นักวิจัยเตือน! แฮกเกอร์ใช้ช่องโหว่ไดรเวอร์ Intel ปิด Microsoft Defender แพร่แรนซัมแวร์
นักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท GuidePoint Security ออกมาเปิดเผยการค้นพบวิธีการโจมตีใหม่ ที่ทำให้แฮกเกอร์สามารถหลบเลี่ยงการตรวจจับของ Microsoft Defender และติดตั้งแรนซัมแวร์ Akira บนคอมพิวเตอร์ได้สำเร็จ โดยเทคนิคนี้อาศัยไดรเวอร์ที่มีช่องโหว่ เพื่อเจาะระบบในระดับลึก
ช่องโหว่นี้อยู่ในไดรเวอร์ชื่อ “rwdrv.sys” ซึ่งเป็นส่วนหนึ่งของโปรแกรมปรับแต่งซีพียู Intel ที่เรียกว่า ThrottleStop เมื่อแฮกเกอร์นำไดรเวอร์นี้มาใช้ ก็จะสามารถเข้าถึงระบบในระดับเคอร์เนลได้ จากนั้นจะติดตั้งไดรเวอร์แฝงตัวชื่อ “hlpdrv.sys” เพื่อเข้าไปแก้ไขค่าระบบปฏิบัติการ Windows และปิดการทำงานของ Microsoft Defender โดยเฉพาะการปิดฟังก์ชันป้องกันมัลแวร์หลักอย่าง AntiSpyware ทำให้ระบบไม่มีการป้องกัน และเปิดทางให้แรนซัมแวร์ Akira เข้ารหัสไฟล์ได้โดยไม่มีสิ่งใดขัดขวาง
การโจมตีแบบนี้เป็นตัวอย่างของเทคนิคที่เรียกว่า “BYOVD” หรือ Bring Your Own Vulnerable Driver ซึ่งหมายถึงการนำไดรเวอร์ที่ถูกเซ็นรับรองและใช้ได้ตามปกติ แต่มีช่องโหว่ มาใช้เป็นช่องทางแฝงตัวเข้าสู่ระบบ ในกรณีนี้ แม้ไดรเวอร์จะเป็นของจริงจาก Intel แต่ก็กลายเป็นเครื่องมือของแฮกเกอร์เพราะมีจุดอ่อนให้ใช้ประโยชน์
ทาง GuidePoint Security ได้เผยแพร่ข้อมูลเพื่อช่วยให้ผู้พัฒนาและผู้ดูแลระบบสามารถตรวจจับและป้องกันการโจมตีนี้ได้ เช่น รายชื่อไฟล์ที่เกี่ยวข้อง เส้นทางการทำงานของมัลแวร์ และกฎการตรวจจับ YARA เพื่อใช้ค้นหาพฤติกรรมที่ผิดปกติ พร้อมแนะนำให้ผู้ใช้คอยอัปเดตซอฟต์แวร์อยู่เสมอ และติดตั้งโปรแกรมจากแหล่งที่เชื่อถือได้เท่านั้น