ผู้เชี่ยวชาญจาก intezer พบ malware ประเภท worm ที่ใช้ Golang โจมตีตั้งแต่เดือนธันวาคม 2020 ที่ผ่านมา โดยพุ่งเป้าไปยัง public-facing services รวมถึง Tomcat และ Jenkin ซึ่งอาจส่งผลให้เซิร์ฟเวอร์ Windows และ Linux เกิดความเสียหาย

ภาพประกอบ: การเขียนโค้ดของ Tomcat และ Jenkin

โดยวิธีการของ worm ประเภทนี้คือ จะแพร่กระจายโดยการ scan หาระบบที่ทำงานอยู่และใช้เทคนิค credential spraying brute force attack (การใช้โปรแกรมเพื่อสุ่มรหัสผ่าน) ในการเจาะเข้าระบบและใช้ไฟล์อีก 3 ไฟล์ที่มาจาก C&C เดียวกันในการโจมตี คือ a dropper script (bash หรือ powershell), Golang binary worm และ XMRig Miner

เมื่อเกิดการโจมตี worm จะใช้ loader script (ld.sh สำหรับ Linux และ ld.ps1สำหรับ Windows) เพื่อโหลด XMRig miner และ Golang-based worm binary บนระบบ Linux และจะใช้งาน port 52013 หากเครื่องนั้นๆ มีการใช้งานอยู่
แต่หากไม่ได้เปิดใช้งาน worm ก็จะเปิด port ด้วยตัวเอง

สำหรับวิธีการป้องกันการโจมตีในลักษณะของ brute force attacks และป้องกันการโจมตีผ่านช่องโหว่นั้น ในเบื้องต้นควรทำดังนี้

  1. ตั้งรหัสผ่านที่มีความซับซ้อนและยากต่อการคาดเดา
  2. จำกัดการพยายาม login (Login Limit)
  3. ใช้ 2FA
  4. ใช้ระบบ public-facing services ให้น้อยที่สุด
  5. หมั่นอัปเดต software อย่างสม่ำเสมอ

ก็จะสามารถช่วยป้องกันการถูกโจมตีได้มาก

ที่มา: https://securityaffairs.co/wordpress/112825/malware/golang-based-worm-windows-linux.html



เนื้อหาที่เกี่ยวข้อง

1. Microsoft แชร์วิธีแฮกเกอร์โจมตี SolarWinds และหลบเลี่ยงระบบตรวจจับ

2. พบ Bug ใน Windows 10 ทำให้ขึ้นจอฟ้า (Blue-Screen)

3. VLC ออกเวอร์ชัน 3.0.12 มีแก้ไขเรื่อง ความปลอดภัย ผู้ใช้ควรอัปเดต

4. Source Code ของ Nissan รั่ว 20 GB เหุตเพราะ Password เดาง่าย

5. CISA เตือนองค์กรที่ใช้บริการ Cloud หลังจากพบการโจมตีหลายรูปแบบ