Windows ยุคใหม่ส่วนใหญ่ใช้ Microsoft Defender เป็นแนวป้องกันชั้นแรกเพื่อรับมือกับมัลแวร์ ซึ่งตลอดหลายปีที่ผ่านมา Microsoft Defender ได้พัฒนาจนกลายเป็นโปรแกรมป้องกันไวรัสที่ทรงประสิทธิภาพและมักถูกมองข้าม
แต่กลุ่ม แฮกเกอร์ก็ได้ค้นพบวิธีใช้ประโยชน์จากไดรเวอร์ปรับแต่ง CPU ของ Intel ในการโจมตีแบบ BYOVD เพื่อสิ่งปิด Microsoft Defender โดยสมบูรณ์ หรือ การนำไดรเวอร์ที่มีช่องโหว่มาใช้ โดยมีขั้นตอนคือ
1.ใช้ไดรเวอร์ที่ถูกกฎหมาย โดยแฮกเกอร์นำไดรเวอร์ของ Intel ชื่อ rwdrv.sys (ซึ่งเป็นไดรเวอร์จริงที่ใช้ในโปรแกรมปรับแต่ง CPU) มาติดตั้งในเครื่องของเหยื่อ ซึ่งวิธีการติดตั้ง น่าจะเป็นการหลอกให้เหยื่อติดตั้งซอฟต์แวร์ต่าง ๆ ซึ่งเป็นวิธีการที่หลอกได้ง่าย
2.เมื่อติดตั้งไดรเวอร์ แล้ว ก็สามารถ เข้าควบคุมระบบได้ โดยตัวนี้มีสิทธิ์เข้าถึงระบบในระดับลึก (Kernel-level) ทำให้แฮกเกอร์สามารถควบคุมส่วนสำคัญของ Windows ได้
3.หลังจากนั้น ก็สั่งปิด Defender โดยแฮกเกอร์จะใช้สิทธิ์นี้ในการแก้ไขค่าใน Registry ของ Windows เพื่อสั่งปิดการทำงานของ Microsoft Defender อย่างสมบูรณ์
4.สุดท้าย ก็ปล่อยมัลแวร์ เพราะเมื่อเกราะป้องกันหลักถูกปิด แฮกเกอร์ก็จะสามารถปล่อยแรนซัมแวร์หรือมัลแวร์อื่นๆ เข้ามาในเครื่องเพื่อขโมยข้อมูลหรือเรียกค่าไถ่ได้อย่างง่ายดาย
นอกจากการโจมตี Windows Defender แล้วแฮกเกอร์กลุ่มนี้ ยังมีเป้าหมายโจมตีอุปกรณ์ VPN ของ SonicWall เพื่อเจาะเข้าระบบเครือข่ายขององค์กรอีกด้วย
ป้องกันตัวยังไงดี?
1.ใช้โปรแกรมแอนตี้ไวรัสเสริม อย่าพึ่งพาแค่ Windows Defender เพียงอย่างเดียว เพื่อเป็นเกราะชั้นที่ 2 หาก Microsoft Defender ถูกทำลาย
2.จำกัดความเสี่ยง โดยระมัดระวังในการใช้งานอินเทอร์เน็ต หลีกเลี่ยงการคลิกลิงก์น่าสงสัย, ไม่เปิดไฟล์แนบจากอีเมลที่ไม่รู้จัก และดาวน์โหลดโปรแกรมจากแหล่งที่น่าเชื่อถือเท่านั้น
3.อย่ารันคำสั่งที่ไม่เข้าใจ โดยห้ามคัดลอกและวางคำสั่งแปลกๆ (เช่น PowerShell script) ที่เจอตามเว็บไซต์ต่างๆ มาใช้งานบนเครื่องของเราเด็ดขาด เพราะอาจเป็นคำสั่งที่แฝงมัลแวร์มา
4.หมั่นอัปเดตระบบปฏิบัติการ Windows, เว็บเบราว์เซอร์ และโปรแกรมอื่นๆ ให้เป็นเวอร์ชันล่าสุดเสมอ เพื่อปิดช่องโหว่ที่แฮกเกอร์อาจใช้โจมตีได้
5.เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ในทุกบัญชีที่ทำได้ เช่น อีเมล, โซเชียลมีเดีย หรือบัญชีธนาคาร เพื่อเพิ่มความปลอดภัยอีกชั้น แม้แฮกเกอร์จะได้รหัสผ่านไป ก็ยังไม่สามารถเข้าระบบได้
ที่มา
