แรนซัมแวร์ Qilin และ Warlock ใช้ช่องโหว่บนไดร์เวอร์ปิดเครื่องมือ EDR ได้มากกว่า 300 ตัว

แรนซัมแวร์ Qilin และ Warlock ใช้ช่องโหว่บนไดร์เวอร์ปิดเครื่องมือ EDR ได้มากกว่า 300 ตัว

มัลแวร์เพื่อการเรียกค่าไถ่จากเหยื่อ หรือ Ransomware นั้นเรียกได้ว่าเป็นปัญหาร้ายแรงในระดับองค์กร ที่องค์กรต่าง ๆ ล้วนแต่ต้องหาวิธีป้องกันให้ได้อย่างดีที่สุด เพราะการถูกแรนซัมแวร์โจมตีนั้นร้ายแรงจนสามารถนำพาไปสู่การล่มสลายของกิจการได้ แต่ถึงแม้จะหาวิธีป้องกันอย่างดีที่สุดแล้วก็ตาม แรนซัมแวร์เองก็พัฒนาตัวเองอยู่คลอดเวลาเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทีมวิจัยจากบริษัทผู้พัฒนาเครื่องมือสำหรับระบบเครือข่าย (Network) ชื่อดังอย่าง Cisco Talos และจากบริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ Trend Micro ได้ตรวจพบเทคนิคการฝ่าระบบป้องกันปลายทาง (EDR หรือ End Point Detection and Response) ของกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแรนซัมแวร์ Qilin และ Warlock ด้วยเทคนิคการวางไดร์เวอร์เวอร์ชันที่มีจุดอ่อนด้วยตนเอง หรือ BYOVD (Bring Your Own Vulnerable Driver)

ซึ่งวิธีการดังกล่าวของแรนซัมแวร์ Qilin นั้นจะเป็นการใช้งานไฟล์ DLL ของมัลแวร์ที่มีชื่อว่า "msimg32.dll" ซึ่งเป็นส่วนหนึ่งของการฝังตัวของมัลแวร์แบบหลายขั้นตอน (Multi-Stages Infection) โดยเริ่มจากการใช้เครื่องมือมัลแวร์นกต่อ (Loader) ที่มีชื่อว่า PE Loader ซึ่งจะทำหน้าที่ในการเตรียมสภาพแวดล้อม (Environment) ให้พร้อมด้วยการทำการโหลดไฟล์ DLL ของตนเอง หรือ DLL Sideloading เพื่อปลดล็อกไฟล์มัลแวร์ (Payload) ที่ทำหน้าที่เป็นเครื่องมือจัดการปิด EDR หรือ EDR Killer ออกมาจากตัว PE Loader โดยตัว Loader ตัวนี้ได้มีการใช้งานเทคนิคหลายอย่างในการป้องกันการถูกตรวจจับ เช่น การใช้ User-Mode Hooks เข้ามาระงับการทำงานของ Event Tracing for Windows (ETW) เพื่อปกปิดการบันทึกเหตุการณ์การทำงานของมัลแวร์ (Event Log) ไม่ให้ถูกตรวจสอบได้โดยง่าย

หลังจากที่ได้ทำการคลายตัวไฟล์มัลแวร์ (Payload) ตัวที่ 2 ซึ่งเป็น EDR Killer ทั้ง 2 ตัว พร้อมทั้งไดร์เวอร์ 2 ตัวที่ใช้งานร่วมกันออกมา ดังนี้

ตัวแรกจะเป็นเครื่องมือสำหรับการปิด EDR Callback (กลไกสำหรับการใช้ตรวจสอบเหตุการณ์น่าสงสัย) โดยจะทำงานร่วมกับไดร์เวอร์ชื่อว่า rwdrv.sys ซึ่งถูกเปลี่ยนชื่อมาจาก "ThrottleStop.sys" อีกที โดยไดร์เวอร์ตัวนี้จะใช้ในการเข้าถึงหน่วยความจำในระดับฮาร์ดแวร์ (Physical Memory) ในโหมดแกนกลาง (Kermel-Mode)

ตัวที่ 2 จะทำหน้าที่ปิดการทำงาน หรือ Process ของตัว EDR โดยจะทำงานร่วมกับไดร์เวอร์ชื่อว่า hlpdrv.sys ซึ่งในการทำงานร่วมกันนี้ จะช่วยให้ตัวมัลแวร์สามารถปิดเครื่องมือ EDR ได้มากถึง 300 ตัวเลยทีเดียว

มัลแวร์ Qilin เรียกได้ว่าเป็นแรนซัมแวร์ที่ถูกใช้งานที่สุดอันดับ 1 โดยมีความเกี่ยวพันกับการโจมตีด้วยแรนซัมแวร์มากถึง 22 กรณี จาก 134 กรณี ในปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งเมื่อตีเป็นร้อยละแล้ว มากถึง 16.4% ของการโจมตีทั้งหมด โดยการโจมตีของแรนซัมแวร์ Qilin เรียกได้ว่าเรียบง่าย เพราะเริ่มต้นจากการใช้รหัสผ่านเข้าสู่ระบบที่ถูกขโมยมาเพื่อเข้าไปวางแรนซัมแวร์บนระบบ

ขณะที่แรนซัมแวร์ Warlock (หรือเป็นที่รู้จักกันในชื่อ Water Manaul) กลับมีการโจมตีที่ซับซ้อนกว่า ด้วยการใช้งานช่องโหว่บนเซิร์ฟเวอร์ Microsoft SharePoint ที่ไม่ถูกอัปเดต เพื่อรุกรานเข้าสู่ระบบ ซึ่งในช่วงที่รุกรานเข้าสู่ระบบนั้นก็จะมีการอัปเดตชุดเครื่องมือ (Toolset) เพื่อรับประกันความคงทนบนระบบ (Persistent), หลบเลี่ยงการถูกตรวจจับ, และเข้ารุกระบบภายในแบบวงกว้าง (Lateral Movement) ต่อไป โดยในการนี้ได้มีการใช้งานเครื่องมืออย่าง TightVNC เพื่อช่วยให้แฮกเกอร์ที่ควบคุมแรนซัมแวร์สามารถเข้าถึงระบบได้ตลอดเวลา แต่ได้มีการใช้ไดร์เวอร์ที่มีช่องโหว่อย่าง NSec driver ("NSecKrnl.sys") เพื่อเข้าช่วยปิดระบบป้องกันในระดับ Kernel ซึ่งเป็นเทคนิค BYOVD เช่นเดียวกัน นอกจากนั้นยังได้มีการนำเอาเครื่องมืออีกหลายตัวเข้ามาช่วยในการปฏิบัติการบนแคมเปญล่าสุด เช่น

PsExec สำหรับการทำ Lateral Movement
RDP Patcher ใช้ในการเข้าควบคุมเครื่องผ่านทาง Remote Desktop Protocol หรือ RDP
Velociraptor ใช้ในการสั่งการและควบคุม หรือ C2 (Command and Control)
Visual Studio Code และ Cloudflare Tunnel ใช้เป็นช่องทาง (Tunnel) ในการติดต่อกับเซิร์ฟเวอร์ C2
Yuze ใช้ในการเจาะระบบอินทราเน็ต (Intranet) ภายในองค์กร และใช้ทำ Reverse Proxy กลับไปยังเซิร์ฟเวอร์ C2 ผ่านทางพอร์ต 80 (HTTP), พอร์ต 443 (HTTPS), และ พอร์ต 53 (DNS)
Rclone ใช้ในการแอบส่งออกข้อมูล (Exfiltration)