“NTKiller” เครื่องมือแฮกใหม่บน Dark Web! สั่งปิด Antivirus ทุกค่ายในพริบตา

มีการตรวจพบเครื่องมือโจมตีชนิดใหม่ที่กำลังถูกพูดถึงอย่างมากบน Telegram และฟอรั่มใน Dark Web โดยเครื่องมือตัวนี้มีชื่อว่า NTKiller ซึ่งถูกจัดอยู่ในกลุ่มมัลแวร์ประเภท Hunter-Killer หรือมัลแวร์สายนักฆ่าที่ถูกพัฒนาขึ้นมาเพื่อทำหน้าที่สำคัญเพียงอย่างเดียวนั่นคือการ “สังหาร” ระบบป้องกันความปลอดภัยในเครื่องเหยื่อ

ความน่ากลัวของ NTKiller คือมันไม่ได้มุ่งเป้าไปที่การขโมยข้อมูลโดยตรงในระยะแรก แต่ถูกใช้เป็นด่านหน้าในการทำลายเกราะป้องกันอย่าง EDR (Endpoint Detection and Response) และ Antivirus เพื่อเปิดทางให้แรนซัมแวร์หรือมัลแวร์ตัวอื่นๆ สามารถเข้ามาทำรายการต่อได้อย่างสะดวกสบายโดยไร้การตรวจจับ ซึ่งแฮกเกอร์โฆษณาว่ามันสามารถสยบซอฟต์แวร์ความปลอดภัยชั้นนำของโลกได้เกือบทุกแบรนด์

NTKiller มีคุณสมบัติเด่นที่แฮกเกอร์ใช้โฆษณาชวนเชื่อไว้ดังนี้

• การสั่งปิดการทำงานของ AV และ EDR แบบเงียบเชียบ (Silent Termination): สามารถยุติการทำงานของโปรเซสความปลอดภัยได้โดยไม่ทิ้งร่องรอยหรือแจ้งเตือนให้ผู้ใช้ทราบ
• รองรับฟีเจอร์ความปลอดภัยขั้นสูงของ Windows: ออกแบบมาให้ทำงานข้ามผ่านระบบป้องกันระดับลึกอย่าง HVCI (Hypervisor-Protected Code Integrity), VBS (Virtualization-Based Security) และ Memory Integrity ได้อย่างสมบูรณ์
• ระบบฝังตัวตั้งแต่เริ่มบูต (Early-boot Persistence): มีความสามารถในการรันตัวเองตั้งแต่ขั้นตอนแรกของการเริ่มระบบ เพื่อให้ไฟล์อันตราย (Payload) รอดพ้นจากการสแกนของซอฟต์แวร์ความปลอดภัย
• กลไกป้องกันการวิเคราะห์ (Anti-debugging & Anti-analysis): มีระบบซ่อนตัวและขัดขวางการทำงานของนักวิจัยไซเบอร์ ทำให้ยากต่อการทำ Reverse Engineering หรือการตรวจสอบพฤติกรรมมัลแวร์
• ตัวเลือกเสริมการข้ามระบบ UAC (Silent UAC Bypass): สามารถยกระดับสิทธิ์การใช้งานโดยไม่ต้องผ่านหน้าต่างแจ้งเตือนของ Windows (User Account Control) ทำให้เหยื่อไม่รู้ตัวว่าระบบถูกแทรกแซง
• ตัวเลือกเสริม NtKiller Rootkit: รองรับการติดตั้ง Rootkit เพื่อการฝังตัวลึกในระดับรากฐานของระบบปฏิบัติการ ทำให้การกำจัดมัลแวร์ทำได้ยากยิ่งขึ้น

นอกจากนี้ ผู้ขายยังระบุว่า NTKiller สามารถสยบซอฟต์แวร์ความปลอดภัยชั้นนำได้เกือบทุกแบรนด์ ไม่ว่าจะเป็น Microsoft Defender, ESET, Kaspersky, Bitdefender, Trend Micro รวมถึงโซลูชัน EDR ระดับองค์กร แม้จะเปิดโหมดการป้องกันในระดับสูงสุด (Aggressive Modes) ก็ตาม

แฮกเกอร์ได้แบ่งสัดส่วนราคาตามความต้องการใช้งานไว้ดังนี้:

• ฟังก์ชันหลักของ NtKiller (Core Functionality): ราคาประมาณ $500 (หรือประมาณ 17,200 บาท)
• ฟีเจอร์เสริม NtKiller Rootkit: ราคาบวกเพิ่มอีก $300 (หรือประมาณ 10,300 บาท)
• ฟีเจอร์เสริม Silent UAC Bypass: ราคาบวกเพิ่มอีก $300 (หรือประมาณ 10,300 บาท)

เจาะลึกเทคนิค BYOVD

เบื้องหลังความร้ายกาจที่ทำให้ NTKiller สามารถปิดการทำงานของ Antivirus ได้อย่างเด็ดขาดนั้น มาจากการใช้เทคนิคที่เรียกว่า BYOVD (Bring Your Own Vulnerable Driver) ซึ่งเป็นการที่แฮกเกอร์จงใจนำไดรเวอร์ของแท้ที่มีลายเซ็นดิจิทัลถูกต้องจากบริษัทซอฟต์แวร์ที่น่าเชื่อถือ แต่มีช่องโหว่แฝงอยู่มาติดตั้งลงในเครื่องเหยื่อ

เนื่องจาก Windows จะอนุญาตให้ไดรเวอร์ที่ได้รับลายเซ็นถูกต้องสามารถเข้าถึงส่วนลึกที่สุดของระบบปฏิบัติการหรือระดับ Kernel ได้ NTKiller จึงใช้ช่องว่างนี้ในการสั่งการให้ไดรเวอร์ดังกล่าวเข้าไปขัดขวางการทำงานของซอฟต์แวร์ความปลอดภัยในระดับล่างสุดที่ระบบตรวจจับทั่วไปไม่สามารถเข้าถึงได้

การโจมตีในระดับ Kernel เช่นนี้ทำให้ NTKiller มีอำนาจเหนือกว่าซอฟต์แวร์ป้องกันที่ทำงานอยู่ในระดับ User Mode ส่งผลให้ระบบความปลอดภัยเหล่านั้นกลายเป็นเพียงเศษเหล็กในพริบตา การรับมือกับ NTKiller จึงไม่ใช่แค่การอัปเดต Antivirus แต่เป็นการควบคุมและตรวจสอบการโหลดไดรเวอร์ในระดับนโยบายองค์กรเพื่อไม่ให้ “ม้าอารี” เหล่านี้หลุดรอดเข้าไปทำลายระบบจากภายในได้

ที่มา