุกรูปแบบ
สอบรายละเอียดเพิ่มเติม
- 02-120-9636
- [email protected]
- Line Official : @THAIDATAHOSTING
