นักวิจัยจาก ESET ผู้ให้บริการระบบ Endpoint Protection ชื่อดัง ได้ออกมาเปิดเผยถึงโทรจันตัวใหม่ที่สามารถขโมยข้อมูลของ Air-gapped Computer ผ่านการเสียบ USB ได้ ที่สำคัญคือ โทรจันตัวนี้มีความสามารถในการหลบหลีกระบบตรวจจับภัยคุกคามและไม่เหลือร่องรอยใดๆ ทิ้งไว้หลังลงมือ เรียกได้ว่าเป็นโทรจันระดับสูงเลยทีเดียว
ถูกออกแบบมาเพื่อขโมยข้อมูลจาก Air-gapped Computer โดยเฉพาะ
โทรจัน USB นี้ถูกตั้งชื่อว่า USB Thief หรือชื่อทางเทคนิคคือ Win32/PSW.Stealer.NAI ซึ่งมีจุดเด่นคือ สามารถโจมตีระบบ Air-gapped Computer หรือคอมพิวเตอร์ที่แยกออกจากระบบอื่นโดยสมบูรณ์ และไม่มีการเชื่อมต่ออินเทอร์เน็ตได้ แค่เพียงเสียบ USB เข้าไป นอกจากนี้ แฮ็คเกอร์ยังมีการติดตั้งโค้ดพิเศษเพื่อช่วยป้องกัน USB Thief จากการก็อบปี้หรือทำซ้ำ ทำให้ยากต่อการตรวจจับและ Reverse-engineer เพื่อตรวจสอบรายละเอียด
แฝงตัวอยู่ใน Plug-in/DDL สำหรับ Portable Applications ใน USB
USB Thief จะฝังตัวเองอยู่ในรูปของ Plug-in หรือ DDL (Dynamically Linked Library) สำหรับ Portable Applications ใน USB เช่น Firefox, Notepad++ หรือ TrueCrypt เมื่อแอพพลิเคชันเหล่านี้ถูกรัน USB Thief จะเริ่มรันตัวเองเป็น Background ทันที จากนั้นจะค่อยๆ แอบเข้าไปขโมยข้อมูลต่างๆ บนเครื่องที่เสียบ USB นี้อยู่
เนื่องจาก USB Thief ซ่อนตัวอยู่ใน USB ส่งผลให้หลังจากที่มันขโมยข้อมูลทุกอย่างเสร็จ เพียงแค่ดึง USB ออกไป ก็จะไม่ทิ้งร่องรอยใดๆ ไว้ในเครื่องทันที เหยื่อจะไม่ทราบด้วยซ้ำว่าข้อมูลของตัวเองถูกขโมยไปเรียบร้อยแล้ว นอกจากนี้เมื่อไม่ได้โจมตีผ่านเครือข่ายหรืออินเทอร์เน็ต ยอมเป็นไปไม่ได้ที่จะตามรอยกลับไปว่าแฮ็คเกอร์คนนั้นคือใคร (ถ้าจะตามได้จริงๆ คงต้องจากกล้องวงจรปิดแล้วดูว่าใครเข้ามายุ่มยามกับคอมพิวเตอร์บ้าง)
นอกจากนี้ USB Thief ยังถูกพัฒนาให้มีการเข้ารหัสที่ซับซ้อนหลายชั้น ส่งผลให้ระบบรักษาความปลอดภัยหรือโปรแกรมแอนตี้ไวรัสสามารถตรวจจับและวิเคราะห์ข้อมูลได้ยากมาก
ป้องกัน USB Thief ได้อย่างไร
อย่าเสียบ USB จากที่ไหนก็ไม่รู้ ไม่น่าเชื่อถือ
ปิดการใช้ Autorun
เพิ่ม Physical Security เพื่อตรวจจับบุคคลที่ต้องสงสัย
หมั่นสำรองข้อมูลบ่อยๆ เมื่อเกิดเหตุจะได้กู้ข้อมูลกลับคืนมาได้
ที่มา: http://thehackernews.com/2016/03/usb-dr ... ed-trojan/
25/03/2559