Dyreza หรือที่รู้จักในชื่อ Dyre เป็นมัลแวร์ประเภทหนึ่งที่มีชื่อเสียง โดยเฉพาะโทรจันการธนาคาร ซึ่งกำหนดเป้าหมายธุรกรรมธนาคารออนไลน์เพื่อขโมยข้อมูลทางการเงินที่ละเอียดอ่อน ความซับซ้อนของ Dyreza อยู่ที่ความสามารถในการเลี่ยงการเข้ารหัส SSL ทำให้สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนในรูปแบบข้อความธรรมดา
ต้นกำเนิดและการกล่าวถึงครั้งแรกของ Dyreza
โทรจันธนาคาร Dyreza ปรากฏขึ้นครั้งแรกในปี 2014 เมื่อนักวิจัยจาก PhishMe ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ค้นพบมัน มันถูกระบุในแคมเปญฟิชชิ่งที่ซับซ้อนซึ่งกำหนดเป้าหมายไปยังเหยื่อที่ไม่สงสัยด้วย 'รายงานการโอนเงิน' ที่มีมัลแวร์แนบมาในไฟล์ ZIP ชื่อ “Dyreza” มาจากสตริง “dyre” ที่พบในไบนารี่ของโทรจัน และ “za” เป็นตัวย่อของ “Zeus Alternative” ซึ่งอ้างอิงถึงความคล้ายคลึงกับโทรจัน Zeus ที่น่าอับอาย
อธิบายรายละเอียดเกี่ยวกับ Dyreza
Dyreza ได้รับการออกแบบมาเพื่อบันทึกข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อนอื่นๆ จากระบบที่ติดไวรัส โดยเฉพาะการกำหนดเป้าหมายเว็บไซต์ธนาคาร ใช้เทคนิคที่เรียกว่า "การเชื่อมต่อกับเบราว์เซอร์" เพื่อสกัดกั้นและจัดการปริมาณการใช้เว็บ โทรจันนี้แตกต่างจากโทรจันธนาคารอื่นๆ เนื่องจากความสามารถในการเลี่ยงผ่านการเข้ารหัส SSL (Secure Socket Layer) ทำให้สามารถอ่านและจัดการการรับส่งข้อมูลเว็บที่เข้ารหัสได้
วิธีการเผยแพร่ Dyreza หลักคืออีเมลฟิชชิ่งที่หลอกเหยื่อให้ดาวน์โหลดและเรียกใช้โทรจัน ซึ่งมักปลอมแปลงเป็นเอกสารหรือไฟล์ zip ที่ไม่เป็นอันตราย เมื่อติดตั้งแล้ว Dyreza จะรอจนกว่าผู้ใช้จะไปยังเว็บไซต์ที่สนใจ (โดยปกติจะเป็นเว็บไซต์ธนาคาร) จากนั้นจึงเปิดใช้งานและเริ่มบันทึกข้อมูล
โครงสร้างภายในและการทำงานของไดเรซา
เมื่อติดตั้งบนเครื่องของเหยื่อแล้ว Dyreza จะใช้การโจมตีแบบ 'คนในเบราว์เซอร์' เพื่อติดตามปริมาณการใช้เว็บ วิธีนี้ช่วยให้มัลแวร์แทรกฟิลด์เพิ่มเติมลงในแบบฟอร์มบนเว็บ โดยหลอกให้ผู้ใช้ให้ข้อมูลเพิ่มเติม เช่น หมายเลข PIN และ TAN Dyreza ยังใช้เทคนิคที่เรียกว่า "webinjects" เพื่อแก้ไขเนื้อหาของหน้าเว็บ โดยมักจะเพิ่มฟิลด์ลงในแบบฟอร์มเพื่อรวบรวมข้อมูลมากขึ้น
การเลี่ยงผ่าน SSL ของ Dyreza ทำได้โดยการเชื่อมต่อกับกระบวนการของเบราว์เซอร์และสกัดกั้นการรับส่งข้อมูลก่อนที่จะถูกเข้ารหัสโดย SSL หรือหลังจากถอดรหัสแล้ว ซึ่งช่วยให้ Dyreza สามารถเก็บข้อมูลในรูปแบบข้อความธรรมดา โดยข้ามการป้องกันที่นำเสนอโดย SSL ได้อย่างสมบูรณ์
คุณสมบัติที่สำคัญของไดเรซ่า
- การข้ามการเข้ารหัส SSL: Dyreza สามารถสกัดกั้นการรับส่งข้อมูลเว็บก่อนที่จะถูกเข้ารหัสหรือหลังจากถอดรหัส โดยบันทึกข้อมูลในรูปแบบข้อความธรรมดา
- การโจมตีแบบแทรกแซงเบราว์เซอร์: ด้วยการตรวจสอบปริมาณการใช้เว็บ Dyreza สามารถจัดการแบบฟอร์มเว็บเพื่อหลอกให้ผู้ใช้ให้ข้อมูลที่ละเอียดอ่อนเพิ่มเติม
- Webinjects: คุณสมบัตินี้ทำให้ Dyreza สามารถแก้ไขเนื้อหาของหน้าเว็บเพื่อรวบรวมข้อมูลเพิ่มเติม
- แนวทางแบบหลายเวกเตอร์: Dyreza ใช้วิธีการต่างๆ รวมถึงอีเมลฟิชชิ่งและชุดการหาประโยชน์ เพื่อแทรกซึมระบบ
ประเภทของไดเรซา
แม้ว่า Dyreza จะไม่ได้มีประเภทที่แตกต่างกันออกไป แต่ก็มีหลายรูปแบบที่พบในธรรมชาติ เวอร์ชันเหล่านี้แตกต่างกันในเวกเตอร์การโจมตี เป้าหมาย และเทคนิคเฉพาะ แต่ทั้งหมดมีฟังก์ชันการทำงานหลักที่เหมือนกัน โดยทั่วไปรูปแบบเหล่านี้จะเรียกว่าแคมเปญที่แตกต่างกันมากกว่าประเภทที่แตกต่างกัน
การใช้ ปัญหา และแนวทางแก้ไขที่เกี่ยวข้องกับไดเรซา
Dyreza ก่อให้เกิดภัยคุกคามที่สำคัญต่อทั้งผู้ใช้รายบุคคลและองค์กรเนื่องจากความสามารถในการขโมยข้อมูลธนาคารที่ละเอียดอ่อน วิธีหลักในการลดความเสี่ยงของ Dyreza และโทรจันที่คล้ายกันคือผ่านแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง ซึ่งรวมถึงการบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสให้ทันสมัย การให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายของฟิชชิ่ง และการใช้ระบบตรวจจับการบุกรุก
หากสงสัยว่าติดไวรัส Dyreza จำเป็นอย่างยิ่งที่จะต้องยกเลิกการเชื่อมต่อเครื่องที่ติดไวรัสออกจากเครือข่าย เพื่อป้องกันข้อมูลสูญหายเพิ่มเติม และเพื่อทำความสะอาดระบบโดยใช้เครื่องมือป้องกันไวรัสที่เชื่อถือได้ สำหรับองค์กรอาจจำเป็นต้องแจ้งให้ลูกค้าทราบและเปลี่ยนรหัสผ่านธนาคารออนไลน์ทั้งหมด
การเปรียบเทียบกับมัลแวร์ที่คล้ายกัน
Dyreza มีคุณลักษณะหลายอย่างเหมือนกับโทรจันธนาคารอื่นๆ เช่น Zeus และ Bebloh พวกเขาทั้งหมดใช้การโจมตีแบบคนในเบราว์เซอร์ ใช้ webinjects เพื่อแก้ไขเนื้อหาเว็บ และเผยแพร่ผ่านแคมเปญฟิชชิ่งเป็นหลัก อย่างไรก็ตาม Dyreza โดดเด่นด้วยความสามารถในการเลี่ยงการเข้ารหัส SSL ซึ่งไม่ใช่คุณสมบัติทั่วไปของโทรจันธนาคาร
| มัลแวร์ | Man-in-the-เบราว์เซอร์ | เว็บบินเจ็ตส์ | SSL บายพาส |
|---|---|---|---|
| ไดเรซา | ใช่ | ใช่ | ใช่ |
| ซุส | ใช่ | ใช่ | เลขที่ |
| เบโบลห์ | ใช่ | ใช่ | เลขที่ |
มุมมองในอนาคตและเทคโนโลยีที่เกี่ยวข้องกับ Dyreza
ภัยคุกคามจากโทรจันธนาคารเช่น Dyreza ยังคงพัฒนาต่อไปเนื่องจากอาชญากรไซเบอร์มีความซับซ้อนมากขึ้น เทคโนโลยีความปลอดภัยทางไซเบอร์ในอนาคตมีแนวโน้มที่จะมุ่งเน้นไปที่การปรับปรุงการตรวจจับภัยคุกคามเหล่านี้ตั้งแต่เนิ่นๆ และปรับแต่งเทคนิคในการระบุอีเมลฟิชชิ่งและรูปแบบการโจมตีอื่นๆ
การเรียนรู้ของเครื่องและ AI ถูกนำมาใช้มากขึ้นในการรักษาความปลอดภัยทางไซเบอร์ เนื่องจากความสามารถในการระบุรูปแบบและความผิดปกติที่อาจบ่งบอกถึงภัยคุกคาม เทคโนโลยีเหล่านี้อาจพิสูจน์ได้ว่ามีความสำคัญอย่างยิ่งในการต่อสู้กับวิวัฒนาการในอนาคตของภัยคุกคามเช่น Dyreza
การเชื่อมโยงพร็อกซีเซิร์ฟเวอร์กับ Dyreza
พร็อกซีเซิร์ฟเวอร์มักถูกใช้โดยมัลแวร์ เช่น Dyreza เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม ด้วยการกำหนดเส้นทางการรับส่งข้อมูลผ่านพร็อกซีหลายตัว อาชญากรไซเบอร์สามารถซ่อนตำแหน่งของตนและทำให้การติดตามการรับส่งข้อมูลทำได้ยากขึ้น
ในทางกลับกัน พร็อกซีเซิร์ฟเวอร์ก็สามารถเป็นส่วนหนึ่งของโซลูชันได้เช่นกัน ตัวอย่างเช่น สามารถกำหนดค่าให้บล็อกที่อยู่ IP ที่เป็นอันตรายหรือตรวจจับและบล็อกรูปแบบการรับส่งข้อมูลที่น่าสงสัย ทำให้เป็นส่วนสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง
ลิงก์ที่เกี่ยวข้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Dyreza และวิธีป้องกัน คุณสามารถไปที่แหล่งข้อมูลต่อไปนี้:
