ตรวจพบ "พาหะ" ในการทำ Process Hallowing ตัวใหม่ "โดยบังเอิญ" บน Windows 11 24H2
Windows รุ่นที่สามารถเป็นข่าวในด้านช่องโหว่ความปลอดภัย การทำงานผิดพลาด ฟีเจอร์ไม่โดนใจ และบั๊กมากมายในเวลานี้ คงจะหนีไม่พ้น Windows 11 24H2 ซึ่งในขณะนี้ก็ได้ตกมาเป็นประเด็นอีกครั้ง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบช่องโหว่บน Windows 11 24H2 ที่เปิดช่องให้แฮกเกอร์สามารถใช้เทคนิคระดับสูงที่มีชื่อว่า Process Hollowing ซึ่งมัลแวร์จะทำการยิงโค้ดอันตรายบน Process ต่าง ๆ ที่รันอยู่เพื่อหลีกเลี่ยงการถูกตรวจจับ และฝังตัวอยู่ในระบบได้
การอัปเดตล่าสุดที่ตัว Windows 11 24H2 ได้มีการเพิ่มฟีเจอร์ที่ทำงานอยู่เบื้องหลังไว้บนระบบมากมาย โดยหนึ่งในนั้นคือ การสนับสนุนระดับ Native ให้กับฟังก์ชัน Hotpatching (ระบบการติดตั้งอัปเดตความปลอดภัยรายเดือน โดยไม่ต้องรีสตาร์ตเครื่องใหม่) รวมไปถึงการเปลี่ยนแปลงพฤติกรรมการทำงานของ Windows Loader ในระหว่างขั้นตอนการบูทเครื่อง ซึ่งการเปลี่ยนแปลงเหล่านี้กลับเป็นการขัดขวางการทำงานของ Process Hollowing อย่างไม่ตั้งใจ เนื่องจากตัวระบบจะทำการตรวจหน่วยความจำอย่างเข้มงวดกว่าเดิม โดยเฉพาะในส่วนของฟังก์ชัน Call ของ Loader ที่มีชื่อว่า ZwQueryVirtualMemory และ พารามิเตอร์ MEM_IMAGE ที่ต้องมีการทำการจอง (Flag) พื้นที่ของหน่วยความจำ
ซึ่งการเปลี่ยนแปลงนี้จะส่งผลต่อการทำ Process Hollowing ที่ต้องมีกำหนดพื้นที่หน่วยความจำผ่านทาง MEM_PRIVATE เพื่อปล่อยมัลแวร์ลงเครื่อง ซึ่งการที่ตัวพารามิเตอร์ที่มัลแวร์ใช้งานไม่ตรงกับที่ระบบต้องการใช้ นำมาสู่ความขัดแย้งภายในระบบ ทำให้ตัว Process ที่มัลแวร์เพ่งเล็งไว้ต้องถูกปิดการทำงานลงจากข้อผิดพลาดดังกล่าว (0xC0000141)
แต่ถึงการเปลี่ยนแปลงดังกล่าวนั้นถึงแม้จะป้องกันการทำงานของเทคนิค Process Hollowing ได้โดยบังเอิญ แต่ในขณะเดียวกันก็เป็นการขัดขวางการทำงานของซอฟต์แวร์ที่ต้องใช้เทคนิคเดียวกัน หรือกระทั่งเครื่องมือวิจัยต่าง ๆ ที่ใช้ทดสอบระบบ หรือ ใช้ในการทำการดีบั๊ก นำมาสู่ความไม่สะดวกของนักวิจัยและคนทำงานต่าง ๆ แต่ในเวลาเดียวกันก็เป็นการแสดงให้หลายคนได้เห็นว่า การอัปเดตระบบปฏิบัติการนั้น สามารถช่วยป้องกันเทคนิคการแฮกต่าง ๆ ได้ทั้งในแบบที่ผู้พัฒนาตั้งใจ หรืออาจจะไม่ตั้งใจก็ตาม
แต่ถึงแม้การใช้งานเทคนิคการฝังมัลแวร์ดังกล่าวจะถูกขัดขวางในเชิงระบบไปแล้ว แต่แฮกเกอร์ก็ไม่ได้หมดสิ้นหนทาง กลับได้มีการพัฒนาเทคนิคใหม่ ๆ ขึ้นมาใช้งานแทน ไม่ว่าจะเป็น Process Doppelgänging, Process Ghosting, และเทคนิคลูกผสมอย่าง Transacted Hollowing เพื่อให้มัลแวร์สามารถทำการจัดการกับ Process ในการหลบการตรวจจับ และฝังตัวเองลงสู่ระบบได้ดังเดิม
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv