การติดตั้งไดรเวอร์เกมอาจทำให้พีซีของคุณเสี่ยงต่อการถูกโจมตีทางอินเทอร์เน็ต
หากคุณกำลังใช้โปรแกรมโกงเมื่อเล่นเกมบนพีซี อาจทำให้คอมพิวเตอร์ของคุณตกอยู่ในความเสี่ยง เนื่องจากช่องโหว่ในไดรเวอร์ที่ลงนามมักถูกใช้โดยผู้พัฒนาโปรแกรมโกงเกมเพื่อหลีกเลี่ยงกลไกป้องกันการโกง
อย่างไรก็ตาม ยังพบว่ามีการใช้กลุ่มภัยคุกคามต่อเนื่องขั้นสูง (APT) หลายกลุ่มตามรายงานใหม่จาก ESET เมื่อเร็วๆ นี้บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ตได้เจาะลึกถึงประเภทของช่องโหว่ที่มักเกิดขึ้นในไดรเวอร์เคอร์เนล และยังพบไดรเวอร์ที่มีช่องโหว่หลายตัวในซอฟต์แวร์เกมยอดนิยมในเวลาเดียวกัbbน
ไดรเวอร์ที่ไม่ได้ลงนามหรือผู้ที่มีช่องโหว่มักจะกลายเป็นเกตเวย์ที่ไม่ได้รับการปกป้องไปยังแกนหลักของ Windows สำหรับผู้มุ่งร้าย แม้ว่าการโหลดไดรเวอร์ที่เป็นอันตรายและไม่ได้ลงนามโดยตรงจะไม่สามารถทำได้ใน Windows 11 และ Windows 10 และรูทคิตถือเป็นเรื่องในอดีต แต่ก็ยังมีวิธีโหลดโค้ดที่เป็นอันตรายลงในเคอร์เนลของ Windows โดยเฉพาะอย่างยิ่งการใช้ไดรเวอร์ที่ถูกต้องและได้รับการรับรอง
อันที่จริง มีไดรเวอร์มากมายจากผู้จำหน่ายฮาร์ดแวร์และซอฟต์แวร์ที่มีฟังก์ชันการทำงานเพื่อเข้าถึงเคอร์เนลได้อย่างเต็มที่โดยใช้ความพยายามเพียงเล็กน้อย ในระหว่างการวิจัย ESET พบช่องโหว่ในซอฟต์แวร์โปรไฟล์ μProf ของ AMD, เครื่องมือวัดประสิทธิภาพยอดนิยม Passmark และ PC Analyser ยูทิลิตี้ระบบ โชคดีที่ผู้พัฒนาโปรแกรมที่ได้รับผลกระทบทั้งหมดได้ออกแพตช์เพื่อแก้ไขช่องโหว่เหล่านี้หลังจากที่ ESET ติดต่อกับพวกเขา
เทคนิคทั่วไปที่อาชญากรไซเบอร์และผู้คุกคามใช้ในการเรียกใช้โค้ดที่เป็นอันตรายใน Windows Kernel เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) Peter Kálnai นักวิจัยอาวุโสด้านมัลแวร์ที่ ESET ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับเทคนิคนี้ในการแถลงข่าวว่า:
“เมื่อผู้โจมตีมัลแวร์ต้องการเรียกใช้โค้ดที่เป็นอันตรายในเคอร์เนลของ Windows บนระบบ x64 โดยมีการบังคับใช้ลายเซ็นของไดรเวอร์อยู่แล้ว การถือไดรเวอร์เคอร์เนลที่ลงชื่ออย่างมีช่องโหว่ดูเหมือนจะเป็นตัวเลือกที่เหมาะสมสำหรับการทำเช่นนั้น เทคนิคนี้เรียกว่า Bring Your Own Vulnerable Driver ซึ่งย่อมาจาก BYOVD และถูกสังเกตว่ามีการใช้กันอย่างแพร่หลายโดยทั้งนักแสดง APT ที่มีชื่อเสียงและในมัลแวร์สินค้าโภคภัณฑ์”
ตัวอย่างของนักแสดงที่เป็นอันตรายที่ใช้ BYOVD ได้แก่ กลุ่ม Slingshot APT ซึ่งใช้โมดูลหลัก Cahnadr เป็นไดรเวอร์โหมดเคอร์เนลที่สามารถโหลดได้โดยไดรเวอร์เคอร์เนลที่ลงชื่ออย่างมีช่องโหว่และกลุ่ม InvisiMole APT ซึ่งนักวิจัยของ ESET ค้นพบในปี 2561 เป็นอีกตัวอย่างหนึ่งที่ใช้ประโยชน์จากไดรเวอร์เมนบอร์ด GIGABYTE ที่มีช่องโหว่เพื่อปิดใช้งานการบังคับใช้ลายเซ็นของไดรเวอร์และติดตั้งไดรเวอร์ที่เป็นอันตรายของตัวเอง
ในบล็อกโพสต์ที่มีความยาวที่มาพร้อมกับข่าวประชาสัมพันธ์ ESET อธิบายว่าการรักษาความปลอดภัยบนเวอร์ชวลไลเซชั่น การเพิกถอนใบรับรอง และรายการบล็อกของไดรเวอร์เป็นเทคนิคการบรรเทาผลกระทบที่เป็นประโยชน์สำหรับผู้ที่กังวลเกี่ยวกับอันตรายที่เกิดจากไดรเวอร์เคอร์เนลที่ลงนามซึ่งถูกขโมยโดยผู้ประสงค์ร้าย