เจาะลึก BYOVD: เมื่อไดรเวอร์ถูกกฎหมายกลายเป็นอาวุธร้ายทำลาย EDR
EDR คืออะไร และทำไมมันถึงสำคัญนัก?
ในโลกไซเบอร์ปัจจุบัน EDR หรือ Endpoint Detection and Response เปรียบเสมือนดวงตาที่คอยจับตาดูทุกการเคลื่อนไหวภายในระบบคอมพิวเตอร์อย่างใกล้ชิด
ไม่ว่าจะเป็นการเปิดโปรแกรม การฉีดโค้ด การโหลดไลบรารี หรือการเขียนไฟล์ EDR มีความสามารถที่มองเห็นได้ลึกเข้าไปถึงระดับ Kernel ซึ่งเป็นหัวใจของระบบปฏิบัติการ โดยอาศัยกลไกที่เรียกว่า “Hook” เพื่อเฝ้าระวังภัยคุกคามตลอดเวลา
แต่จะเกิดอะไรขึ้น ถ้าศัตรูสามารถปิดตาเหล่านี้ลงได้?
BYOVD: จุดเริ่มต้นของหายนะ
BYOVD ย่อมาจาก Bring Your Own Vulnerable Driver เป็นเทคนิคที่ผู้ไม่หวังดีใช้ประโยชน์จากจุดอ่อนของ ไดรเวอร์ ที่ถูกกฎหมายและได้รับการรับรอง (Signed Driver) เพื่อเข้าควบคุมระบบในระดับสูงสุด หรือที่เรียกว่า Kernel Mode
ไดรเวอร์เหล่านี้มักเป็นของบริษัทที่น่าเชื่อถือ มี Digital Signature ทำให้ระบบปฏิบัติการเชื่อใจและอนุญาตให้ทำงานได้โดยไม่มีข้อสงสัย
แต่ไดรเวอร์ที่ดูไร้พิษภัยเหล่านี้ บางครั้งกลับมีช่องโหว่ร้ายแรงที่สามารถนำไปใช้เพื่อวัตถุประสงค์ที่ไม่ถูกต้องได้
ไดรเวอร์ที่เปราะบางทำงานอย่างไร
ไดรเวอร์เหล่านี้มักมีบั๊กหรือการออกแบบที่ผิดพลาด
ตัวอย่างเช่น ไดรเวอร์อาจอนุญาตให้เขียนข้อมูลลงใน หน่วยความจำ ใดๆ ในระบบได้ หรือสามารถเข้าถึงพอร์ต I/O ที่สำคัญได้โดยไม่มีการตรวจสอบที่เพียงพอ
ผู้โจมตีจะใช้ช่องโหว่เหล่านี้ เพื่อยกระดับสิทธิ์ตัวเองให้กลายเป็นผู้ควบคุมระบบอย่างสมบูรณ์
แผนร้ายที่ซ่อนอยู่ในไดรเวอร์
การโจมตีแบบ BYOVD มักมีขั้นตอนที่น่ากลัวดังนี้
อันดับแรก ผู้โจมตีจะค้นหา ไดรเวอร์ ที่ถูกกฎหมายและมีช่องโหว่ โดยมักจะเป็นไดรเวอร์เก่าๆ หรือไดรเวอร์จากฮาร์ดแวร์ที่ไม่ได้รับความนิยมแล้ว
เมื่อเจอเป้าหมาย ก็จะทำการคัดลอกไฟล์ไดรเวอร์นั้นเข้ามาในระบบเป้าหมาย
แม้จะไม่มีสิทธิ์ระดับผู้ดูแลระบบในตอนแรก ผู้โจมตีมักจะใช้เทคนิค Privilege Escalation เพื่อติดตั้งและโหลดไดรเวอร์เปราะบางนี้เข้าสู่ระบบ
หลังจากโหลดไดรเวอร์สำเร็จ ผู้โจมตีจะใช้ช่องโหว่ของไดรเวอร์เพื่อควบคุมระบบในระดับ Kernel
เมื่อเข้าถึง Kernel ได้ ผู้โจมตีก็สามารถทำอะไรก็ได้ ไม่ว่าจะเป็นการปิดการทำงานของ EDR ลบ Hook ที่ EDR ใช้ตรวจสอบ หรือแม้แต่หยุดกระบวนการของ EDR โดยตรง
และเมื่อ EDR ถูกปิดการใช้งาน ระบบก็ไร้การป้องกัน ผู้โจมตีก็สามารถติดตั้งมัลแวร์ หรือทำการโจมตีอื่นๆ ได้อย่างอิสระ
ทำไม BYOVD จึงอันตรายนัก
หัวใจสำคัญที่ทำให้ BYOVD เป็นภัยคุกคามที่น่ากลัว คือการที่มันใช้ ไดรเวอร์ที่มีลายเซ็นดิจิทัลที่ถูกต้อง
นี่ทำให้มันผ่านการตรวจสอบความปลอดภัยเบื้องต้นของ Windows ไปได้ เพราะระบบจะมองว่าเป็นซอฟต์แวร์ที่เชื่อถือได้
เมื่อได้สิทธิ์ระดับ Kernel แล้ว ผู้โจมตีก็สามารถหลบเลี่ยงกลไกความปลอดภัยส่วนใหญ่ที่ทำงานในระดับผู้ใช้งานได้ทั้งหมด
กลายเป็น “พระเจ้า” ที่อยู่เหนือทุกสิ่งในระบบคอมพิวเตอร์นั้นๆ
กลยุทธ์รับมือกับภัยคุกคาม BYOVD
การป้องกัน BYOVD จำเป็นต้องใช้แนวทางที่รอบด้าน
สิ่งสำคัญคือการรักษาฐานข้อมูล บัญชีดำ (Blocklist) ของไดรเวอร์ที่มีช่องโหว่ให้เป็นปัจจุบันเสมอ และบล็อกไม่ให้ไดรเวอร์เหล่านี้ถูกโหลดเข้าสู่ระบบ
การเฝ้าระวังพฤติกรรมของไดรเวอร์ และการทำงานในระดับ Kernel ก็เป็นสิ่งสำคัญ หากมีการโหลดไดรเวอร์แปลกปลอม หรือมีการกระทำที่ผิดปกติในระดับ Kernel ก็ควรแจ้งเตือนทันที
เทคโนโลยีอย่าง HVCI (Hypervisor-Protected Code Integrity) หรือ Memory Integrity ที่ช่วยป้องกันการโหลดโค้ดที่ไม่ได้รับอนุญาตเข้าสู่ Kernel ก็มีส่วนช่วยลดความเสี่ยงได้มาก
การตรวจสอบและอัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และไดรเวอร์ต่างๆ ให้ทันสมัยอยู่เสมอ ก็เป็นพื้นฐานที่ไม่อาจละเลยได้
สุดท้ายนี้ การทำความเข้าใจและเตรียมพร้อมรับมือกับภัยคุกคามในรูปแบบใหม่ๆ อย่าง BYOVD จะช่วยให้ระบบของเราปลอดภัยยิ่งขึ้นในโลกไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา