1. ความเป็นมาของไวรัส Flame
Flameเป็นชื่อของไวรัสชนิดใหม่ที่เริ่มระบาดในเดือนมีนาคมค.ศ.2010 เป็นแมลแวร์ชนิดร้ายแรงและมีการทํางานที่ ซับซ้อนทํางานในระดับDLL(DynamicLinkLibrary) มันถูกนํามาใช้เป็นอาวุธไซเบอร์เพื่อโจมตีเป้าหมายของหน่วยงานใน หลายประเทศ
Flame ถูกค้นพบโดยผู้เชี่ยวชาญของ Kaspersky Lab ใ นระหว่างการตรวจสอบที่ได้รับแจ้งจากสหภาพโทรคมนาคม ระหว่างประเทศ (ITU)
Flame ถูกออกแบบมาเพื่อดําเนินการโจรกรรมข้อมูลไซเบอร์ มันสามารถขโมยข้อมูลที่มีค่าโดยไม่จํากัด เนื้อหา เช่น ข้อมูลเกี่ยวกับระบบต่างๆ ไฟล์ข้อมูลที่สําคัญ ข้อมูลการติดต่อและแม้กระทั่งข้อมูลการสนทนา การทํางานของมันซับซ้อนยิ่ง กว่าไวรัสที่รู้จักกันในโลกไซเบอร์
เมื่อวันที่ 28 พ.ค. 2555 หน่วยงาน CERT ของประเทศอิหร่าน (MAHER) รายงานว่า ได้ค้นพบมัลแวร์ชนิดใหม่ที่มีเป้า หมายเพื่อโจมตีประเทศอิหร่าน โดยได้เรียกมัลแวร์ตัวนี้ว่า Flame ในเบื้องต้น ทาง MAHER ได้สันนิษฐานว่า Flame ถูกพัฒนาขึ้น โดยผู้พัฒนาทีมเดียวกับ Stuxnet และ Duqu
ศูนย์วิจัย CrySyS (Laboratory of Cryptography and System Security) จาก Budapest University of Technology and Economics เรียกมัลแวร์ตัวนี้ว่า Skywiper และได้ให้ข้อมูลเพิ่มเติมว่า ไ ด้รับแจ้งเหตุการโจมตีด้วยมัลแวร์ดังกล่าวนี้จากหลายๆ ประเทศทั่วโลก ไ ม่ใช่แค่เฉพาะในตะวันออกกลางอย่างเดียว นอกจากนี้ยังได้ค้นพบวิธีที่ Skywiper ใ ช้ในการซ่อนตัวเองไม่ให้ถูก ตรวจจับโดยโปรแกรมแอนตี้ไวรัส โ ดยการซ่อนโค้ดไว้ในไฟล์ .ocx และ .tmp ซึ่งโปรแกรมแอนตี้ไวรัสโดยส่วนใหญ่จะไม่สแกน ไฟล์2ชนิดนี้ CrySySรายงานว่าการพัฒนามัลแวร์ดังกล่าวนี้น่าจะได้รับการ
2. ระบบปฏิบัติการที่เป็นเป้าหมาย :
Flame ทํางานได้บน Windows XP, Vista และ 7
3. ชนิดของมัลแวร์สายพันธุ์ที่สําคัญหรือพบมาก
ไวรัสนี้ถูกพบเมื่อช่วงเดือนสิงหาคมของปี 2010 ในขณะที่มีการสืบสวนเรื่องการโจมตีประเทศอิหร่านด้วยไวรัส “Wiper”แต่ก็เชื่อกันว่าน่าจะมีไวรัสFlame มานานแล้วไม่ต่ํากว่า5ปีโดยมีอิหร่านเป็นประเทศที่โดนโจมตีมากที่สุด
4. ลักษณะการแพร่กระจาย
วิธีการแพร่กระจายผ่านทาง USB Drive และแพร่ผ่านระบบเครือข่าย (ซึ่งเป็นวิธีเดียวกันกับ Stuxnet) การทํางานหลักๆ ของ Flame คือขโมยข้อมูล Username และ Password, ลักลอบอัดเสียง, บันทึก Screenshot และลักลอบส่งข้อมูลออกไปให้ C&C Server ผ่านทางพอร์ต SSH และ HTTPS
5. ลักษณะการเริ่มทํางาน
เครื่องที่ติด Flame จะตั้งตัวเองเป็นเซิร์ฟเวอร์ Web Proxy Autodiscovery Protocol (WPAD) โ ดยปกติแล้ว เครื่อง คอมพิวเตอร์ที่ใช้ Windows จะถูกตั้งค่า Proxy ใ ห้เป็น Automatic proxy detection หลังจากที่เชื่อมต่อกับระบบเครือข่าย เครื่อง ดังกล่าวจะพยายามติดต่อกับเซิร์ฟเวอร์ wpad.DOMAINNAME (เช่น wpad.thaicert.or.th ใ นกรณีที่เครื่องดังกล่าวอยู่ในโดเมน thaicert.or.th) เพื่อตรวจสอบว่าเมื่อไหร่ที่ควรจะเชื่อมต่อ HTTP Proxy เพื่อใช้งาน Windows Update
เครื่องคอมพิวเตอร์ที่ติด Flame จะส่งไฟล์ wpad.dat เพื่อเป็นสัญญาณบอกเครื่องที่อยู่ในเครือข่ายเดียวกันว่าให้เชื่อมต่อ Proxy เพื่อใช้งาน Windows Update จากนั้นเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่าย จะเชื่อมต่อเข้ามายังเครื่องที่ติด Flame เพื่อ ดาวน์โหลดไฟล์ Windows Update ซึ่งจะทําให้คอมพิวเตอร์ติดเชื้อไวรัส Flame ทันที
6. ลักษณะการทําลาย (การทํางานของ payload)
– Worm:Win32/Flame.gen!D อาจให้เปลี่ยนเส้นทางการเชื่อมต่ออินเทอร์เน็ตของคุณและนําคุณไปสู่บางอย่างที่เป็น อันตรายอื่น ๆ แม้กระทั่งเว็บไซต์ที่ผิดกฎหมาย
– Worm:Win32/Flame.gen!D; มีการติดตั้ง / ทํางานโดยไม่ได้รับอนุญาตของคุณ
– Worm:Win32/Flame.gen!D คือไฟล์เสียหายอาจใช้เวลาถึงทรัพยากรสูงที่จะชะลอตัวลงประสิทธิภาพของ คอมพิวเตอร์ลบนามสกุลใด ๆ และทั้งหมดจากเบราว์เซอร์ทั้งหมด;
– Worm:Win32/Flame.gen!D อาจจะอนุญาตให้อาชญากรไซเบอร์ในการติดตามคอมพิวเตอร์ของคุณและขโมยข้อมูล ส่วนบุคคลของคุณ
-สนับสนุนด้านการเงินจากรัฐบาลหรือประเทศที่มี ความต้องการที่จะใช้มัลแวร์ในการทํา Cyber Warfare
7. ระดับอันตราย ความเสียหายที่เป็นที่รู้จัก
ไวรัสที่เรียกว่า Flame ไ ด้รับการติดไวรัสคอมพิวเตอร์ในอิหร่าน อิสราเอล เลบานอน ซูดานซีเรีย ซาอุดีอาระเบียและ อียิปต์ มันได้รับการโหลดภาพผู้ใช้หน้าจอคอมพิวเตอร์ การบันทึกการสนทนาข้อความโต้ตอบแบบทันที ผู้ที่ปล่อยไวรัสจะ สามารถควบคุมเปิดไมโครโฟนจากระยะไกลเพื่อบันทึกการสนทนาของเป้าหมาย ดักจับการกดแป้นพิมพ์ของเหยื่อเพื่อให้ได้มา ซึ่ง Username Password เลขบัตรเครดิต ข้อมูลสําคัญต่างๆที่ และก่อกวนระบบเครือข่ายให้ทํางานได้ไม่เต็มประสิทธิภาพ
นอกจากนนี้ักวิจัยจากKasperskyLabได้รายงานข้อมูลเพิ่มเติมว่าประเทศที่ตกเป็นเป้าหมายของการโจมตีได้แก่ อิหร่าน เลบานอน ซีเรีย อิสราเอล และประเทศอื่นๆ ในแถบตะวันออกกลางยิ่งไปกว่านั้น Flamer นอกจากจะขโมยข้อมูลแล้ว ยัง ทําหน้าที่ขัดขวางการส่งออกน้ํามันของประเทศอิหร่าน โดยการ Shut down ระบบ Oil terminal ด้วย
8. การตรวจจับ กําจัด และรักษาระบบ
8.1 การ update windows จากระบบ Network ที่น่าเชื่อถือ
จากการใช้ช่องโหว่ของระบบ Windows Update เป็นช่องทางในการโจมตี ทําให้ผู้เชี่ยวชาญด้าน Security หลายฝ่ายออก มาแสดงความกังวลในเรื่องนี้และได้มีข้อแนะนําในการใช้งาน Windows Update เช่น ติดตั้ง Update windows ผ่านการเชื่อมต่อที่ เชื่อถือได้ (ใช้อินเทอร์เน็ตที่บ้านหรือที่ทํางาน) เท่านั้น ถึงแม้ว่าวิธีการดังกล่าวจะป้องกันการโจมตีแบบ Man-in-the-Middle ไม่ได้ แบบเต็ม 100% แต่ก็สามารถลดความเสี่ยงที่จะถูกโจมตีจากเทคนิคข้างต้นได้ อย่างไรก็ตาม หากจําเป็นที่จะต้องติดตั้ง Update ผ่านระบบเครือข่ายสาธารณะ ควรใช้การเชื่อมต่อผ่าน VPN
8.2 การใช้โปรแกรม Antivirus ลิขสิทธิ์แท้
ต้องเป็นโปรแกรมป้องกันไวรัสลิขสิทธิ์แท้ มีความน่าเชื่อถือและสามารถ Update Signature ของไวรัสได้ตลอดและ
สแกนไฟล์ต่างๆ ทุกครั้งก่อนดาวน์โหลดไฟล์ทุกประเภท ควรทําการสแกนไฟล์ รวมทั้งข้อมูลจากภายนอกก่อนเข้ามาใช้ใน เครื่อง ไม่ว่าจะเป็น CD, Diskette หรือ Handydrive ต้องใช้โปรแกรมค้นหาไวรัสเสียก่อน
8.3 ระบบป้องกันเครื่อข่ายขององค์กร
ในทุกๆองค์ควรจะมีระบบ Firewall ที่ทําหน้าที่ป้องกันการคุกคามทางเครือข่ายที่ ซึ่งจะเป็นกําแพงป้องกันการบุกรุก การใช้งานสารสนเทศภายในองค์กร
8.4 อย่ารับไฟล์แปลกหน้า และติดตามข่าวสารอยู่เสมอ
แม้ว่าจะอัพเดตโปรแกรมป้องกันไวรัสให้ใหม่อยู่เสมอแค่ไหนก็ตาม แต่ความจริงอย่างหนึ่งที่ควรรู้คือ ไ ฟล์ดัพเดตนี้ก็มี ขึ้นหลังจากที่เกิดไวรัสขึ้นแล้วก็ยังมีโอกาสติดไวรัสได้ตลอดเวลา การป้องกันอีกอย่างหนึ่งที่ทําเองได้ก็คือ ไม่พยายามรับไฟล์ แปลกๆ เพราะไฟล์เหล่านั้นอาจจะมีไวรัสแฝงมา และอย่าโหลดเกมส์มากเกินไป เกมส์คอมพิวเตอร์จากเว็บไซต์ต่าง ๆ อาจมีไวรัส ซ่อนอยู่ไม่ควรโหลดมาเล่นมากเกินไปและควรโหลดจากเว็บไซต์ที่เชื่อถือได้เท่านั้นบางทีเว็บไซต์จะมีเครื่องหมายบอกว่า “No virus หรือ Anti virus” อยู่แบบนี้ถึงจะไว้ใจได้ และควรติดตามข่าวสารเกี่ยวกับไวรัสใหม่ๆ อยู่เสมอ ซึ่งเว็บไซต์ของผู้ผลิต โปรแกรมป้องกันไวรัสจะมีการอัพเดตข่าวอยู่เสมอๆ
เช่น http://eset.co.th/th/ , http://th.norton.com/ , http://www.kaspersky.co.th/ 8.5 หมั่นตรวจสอบระบบต่าง ๆของเครื่องคอมพิวเตอร ์
8.5 หมั่นตรวจสอบระบบต่างๆ ควรตรวจสอบระบบต่างๆ ของเครื่องคอมพิวเตอร์อย่างสม่ําเสมอเช่นหน่วยความจํา การติดตั้งโปรแกรมใหม่ ๆลงไป อาการแฮงค์ (Hang) ของเครื่องเกิดจากสาเหตุใด บ่อยครั้งหรือไม่ ซึ่งอาจจะต้องติดตั้งโปรแกรม พวกบริการ (Utilities) ต่าง ๆ เพิ่มเติมในเครื่องด้วย
เรียบเรียงโดย พิศิษฐ์ บวรเลิศสุธี
ที่มาของข้อมูล
- http://www.kaspersky.com/flame
- https://securelist.com/blog/incidents/32855/flame-bunny-frog-munch-and-beetlejuice-2/
- https://www.blognone.com/node/33196
- https://www.thaicert.or.th/papers/technical/2012/pa2012te009.html
- http://www.yacss.com/th/guides/worm-guides/20140128-how-to-remove-Worm:Win32/Flame.gen!D-through-yac-virus-removal-tool.html
- http://aritc.nsru.ac.th/detail_virus.php?news_id=0400
- http://dl.rmuti.ac.th/dl/dl2013/index.php/km1/83-tip-trick2