ผู้เชี่ยวชาญจาก intezer พบ malware ประเภท worm ที่ใช้ Golang โจมตีตั้งแต่เดือนธันวาคม 2020 ที่ผ่านมา โดยพุ่งเป้าไปยัง public-facing services รวมถึง Tomcat และ Jenkin ซึ่งอาจส่งผลให้เซิร์ฟเวอร์ Windows และ Linux เกิดความเสียหาย

ภาพประกอบ: การเขียนโค้ดของ Tomcat และ Jenkin

โดยวิธีการของ worm ประเภทนี้คือ จะแพร่กระจายโดยการ scan หาระบบที่ทำงานอยู่และใช้เทคนิค credential spraying brute force attack (การใช้โปรแกรมเพื่อสุ่มรหัสผ่าน) ในการเจาะเข้าระบบและใช้ไฟล์อีก 3 ไฟล์ที่มาจาก C&C เดียวกันในการโจมตี คือ a dropper script (bash หรือ powershell), Golang binary worm และ XMRig Miner

เมื่อเกิดการโจมตี worm จะใช้ loader script (ld.sh สำหรับ Linux และ ld.ps1สำหรับ Windows) เพื่อโหลด XMRig miner และ Golang-based worm binary บนระบบ Linux และจะใช้งาน port 52013 หากเครื่องนั้นๆ มีการใช้งานอยู่
แต่หากไม่ได้เปิดใช้งาน worm ก็จะเปิด port ด้วยตัวเอง

สำหรับวิธีการป้องกันการโจมตีในลักษณะของ brute force attacks และป้องกันการโจมตีผ่านช่องโหว่นั้น ในเบื้องต้นควรทำดังนี้

  1. ตั้งรหัสผ่านที่มีความซับซ้อนและยากต่อการคาดเดา
  2. จำกัดการพยายาม login (Login Limit)
  3. ใช้ 2FA
  4. ใช้ระบบ public-facing services ให้น้อยที่สุด
  5. หมั่นอัปเดต software อย่างสม่ำเสมอ

ก็จะสามารถช่วยป้องกันการถูกโจมตีได้มาก

ที่มา: https://securityaffairs.co/wordpress/112825/malware/golang-based-worm-windows-linux.html



เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ