ไฟล์ Cabinet (CAB) ไม่ได้มีไว้แค่เก็บข้อมูล แต่แฮกเกอร์ใช้มันเพื่อรันมัลแวร์ได้ด้วย

By FatzQatz Contributor on Tag: Security, Malware, Cybersecurity, In-Depth
Security

ผมเชื่อว่าผู้ใช้งานสายวินโดว์น่าจะพอคุ้นเคยกับไฟล์ประเภท Cabinet ที่มีนามสกุลไฟล์คือ .cab (ต่อไปนี้เราจะเรียกแบบย่อว่า CAB) ซึ่งโดยปกติแล้วมักจะถูกใช้ในการเก็บไฟล์และข้อมูลที่ถูกบีบอัด (compressed) เอาไว้ภายใน แต่นอกเหนือจากการใช้งานแบบปกติทั่วไปแล้ว ผู้โจมตีหรือแฮกเกอร์สามารถดัดแปลงไฟล์ CAB เพื่อใช้ในการรันมัลแวร์บนเครื่องเหยื่อด้วยการกดดับเบิ้ลคลิ๊กเพียงครั้งเดียวเท่านั้นครับ

ที่มาที่ไป

สืบเนื่องจากผมพบว่ามีการโจมตีผ่าน phishing email อันหนึ่ง ซึ่งมีการแนบไฟล์ประเภท Gzip เอาไว้ โดยหลังจากผ่านกระบวน extraction สองขั้นตอนด้วยเครื่องมือเฉพาะ เราจึงจะได้พบกับไฟล์ต้องสงสัยซึ่งเก็บอยู่ภายในจำนวนหลายรายการ แต่ไฟล์ที่เราสนใจในที่นี้มีเพียงรายการเดียวคือไฟล์ที่มีชื่อว่า NEOMS_EOI_FORM.cmd


ภาพที่ 1 ไฟล์ต้องสงสัย

หลายท่านคงสังเกตุเห็นแล้วว่าไฟล์ดังกล่าว มีนามสกุลไฟล์ (File Extension) คือ .cmd ซึ่งเป็นนามสกุลไฟล์ของไฟล์ประเภทสคริปต์ที่จะถูก execute ผ่าน Windows Command Shell (CMD) หรือ cmd[.]exe แต่อย่าพึ่งด่วนสรุปไปครับ ของแบบนี้ในโลกของ cybersecurity เขาลวงกันได้ง่าย ๆ

นามสกุลไฟล์พาฉงน

เรามาลองเปิดไฟล์ NEOMS_EOI_FORM.cmd ผ่านเครื่องมือประเภท Hex Editor ดูกันก่อนดีกว่า


ภาพที่ 2 ข้อมูลค่า Hex ของไฟล์ NEOMS_EOI_FORM.cmd และผลลัพธ์จากคำสั่ง file

จากภาพ เราจะเห็นได้ว่า File Header ของไฟล์ NEOMS_EOI_FORM.cmd มีค่าเท่ากับ MSCF (4Dh 53h 43h 46h) ซึ่งตรงกับค่า File Header ของไฟล์ประเภท CAB นอกจากนี้ ถ้าหากเราใช้คำสั่ง file ใน Linux ในการตรวจสอบ จะพบว่าไฟล์ดังกล่าวถูกระบุว่าเป็นไฟล์ประเภท Microsoft Cabinet archive data ซึ่งข้อมูลจากทั้งสองแหล่งสอดคล้องกันเป็นอย่างดี และนั่นหมายความว่าโปรแกรมบางตัวจะยังคงมองว่าไฟล์ NEOMS_EOI_FORM.cmd เป็นไฟล์ประเภท CAB โดยที่ไม่สนใจนามสกุลไฟล์แต่อย่างใด

แต่เหตุใดแฮกเกอร์จึงใช้ .cmd เป็นนามสกุลไฟล์ แทนที่จะใช้ .cab ตามปกติ? เราสามารถหาคำตอบกันได้จากในหัวข้อถัดไปครับ

แปลงไฟล์ CAB ให้เป็น Loader เพื่อใช้รันมัลแวร์

ก่อนอื่นเราลองมาเปรียบเทียบค่า Hex ระหว่างไฟล์ CAB แบบปกติ กับไฟล์ NEOMS_EOI_FORM.cmd กันดูซะหน่อย


ภาพที่ 3 เปรียบเทียบระหว่างไฟล์ CAB ปกติ กับไฟล์ NEOMS_EOI_FORM.cmd

ผมเชื่อว่าหลายท่านคงจะสังเกตุเห็นความผิดปกติในฝั่งของไฟล์ NEOMS_EOI_FORM.cmd ซึ่งจะเห็นได้ค่อนข้างชัดเจนว่ามีการฝัง CMD command เอาไว้ รวมไปถึงมีการฝังไฟล์ประเภท portable executable (PE) เอาไว้อีกด้วย


ภาพที่ 4 รายละเอียดของไฟล์ NEOMS_EOI_FORM.cmd เมื่อเปิดผ่านเครื่องมือ Hex Editor

สิ่งที่จะเกิดขึ้นเมื่อไฟล์ NEOMS_EOI_FORM.cmd ถูกดับเบิ้ลคลิ๊กคือ ระบบปฏิบัติการวินโดว์ จะทำการเรียกใช้งาน CMD มาเปิดไฟล์ดังกล่าวเนื่องจาก ระบบปฏิบัติการฯ จะเรียกใช้งานโปรแกรมโดยอ้างอิงจากนามสกุลไฟล์เป็นหลัก และต่อมา CMD จะทำการอ่านข้อมูลคำสั่งจากภายในไฟล์ NEOMS_EOI_FORM.cmd ซึ่งทุกท่านน่าจะยังคงจำได้ดีว่าภายในไฟล์ดังกล่าวมีการฝัง CMD command เอาไว้คือ

cls && extrac32 /y “%~f0” “%tmp%\x.exe” && start “” “%tmp%\x.exe”

โดยเราสามารถตีความ CMD command ดังกล่าวได้ดังนี้

  • cls ใช้เพื่อเคลียร์ข้อมูลในหน้า console ซึ่งเป็นไปได้ว่าแฮกเกอร์มีเจตนาที่เพิ่มความแนบเนียนขณะที่คำสั่งกำลังทำงาน
  • extrac32 /y “%~f0” “%tmp%\x.exe” เป็นการเรียกใช้งาน extrac32.exe ซึ่งเป็นหนึ่งใน Windows Utility Tools เพื่อทำการสกัดไฟล์ PE จากตัวสคริปต์เอง (ซึ่งก็คือไฟล์ NEOMS_EOI_FORM.cmd) และทำการเก็บเอาไว้ภายในโฟลเดอร์ %TEMP% โดยใช้ชื่อว่า x.exe
  • start “” “%tmp%\x.exe” ทำการ execute ไฟล์ PE ดังกล่าว


ภาพที่ 5 รายละเอียด Process Tree เมื่อไฟล์ NEOMS_EOI_FORM.cmd ถูก execute

ทั้งนี้ ไฟล์ x.exe คือมัลแวร์ ModiLoader หรือรู้จักกันในอีกชื่อหนึ่งว่า DBatLoader ซึ่งเมื่อถูก execute แล้ว ในท้ายที่สุดจะทำการติดตั้งมัลแวร์ประเภท InfoStealer ชื่อ Agent Tesla ลงในเครื่องเหยื่อ

ถึงจุดนี้ทุกท่านพอจะเข้าใจเหตุผลที่แฮกเกอร์ตั้งใจใช้นามสกุลไฟล์ .cmd กับไฟล์ประเภท CAB ที่ถูกดัดแปลงข้อมูลเอาไว้ หรือยังครับ?

สรุป

แฮกเกอร์สร้าง Loader ขึ้นมาด้วยการดัดแปลงไฟล์ CAB โดยทำการฝัง CMD command และไฟล์ PE เอาไว้ภายใน จากนั้นทำการปลอมนามสกุลไฟล์เป็น .cmd เพื่อแสวงประโยชน์จากระบบปฏิบัติการให้เรียกใช้ CMD มาทำการอ่านค่า CMD command ที่ฝังอยู่ภายในไฟล์นั้น ซึ่งคำสั่งดังกล่าวจะทำหน้าที่ในการเรียกใช้งาน extrac32.exe มาทำการสกัดไฟล์ PE และทำการ execute ในท้ายที่สุด โดยการที่ extrac32.exe ยังคงสามารถสกัดข้อมูลจากไฟล์ NEOMS_EOI_FORM.cmd ได้เนื่องจากไฟล์ดังกล่าวมี File Header เป็นของไฟล์ประเภท CAB นั่นเอง

ถ้าทุกท่านสังเกตุดี ๆ จะเห็นว่าในการรันมัลแวร์นั้น แฮกเกอร์ใช้เครื่องมือต่าง ๆ ที่มีติดตั้งอยู่ในระบบปฏิบัติการฯ อยู่แล้ว เช่น CMD และ extrac32 ซึ่งเป็นเทคนิคที่เรียกว่า Living Off the Land Binaries (LOLBins) โดยมีวัตถุประสงค์เพื่อหลบเลี่ยงการตรวจจับของระบบป้องกันภัยคุกคามต่าง ๆ

ขอบคุณทุกท่านที่ทนอ่านจนจบ หวังว่าจะเป็นประโยชน์บ้างไม่มากก็น้อยครับ

ทุกท่านสามารถตรวจสอบข้อมูล Indicators of Compromise (IOCs) รวมถึง Sigma Rule และ YARA Rule เพื่อใช้ในการตรวจจับภัยคุกคามนี้ได้จาก ที่มา ด้านล่างนี้ครับ

ที่มา - FatzQatz’s Medium Blog Post, IOCs, YARA Rule, Sigma Rule

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand