เตือน! มัลแวร์กลายพันธุ์เขียนด้วย Python แปลงโค้ดทุกครั้งที่ทำงาน หลบระบบป้องกัน
นักวิจัยด้านความปลอดภัยไซเบอร์รายงานการค้นพบตัวอย่างมัลแวร์ที่เขียนด้วยภาษา Python ซึ่งใช้เทคนิคกลายพันธุ์ (polymorphism) เพื่อเปลี่ยนรูปแบบโค้ดตัวเองในแต่ละครั้งที่รัน ทำให้การตรวจจับด้วยวิธีการแบบเดิมๆ หรือการพึ่งพา signature เป็นไปได้ยากขึ้น เหตุการณ์นี้ตอกย้ำว่ามัลแวร์ยุคใหม่ไม่ได้จำกัดอยู่แค่โค้ดไบนารีอีกต่อไป แต่แพร่เข้าสู่สคริปต์ระดับสูงที่องค์กรจำนวนมากใช้งานในระบบประจำวัน
จากการวิเคราะห์ตัวอย่าง โค้ดแสดงพฤติกรรมการถอดรหัสและปรับเปลี่ยนโครงสร้างตัวเองก่อนจะประมวลผลจริง (in-memory decryption และ self-modification) ฟังก์ชันที่ทำหน้าที่สร้างรูปแบบใหม่ของโค้ดและโหลดโมดูลแบบไดนามิกเป็นส่วนหนึ่งของกระบวนการนี้
เทคนิคดังกล่าวทำให้ไฟล์บนดิสก์มีลักษณะที่ไม่ค่อยเปลี่ยนไป แต่เมื่อรันแล้วโค้ดในหน่วยความจำจะมีรูปร่างใหม่ซึ่งมีนิยามฟังก์ชันและลำดับคำสั่งต่างจากไฟล์ต้นฉบับ ส่งผลให้การตรวจจับด้วยแอนตี้ไวรัสที่อาศัย pattern matching ตรวจจับได้ยาก
ผลกระทบต่อองค์กร
การพบมัลแวร์ชนิดนี้มีนัยสำคัญต่อองค์กรที่ใช้สคริปต์ Python บนเซิร์ฟเวอร์หรือระบบอัตโนมัติ เพราะการเปลี่ยนรูปลักษณ์โค้ดขณะรันทำให้การสแกนไฟล์แบบเดิม ๆ ตรวจไม่พบพฤติกรรมอันตราย ทั้งนี้ระบบป้องกันที่ไม่มีการตรวจจับพฤติกรรม (behavioral analysis) หรือไม่มี EDR ที่สามารถติดตาม telemetry ของโปรเซสได้ ย่อมเสี่ยงต่อการถูกเจาะและใช้งานเป็นจุดฝังตัวของผู้โจมตี
นอกจากนั้น ห่วงโซ่อุปทานซอฟต์แวร์ของ Python เช่นแพ็กเกจที่ดาวน์โหลดจาก PyPI ก็กลายเป็นช่องทางที่น่ากังวลหากไม่มีมาตรการตรวจสอบความน่าเชื่อถือ
การค้นพบมัลแวร์ Python ที่ใช้เทคนิค polymorphic เป็นสัญญาณเตือนว่าภัยคุกคามกำลังพัฒนาเข้าสู่ระดับที่หลากหลายและยากต่อการตรวจจับ ด้วยเหตุนี้ องค์กรจึงต้องยกระดับมาตรการป้องกันจากการสแกนไฟล์แบบเดิมไปสู่การสังเกตพฤติกรรม การใช้ sandbox/EDR และการบริหารความเสี่ยงของห่วงโซ่อุปทานซอฟต์แวร์อย่างจริงจังเพื่อปิดช่องว่างที่มัลแวร์ยุคใหม่ใช้ประโยชน์