แกะรอยมัลแวร์ยุคใหม่: ทำไมแค่สัญญาณเดียวไม่เคยพอ?
โลกไซเบอร์เต็มไปด้วยภัยคุกคาม มัลแวร์คือหนึ่งในอาวุธร้ายที่พัฒนาอย่างไม่หยุดยั้ง การตรวจจับมัลแวร์ด้วยวิธีเดิม ๆ ที่พึ่งพาสัญญาณเพียงอย่างเดียวจึงไม่เพียงพออีกต่อไป
ผู้โจมตีฉลาดขึ้น พวกเขารู้วิธีหลบเลี่ยงการตรวจจับแบบผิวเผิน
ถึงเวลาที่เราต้องมองให้ลึก วิเคราะห์ให้รอบด้าน และเชื่อมโยงข้อมูลเข้าด้วยกัน เพื่อสร้างกำแพงป้องกันที่แข็งแกร่งยิ่งขึ้น
ทำไมแค่สัญญาณเดียวไม่พอ?
จินตนาการว่ากำลังตามหาสายลับ เพียงแค่รู้ว่าเขามีรถสีแดง อาจยังไม่เพียงพอที่จะยืนยันตัวตน
เพราะคนที่มีรถสีแดงมีอยู่มากมาย
เช่นเดียวกัน การตรวจจับมัลแวร์ด้วย แฮช (Hash) ของไฟล์อย่างเดียว เป็นวิธีที่ง่ายที่สุด แต่ก็ถูกหลบเลี่ยงได้ง่ายที่สุด
มัลแวร์สามารถเปลี่ยน แฮช ได้แทบจะทันที เพียงแค่แก้ไขข้อมูลเล็กน้อยภายในไฟล์
การพึ่งพาสัญญาณโดด ๆ เพียงหนึ่งเดียว ไม่ว่าจะเป็น ชื่อไฟล์ ขนาดไฟล์ หรือแม้แต่ สตริง บางตัวที่พบในโค้ด มักจะนำไปสู่การพลาดเป้าหมายสำคัญได้ง่าย ๆ
สร้างคลังแสงตรวจจับ: ส่วนประกอบของไฟล์ PE
ไฟล์โปรแกรมบนระบบปฏิบัติการ Windows ที่เราคุ้นเคยกันดี มักอยู่ในรูปแบบ Portable Executable (PE)
โครงสร้างของไฟล์ PE ไม่ได้ซับซ้อนอย่างที่คิด และทุกส่วนล้วนเป็นแหล่งข้อมูลสำคัญในการแกะรอยมัลแวร์
ลองคิดว่ามันคือแผนผังอาคาร แต่ละห้อง แต่ละทางเดิน ล้วนมีเรื่องราวให้บอกเล่า
ตั้งแต่ ส่วนหัว (Headers) ที่บอกข้อมูลพื้นฐานของไฟล์
ไปจนถึง ส่วนข้อมูล (Sections) ที่เก็บโค้ด คำสั่ง และข้อมูลต่าง ๆ
รวมถึง ตารางนำเข้า (Import Address Table) ที่บอกว่าโปรแกรมนี้เรียกใช้ฟังก์ชันอะไรจากระบบบ้าง
และ ทรัพยากร (Resources) ที่อาจซ่อนข้อมูลหรือไฟล์อื่น ๆ ไว้ภายใน
แม้แต่ ลายเซ็นดิจิทัล (Digital Signatures) ก็สามารถเป็นเบาะแสได้ ไม่ว่าจะเป็นของแท้ ปลอม หรือไม่มีเลย
สัญญาณสำคัญที่ควรมองหา
การวิเคราะห์ไฟล์ PE จำเป็นต้องเก็บรวบรวมข้อมูลหลากหลายรูปแบบ
เริ่มต้นจาก แฮช ซึ่งยังคงมีประโยชน์ในการระบุไฟล์ที่รู้จักอย่างรวดเร็ว
สตริง ทั้งแบบ ASCII และ Unicode ที่ปรากฏในไฟล์ สามารถเผยถึง ที่อยู่ C2 (Command and Control) โดเมนที่ติดต่อ หรือแม้แต่ข้อความแจ้งเตือนที่โปรแกรมใช้
ฟังก์ชันที่นำเข้า (Imports) บ่งบอกถึงความสามารถของโปรแกรม
หากพบการเรียกใช้ API ที่เกี่ยวข้องกับการจัดการโปรเซส การอ่านเขียนหน่วยความจำ หรือการเข้ารหัส ก็อาจเป็นสัญญาณอันตราย
ความหนาแน่นของข้อมูล (Entropy) สูงผิดปกติในบางส่วนของไฟล์ อาจบ่งชี้ว่าไฟล์ถูก บีบอัด หรือ เข้ารหัส ไว้ เพื่อปกปิดโค้ดจริง
ข้อมูลเกี่ยวกับ เวอร์ชัน (Version Info) ของไฟล์ ใบรับรองดิจิทัล (Digital Certificates) และแม้แต่ ** manifests** ก็สามารถให้เบาะแสเกี่ยวกับความน่าเชื่อถือหรือความผิดปกติได้
หัวใจของการวิเคราะห์: การเชื่อมโยงข้อมูล
การรวบรวมสัญญาณเหล่านี้เป็นแค่จุดเริ่มต้น
หัวใจสำคัญของการวิเคราะห์มัลแวร์ยุคใหม่คือ การเชื่อมโยงและเปรียบเทียบข้อมูล เข้าด้วยกัน
สัญญาณเดียวอาจอ่อนแอ แต่เมื่อหลายสัญญาณรวมกัน จะสร้างหลักฐานที่แข็งแกร่งอย่างคาดไม่ถึง
ลองนึกภาพไฟล์ที่มี เอนโทรปี สูงผิดปกติ
แถมยัง นำเข้า API ที่ใช้สำหรับฉีดโค้ดเข้าสู่โปรเซสอื่น
และยังพบ สตริง ที่เชื่อมโยงกับโดเมนที่ไม่น่าไว้วางใจ
สัญญาณเหล่านี้เมื่อแยกกัน อาจไม่เพียงพอที่จะระบุว่าเป็นมัลแวร์
แต่เมื่อ เชื่อมโยง เข้าด้วยกัน ภาพของภัยคุกคามก็ชัดเจนขึ้นทันที
การสร้าง คะแนนความเสี่ยง (Threat Score) จากการวิเคราะห์หลากหลายมิติ ช่วยให้เข้าใจระดับความอันตรายของไฟล์ได้อย่างแม่นยำ
เราไม่ได้มองหา “ระเบิด” ลูกเดียวอีกต่อไป แต่กำลังประเมิน “พฤติกรรมน่าสงสัย” ทั้งหมดที่รวมกัน
การสร้างระบบอัตโนมัติที่สามารถสกัดและ เชื่อมโยงข้อมูล เหล่านี้ได้อย่างรวดเร็ว จะช่วยให้การป้องกันภัยไซเบอร์มีประสิทธิภาพมากยิ่งขึ้น
เพราะความเข้าใจในภาพรวมที่สมบูรณ์เท่านั้น ที่จะช่วยให้เรารู้ทันกลอุบายของผู้ไม่หวังดี.