รายงานข่าวล่าสุดจากทาง thaiware.com ระบุว่ามีการแจ้งเตือนให้ระวังมัลแวร์ชื่อ Gh0stCringe ซึ่งเป็นมัลแวร์ที่ส่งผลต่อเซิร์ฟเวอร์ฐานข้อมูลระบบ Microsoft SQL และ MySQL มีความอันตรายยิ่งยวด
จากรายงานข่าวระบุว่า มีมัลแวร์ชื่อ Gh0stCringe ถูกสร้างโดยแฮคเกอร์ เพื่อใช้เจาะเซิร์ฟเวอร์ฐานข้อมูลระบบ MySQL และ Microsoft SQL จากระยะไกล ส่งผลให้การใช้งานระบบฐานข้อมูลทั้งสองประเภทนี้มีช่องโหว่และไม่ปลอดภัย
สำหรับ มัลแวร์ Gh0stCringe นี้ รู้จักในชื่ออย่างเป็นทางการว่า CirenegRAT เป็นมัลแวร์ Gh0st RAT ที่ใช้งานในปี 2020 แต่จริง ๆ แล้ว ตัวมัลแวร์เองถูกสร้างขึ้นมาตั้งแต่ปี 2018 แต่ตัวปัจจุบัน 2020 นี้เป็นตัวอัปเดตล่าสุด และจากที่นักวิจัยของบริษัท AhnLab ได้พัฒนาและแกะการทำงาน จนสรุปได้ความว่ามัลแวร์รุ่นปัจจุบัน คือผู้คุกคามที่อยู่เบื้องหลังมัลแวร์ Gh0stCringe และกำลังกำหนดเป้าหมายเซิร์ฟเวอร์ฐานข้อมูลที่มีความปลอดภัยต่ำ ด้วยชุดข้อมูลประจำตัวต่อบัญชีที่อ่อนแอ และมีระบบป้องกันภัยที่ต่ำกว่ามาตรฐาน และไร้การป้องกันดูแล
อันตรายจากมัลแวร์ Gh0stCringe
มัลแวร์ Gh0stCringe มีความเป็นอันตรายอย่างไรนั้น ตอบได้ว่า มัลแวร์ตัวนี้ คือมัลแวร์ที่สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ เพื่อรับคำสั่งที่กำหนดเองจากผู้ควบคุมระยะไกล มีการกรองข้อมูลบางชนิดที่สามารถนำไปใช้งานต่อได้ และมัลแวร์ยังสร้างการจดจำขณะที่ผู้ใช้กำลังพิมพ์แป้นคีย์บอร์ดอยู่ได้ด้วย เรียกได้ว่า หากเซิร์ฟเวอร์ฐานข้อมูลนั้นไม่มีมาตรการด้านความปลอดภัยที่รัดกุมมากพอ ข้อมูลก็จะถูกมัลแวร์ขโมยไปได้ง่ายๆ อย่างแน่นอน
การทำงานของมัลแวร์ Gh0stCringe
- เชื่อมต่อกับ URL ผ่านเบราว์เซอร์ Internet Explorer
- ทำลาย MBR (มาสเตอร์บูตเรคคอร์ด)
- Keylogging (คำสั่งอิสระ)
- ขโมยฐานข้อมูลคลิปบอร์ด
- รวบรวมข้อมูลที่เกี่ยวข้องกับ Tencent
- อัปเดตและถอนการติดตั้ง
- ลงทะเบียน Run Key
- ยุติระบบโฮสต์
- รีบูต NIC
- สแกนหากระบวนการที่ทำงานอยู่
- แสดงข้อความป๊อปอัป
ดูจากภาพนี้ จะสังเกตุเห็นได้ว่า มัลแวร์จะทำการเจาะเซิร์ฟเวอร์ด้วยการเขียนไฟล์ mcsql.exe ลง drive เพื่อรันโปรแกรมทำลายล้างเซิร์ฟเวอร์ ซึ่งการโจมตีเหล่านี้ จะคล้ายคลึงกับการโจมตีเซิร์ฟเวอร์ Microsoft SQL เมื่อเดือนกุมภาพันธ์ 2021 ที่ผ่านมา โดยใช้คำสั่ง Microsoft SQL xp_cmdshell เพื่อติดตั้ง Cobalt Strike beacons
ผลจากการติดมัลแวร์ Gh0stCringe
เราทราบได้อย่างไรว่าเครื่องคอมพิวเตอร์นั้นมีการติดมัลแวร์ไปแล้ว โดยให้เข้าไปตรวจสอบวิธีการของมัลแวร์ ส่วนใหญ่จะเกิดความเสี่ยงในการใช้งาน CPU ที่มากเกินไป กินไฟ กินทรัพยากรสูงกว่าปกติ หากเป็นเซิร์ฟเวอร์ที่มีการจัดการที่ไม่ดี อาจไม่เกิดสัญญาณเตือนใดๆ ดังนั้นต้องคอยหมั่นตรวจสอบอยู่เสมอ
ข้อแนะนำหากคิดว่าติดมัลแวร์ Gh0stCringe แล้ว ผู้ดูแลควรทำการอัปเดตซอฟต์แวร์ เพื่ออัปเดตความปลอดภัยให้เป็นเวอร์ชันล่าสุด อาจช่วยปิดช่องโหว่ต่างๆ ที่กำลังถูกโจมตี ควรใช้รหัสผ่านในขั้นตอนที่สามารถทำได้ กำหนดผู้ใช้ อุปกรณ์ที่ได้รับอนุญาตให้เข้าถึง และอย่าลืมตรวจสอบการดำเนินงานกิจกรรมบนเซิร์ฟเวอร์ทั้งหมด เพื่อควบคุมการเข้าถึง
หากไม่สามารถแก้ไขใดๆ ได้ ควรเรียกใช้บริการผู้เชี่ยวชาญด้านระบบความปลอดภัยเซิร์ฟเวอร์
ที่มาข้อมูล : www.bleepingcomputer.com
อ้างอิง/ภาพ : news.thaiware.com/20427.html
เรียบเรียง : www.swenth.com