เตือนภัยชาว Linux! Microsoft พบมัลแวร์ PHP Web Shell พันธุ์ใหม่ ซ่อนตัวเนียนใน "คุกกี้" แถมสั่งรันตัวเองซ้ำผ่าน Cron Job

วันนี้ผมมีเรื่องด่วนมาเตือนสายคอนฟิกเซิร์ฟเวอร์ โดยเฉพาะฝั่ง Linux ครับ ล่าสุดทีมวิจัยจาก Microsoft Defender ออกมาแฉกลเม็ดใหญ่ของเหล่าแฮกเกอร์ที่ใช้ "HTTP Cookies" เป็นช่องทางส่งคำสั่งควบคุม (C2) และเจาะระบบแบบเงียบเชียบจนตรวจจับได้ยากสุดๆ

เมื่อ "คุกกี้" ไม่ได้มีไว้แค่จำรหัส แต่กลายเป็นทางผ่านของมัลแวร์

ปกติแล้วเวลาเราเข้าเว็บ คุกกี้จะช่วยจำข้อมูลผู้ใช้ แต่พวกแฮกเกอร์หังหมอเปลี่ยนมันให้กลายเป็น Control Channel ครับ แทนที่มันจะส่งคำสั่งผ่าน URL หรือ Request Body แบบเดิมๆ ที่โดน Firewall สแกนเจอได้ง่าย มันกลับไปซ่อนคำสั่งรันรหัสอันตรายไว้ในค่าของคุกกี้แทน

ทำไมวิธีนี้ถึงน่ากลัว?

• ซ่อนตัวเก่ง: โค้ดอันตรายจะ "จำศีล" อยู่ในเซิร์ฟเวอร์เหมือนไฟล์ปกติ และจะทำงานก็ต่อเมื่อได้รับ "คุกกี้เฉพาะ" ที่แฮกเกอร์ส่งมาเท่านั้น
• เนียนไปกับทราฟฟิก: ข้อมูลในคุกกี้มักถูกมองว่าเป็นเรื่องปกติของเว็บเซิร์ฟเวอร์ ทำให้ระบบตรวจจับความผิดปกติมองข้ามไปได้ง่ายๆ
• ไม่ต้องแกะรหัสเพิ่ม: ภาษา PHP สามารถดึงค่าจาก $_COOKIE มาใช้งานได้ทันที ทำให้แฮกเกอร์ส่งคำสั่งมาประมวลผลได้สะดวก

แผนซ้อนแผน ระบบ "คืนชีพตัวเอง" (Self-Healing)

ความแสบอีกอย่างที่ Microsoft พบคือ แฮกเกอร์ไม่ได้แค่ฝังไฟล์ไว้เฉยๆ แต่มีการตั้งค่า Cron Job (การสั่งให้ระบบทำงานอัตโนมัติซ้ำๆ) ไว้ด้วย

วิธีรับมือและป้องกันจากปาก Microsoft

เพื่อไม่ให้เซิร์ฟเวอร์ของเรากลายเป็นบ้านของเหล่าแฮกเกอร์ ผมรวบรวมคำแนะนำมาให้แล้วครับ

1. MFA ต้องมา: เปิดการยืนยันตัวตนหลายชั้น (Multi-factor Authentication) ทั้งใน Control Panel, SSH และหน้าแอดมินทุกจุด
2. ตรวจสอบ Cron Job: หมั่นเช็กตารางงานอัตโนมัติในเซิร์ฟเวอร์ ว่ามีคำสั่งแปลกๆ โผล่มาไหม
3. จำกัดสิทธิ์ Shell: อย่าปล่อยให้ User ทั่วไปเข้าถึง Shell Interpreter ได้โดยไม่จำเป็น
4. ส่องไฟล์แปลกปลอม: ตรวจสอบไฟที่ถูกสร้างขึ้นใหม่ใน Web Directory อย่างสม่ำเสมอ
5. Monitor ล็อกอิน: ดูประวัติการล็อกอินที่ผิดปกติ โดยเฉพาะจากไอพีที่ไม่คุ้นเคย

ยุคนี้แฮกเกอร์เขาขยันหาช่องโหว่แปลกๆ มาเล่นงานเราเสมอ แอดมินสาย Linux อย่าประมาทคุ้กกี้ก้อนเล็กๆ เชียวนะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก