การวิเคราะห์เอกสาร Word ที่เป็นอันตราย: Malicious Document Analysis ของ Word Malware

บทนำ

ในยุคดิจิทัลที่ข้อมูลเป็นหัวใจสำคัญ ภัยคุกคามทางไซเบอร์ได้ทวีความรุนแรงและซับซ้อนยิ่งขึ้น หนึ่งในวิธีการโจมตีที่ยังคงแพร่หลายและมีประสิทธิภาพคือการใช้เอกสารที่เป็นอันตราย (Malicious Documents) โดยเฉพาะอย่างยิ่งเอกสาร Microsoft Word ที่ถูกออกแบบมาเพื่อหลอกล่อให้ผู้ใช้งานเปิดและเรียกใช้โค้ดที่เป็นอันตราย บทความนี้จะเจาะลึกถึงกระบวนการวิเคราะห์ Word Malware หรือมัลแวร์ที่ฝังอยู่ในเอกสาร Word เพื่อทำความเข้าใจกลไกการทำงาน ระบุตัวบ่งชี้การบุกรุก (Indicators of Compromise - IOCs) และพัฒนากลยุทธ์ในการป้องกันและตรวจจับ การทำความเข้าใจเชิงลึกเกี่ยวกับ Word Malware ไม่เพียงแต่ช่วยให้นักวิเคราะห์สามารถตอบสนองต่อภัยคุกคามได้อย่างทันท่วงที แต่ยังเสริมสร้างความตระหนักรู้และแนวทางการปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์อีกด้วย

เนื้อหาหลัก: Malicious Document Analysis: Word Malware

เอกสาร Microsoft Word ที่เป็นอันตรายมักถูกใช้เป็นเวกเตอร์แรกของการโจมตี (Initial Access Vector) ในแคมเปญฟิชชิ่ง (Phishing) และการโจมตีแบบเจาะจง (Targeted Attacks) ผู้โจมตีมักจะใช้เทคนิคทางวิศวกรรมสังคม (Social Engineering) เพื่อหลอกให้ผู้ใช้เปิดเอกสารและอนุญาตการทำงานของมาโคร (Macros) หรือเนื้อหาที่ถูกปิดกั้น ซึ่งมาโครเหล่านี้คือโค้ด Visual Basic for Applications (VBA) ที่สามารถรันคำสั่งต่างๆ บนระบบปฏิบัติการของผู้ใช้งานได้ ทำให้เกิดความเสียหาย เช่น การดาวน์โหลดและติดตั้งมัลแวร์เพิ่มเติม การขโมยข้อมูล การเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ (Ransomware) หรือการสร้าง Backdoor เพื่อควบคุมเครื่องเหยื่อในภายหลัง

กลไกการโจมตีผ่านเอกสาร Word ไม่ได้จำกัดอยู่แค่มาโครเท่านั้น แต่ยังรวมถึง:

• Object Linking and Embedding (OLE) Objects: การฝังวัตถุหรือไฟล์ executable ที่เป็นอันตรายลงในเอกสาร


• External Links/Templates: การเชื่อมโยงไปยังเทมเพลต (Template) ภายนอกหรือ URL ที่เป็นอันตราย ซึ่งเมื่อเอกสารเปิดขึ้น จะมีการเรียกเนื้อหาจากภายนอก


• DDE (Dynamic Data Exchange): การใช้ DDE เพื่อรันคำสั่ง Shell บนระบบปฏิบัติการโดยไม่ต้องพึ่งมาโคร


• Exploits: การใช้ช่องโหว่ (Vulnerabilities) ใน Microsoft Word หรือระบบปฏิบัติการ เพื่อรันโค้ดโดยที่ผู้ใช้ไม่จำเป็นต้องโต้ตอบใดๆ


การวิเคราะห์ Word Malware แบ่งออกเป็นสองประเภทหลักคือ Static Analysis และ Dynamic Analysis ซึ่งแต่ละวิธีมีจุดเด่นและเครื่องมือที่แตกต่างกันไป

Static Analysis (การวิเคราะห์แบบคงที่): เป็นการตรวจสอบไฟล์โดยไม่รันโค้ดที่เป็นอันตรายจริงบนระบบปฏิบัติการ การวิเคราะห์นี้จะมุ่งเน้นไปที่โครงสร้างไฟล์ เมตาดาต้า (Metadata) สตริง (Strings) มาโคร และส่วนประกอบอื่นๆ ที่ซ่อนอยู่ภายในเอกสาร เพื่อหาเบาะแสและตัวบ่งชี้การบุกรุก
Dynamic Analysis (การวิเคราะห์แบบไดนามิก): เป็นการรันเอกสารที่เป็นอันตรายในสภาพแวดล้อมที่ปลอดภัยและถูกควบคุม (เช่น Sandbox หรือ Virtual Machine) เพื่อสังเกตพฤติกรรมของมัลแวร์ เช่น การสร้างไฟล์ การแก้ไข Registry การเชื่อมต่อเครือข่าย หรือการพยายามขโมยข้อมูล การวิเคราะห์นี้ช่วยให้เห็นถึงผลกระทบที่แท้จริงของมัลแวร์



ขั้นตอนการวิเคราะห์เอกสาร Word ที่เป็นอันตราย (Static Analysis)



Static Analysis เป็นขั้นตอนแรกที่สำคัญในการทำความเข้าใจ Word Malware ซึ่งจะช่วยให้เราได้ข้อมูลเชิงลึกเกี่ยวกับกลไกการทำงานของมัลแวร์ก่อนที่จะทำการรันโค้ดในสภาพแวดล้อมจริง

1. การวิเคราะห์เบื้องต้น (Initial Triage)
ก่อนอื่น เราต้องยืนยันประเภทของไฟล์และหาข้อมูลเบื้องต้นเกี่ยวกับเอกสารนั้นๆ

• การระบุประเภทไฟล์: ใช้เครื่องมือเช่น file บน Linux หรือ TrID เพื่อระบุว่าไฟล์นั้นเป็นเอกสาร Word จริงหรือไม่ และเป็นรูปแบบใด (เช่น DOC, DOCX, RTF)




h

  file malicious.doc

  





h

  trid malicious.docx

  



• การตรวจสอบ Hash Value: คำนวณค่าแฮช (MD5, SHA1, SHA256) ของไฟล์เพื่อใช้ในการระบุตัวตนและตรวจสอบกับฐานข้อมูลมัลแวร์สาธารณะ เช่น VirusTotal




h

  sha256sum malicious.doc

  



2. การตรวจสอบ Metadata
Metadata เป็นข้อมูลที่ฝังอยู่ในเอกสาร เช่น ผู้แต่ง วันที่สร้าง วันที่แก้ไข และซอฟต์แวร์ที่ใช้สร้าง ข้อมูลเหล่านี้บางครั้งอาจให้เบาะแสเกี่ยวกับผู้โจมตีหรือเครื่องมือที่ใช้

• ใช้เครื่องมือ exiftool เพื่อดึง Metadata ทั้งหมดออกจากเอกสาร




h

  exiftool malicious.doc

  


ข้อมูลที่น่าสนใจอาจรวมถึง "Author", "Last Modified By", "Creating Application" ซึ่งอาจเป็นค่าเริ่มต้นที่ไม่ใช่ชื่อคนจริงๆ หรือเป็นชื่อเครื่องมือที่ใช้ในการสร้างมัลแวร์

3. การแยกส่วนประกอบ (Deconstruction)
เอกสาร Word สมัยใหม่ (DOCX) เป็นรูปแบบ Open XML ซึ่งจริงๆ แล้วคือไฟล์ ZIP ที่มีโครงสร้างภายในประกอบด้วยไฟล์ XML หลายไฟล์และส่วนประกอบอื่นๆ การเปลี่ยนนามสกุลเป็น .zip จะช่วยให้เราสามารถสำรวจโครงสร้างภายในได้

• สำหรับไฟล์ DOCX ให้เปลี่ยนนามสกุลเป็น .zip แล้วแตกไฟล์เพื่อสำรวจโครงสร้าง XML ภายใน




h

  mv malicious.docx malicious.zip

  unzip malicious.zip -d malicious_docx_content

  


จากนั้นให้ตรวจสอบไฟล์ XML ต่างๆ โดยเฉพาะ word/_rels/document.xml.rels ซึ่งอาจมี External Links หรือ Object ที่น่าสงสัย

• สำหรับเอกสาร Word รูปแบบเก่า (DOC) หรือ RTF (Rich Text Format) ซึ่งเป็นรูปแบบ Binary หรือ Pseudo-Binary จะต้องใช้เครื่องมือเฉพาะ เช่น oledump.py หรือ rtfobj (จากชุด oletools) ในการแยกส่วนประกอบและ Streams ภายใน


4. การวิเคราะห์ Macro (VBA Macro Analysis)
มาโครเป็นกลไกที่พบบ่อยที่สุดในการแพร่กระจาย Word Malware การวิเคราะห์มาโครเป็นสิ่งสำคัญอย่างยิ่ง

• การใช้ olevba: เครื่องมือ olevba (จากชุด oletools) เป็นเครื่องมืออันทรงพลังในการตรวจจับและแยกมาโคร VBA ออกจากเอกสารโดยอัตโนมัติ รวมถึงการพยายามถอดรหัส (De-obfuscate) มาโครที่ถูกทำให้เข้าใจยาก




h

  olevba malicious.doc

  


olevba จะแสดงโค้ด VBA ที่พบ พร้อมกับวิเคราะห์ความน่าสงสัย (เช่น การเรียกใช้ Shell, การดาวน์โหลดไฟล์) และบ่งชี้คีย์เวิร์ดที่อันตราย

• การตรวจสอบด้วยตนเอง: หาก olevba ไม่สามารถถอดรหัสมาโครได้อย่างสมบูรณ์ นักวิเคราะห์อาจต้องเปิดเอกสารในสภาพแวดล้อมที่ปลอดภัย (เช่น VM ที่ไม่มีการเชื่อมต่อเครือข่าย) และเข้าถึง VBA Editor (Alt + F11) เพื่อตรวจสอบโค้ดด้วยตนเอง มาโครมักจะถูกซ่อนอยู่ในโมดูล (Modules) ของเอกสาร


• เทคนิคการ Obfuscation: ผู้โจมตีมักใช้เทคนิคการ Obfuscation ต่างๆ เพื่อหลีกเลี่ยงการตรวจจับและทำให้การวิเคราะห์ยากขึ้น เช่น การใช้สตริงที่เข้ารหัส, การใช้ตัวแปรชื่อยาวๆ, การแยกโค้ดออกเป็นหลายส่วน หรือการใช้ฟังก์ชัน Windows API แบบที่ไม่ตรงไปตรงมา การถอดรหัสเหล่านี้บางครั้งต้องใช้ความรู้ด้าน VBA และการทดลองในสภาพแวดล้อมที่ควบคุม


5. การตรวจสอบ Object ฝังตัวและ External Links
เอกสาร Word สามารถฝังวัตถุต่างๆ ได้ เช่น ไฟล์รูปภาพ, ไฟล์เสียง, หรือแม้กระทั่งไฟล์ executable หรือไฟล์อื่นๆ ที่เป็นอันตราย

• การใช้ oledump.py: เครื่องมือ oledump.py ใช้สำหรับลิสต์ Streams ทั้งหมดในเอกสาร OLE และสามารถดึงข้อมูลจากแต่ละ Stream ได้




h

  oledump.py -i malicious.doc

  


คำสั่งนี้จะแสดงรายการ Streams พร้อมข้อมูลขนาดและประเภท หากมี Stream ที่ระบุว่ามี Object หรือ Package ที่น่าสงสัย เราสามารถดึงออกมาตรวจสอบได้



h

  oledump.py -s  -v malicious.doc > output_stream.bin

  


จากนั้นให้นำ output_stream.bin ไปวิเคราะห์ต่อ เช่น ตรวจสอบประเภทไฟล์ด้วย file หรือ TrID

• การตรวจสอบ External Relationships: สำหรับไฟล์ DOCX ให้ตรวจสอบไฟล์ .rels ภายในโครงสร้าง ZIP เพื่อหาการเชื่อมโยงภายนอกที่อาจนำไปสู่ URL หรือไฟล์ที่เป็นอันตราย


6. การดึง Indicators of Compromise (IOCs)
ตลอดกระบวนการ Static Analysis เป้าหมายหลักคือการดึง IOCs ที่เป็นประโยชน์ออกมา IOCs ที่พบบ่อยใน Word Malware ได้แก่:

• Hash Values: MD5, SHA1, SHA256 ของตัวเอกสารและไฟล์ที่ถูกดึงออกมา


• File Names: ชื่อไฟล์ที่มัลแวร์พยายามสร้างหรือดาวน์โหลด


• URLs/IP Addresses: แหล่งที่มาที่มัลแวร์พยายามเชื่อมต่อเพื่อดาวน์โหลด Payload เพิ่มเติม หรือเพื่อ C2 Communication


• Registry Keys: คีย์ Registry ที่มัลแวร์พยายามสร้างหรือแก้ไขเพื่อสร้าง Persistence


• Domain Names: ชื่อโดเมนที่เกี่ยวข้องกับการโจมตี


• Strings: สตริงที่น่าสงสัยในโค้ดมาโคร หรือใน Payload ที่ถูกดึงออกมา เช่น PowerShell commands, base64 encoded strings, download URLs




ขั้นตอนการวิเคราะห์เอกสาร Word ที่เป็นอันตราย (Dynamic Analysis)



Dynamic Analysis เป็นขั้นตอนที่จำเป็นเมื่อต้องการเห็นพฤติกรรมจริงของมัลแวร์ โดยการรันเอกสารในสภาพแวดล้อมที่ปลอดภัยและถูกควบคุมอย่างเข้มงวด

1. สภาพแวดล้อมที่ปลอดภัย (Safe Environment)
การทำ Dynamic Analysis ต้องดำเนินการในสภาพแวดล้อมที่แยกขาดจากเครือข่ายหลักและระบบปฏิบัติการจริงอย่างสมบูรณ์ เพื่อป้องกันการแพร่กระจายของมัลแวร์

• Virtual Machines (VMs): ใช้ VM ที่ไม่ได้เชื่อมต่อกับเครือข่ายภายในองค์กร และควรเป็นระบบปฏิบัติการที่สะอาด มีเครื่องมือวิเคราะห์ที่จำเป็น


• Sandboxes: ใช้แพลตฟอร์ม Sandbox อัตโนมัติ เช่น Cuckoo Sandbox ซึ่งออกแบบมาเพื่อรันมัลแวร์ในสภาพแวดล้อมที่แยกขาดและเก็บข้อมูลพฤติกรรมอย่างละเอียด


2. การตรวจสอบพฤติกรรม (Behavioral Monitoring)
เมื่อเอกสารถูกเปิดในสภาพแวดล้อม Sandbox หรือ VM ให้ติดตามพฤติกรรมของระบบอย่างใกล้ชิด

• Process Monitoring: ใช้เครื่องมือเช่น Process Monitor (สำหรับ Windows) หรือ Sysmon เพื่อตรวจสอบการสร้าง Process ใหม่, การแก้ไข Registry, การสร้าง/ลบไฟล์


• Network Monitoring: ใช้ Wireshark หรือโปรแกรม Sniffer อื่นๆ เพื่อดักจับและวิเคราะห์ Traffic เครือข่ายที่เกิดขึ้น หากมัลแวร์พยายามเชื่อมต่อกับภายนอก จะสามารถเห็นการร้องขอ DNS, HTTP/HTTPS Traffic หรือการเชื่อมต่อ C2


• Registry Monitoring: ตรวจสอบการเปลี่ยนแปลงใน Registry โดยใช้เครื่องมือเช่น RegShot เพื่อเปรียบเทียบ Snapshot ของ Registry ก่อนและหลังการรันมัลแวร์


• File System Monitoring: ตรวจสอบการสร้าง, การแก้ไข, หรือการลบไฟล์บน File System


3. เครื่องมือ Dynamic Analysis

• Cuckoo Sandbox: เป็นแพลตฟอร์ม Sandbox แบบ Open Source ที่ได้รับความนิยมอย่างสูงสำหรับการวิเคราะห์มัลแวร์ สามารถรันเอกสาร Word และเก็บข้อมูลพฤติกรรมโดยอัตโนมัติ เช่น Process tree, Network traffic, File system changes, Registry changes และ Memory dumps จากนั้นจะสร้างรายงานสรุป


• Hybrid Analysis / Any.Run: เป็นบริการ Sandbox แบบออนไลน์ที่ช่วยให้สามารถอัปโหลดไฟล์และรันในสภาพแวดล้อมเสมือนจริง โดยมีรายงานที่ละเอียดและ Interactive Analysis


• Procmon (Process Monitor): เครื่องมือจาก Sysinternals สำหรับ Windows ที่ใช้มอนิเตอร์กิจกรรมของ Process, File System และ Registry ได้แบบเรียลไทม์


• Wireshark: เครื่องมือวิเคราะห์เครือข่ายยอดนิยมที่ใช้ดักจับและวิเคราะห์แพ็กเก็ตข้อมูล




เครื่องมือสำคัญในการวิเคราะห์



การวิเคราะห์ Word Malware ต้องการชุดเครื่องมือที่หลากหลาย ทั้งแบบ Command Line และแบบ GUI เพื่อให้ครอบคลุมทุกด้านของการวิเคราะห์

• oletools: ชุดเครื่องมือ Python สำหรับวิเคราะห์ไฟล์ OLE (เช่น DOC, XLS, PPT) ประกอบด้วย:

- olevba: สำหรับตรวจจับและดึงมาโคร VBA และวิเคราะห์ความน่าสงสัย
- oledump.py: สำหรับลิสต์และดึง Stream จากไฟล์ OLE
- rtfobj: สำหรับดึง Object ฝังตัวจากไฟล์ RTF
- mraptor: สำหรับตรวจจับ Macro Obfuscation

• exiftool: เครื่องมือที่ยืดหยุ่นและมีประสิทธิภาพสำหรับการอ่าน เขียน และแก้ไข Metadata ของไฟล์ได้หลากหลายประเภท


• file: (บน Linux) คำสั่งมาตรฐานสำหรับระบุประเภทของไฟล์โดยอ้างอิงจาก Magic Numbers และ Pattern


• trid: เครื่องมือระบุประเภทไฟล์โดยใช้ฐานข้อมูลของ Pattern


• VBA Express / VBE_Stomper: เครื่องมือสำหรับงานวิเคราะห์มาโครขั้นสูง การ De-obfuscate และการแก้ไขมาโคร


• Wireshark: เครื่องมือวิเคราะห์โปรโตคอลเครือข่ายที่ทรงพลัง ใช้ในการดักจับและตรวจสอบ Traffic เครือข่าย


• Process Monitor / Process Explorer: (บน Windows) เครื่องมือจาก Sysinternals สำหรับมอนิเตอร์ Process, Threads, File System และ Registry ในระดับสูง


• Cuckoo Sandbox: แพลตฟอร์ม Open Source สำหรับ Dynamic Analysis มัลแวร์ในสภาพแวดล้อม Sandbox


• FLARE-VM / REMnux: Distribution Linux ที่รวบรวมเครื่องมือสำหรับ Malware Analysis โดยเฉพาะ REMnux เป็น Linux Distribution ที่ถูกสร้างขึ้นมาเพื่อวิเคราะห์มัลแวร์โดยเฉพาะ และ FLARE-VM เป็นชุดเครื่องมือสำหรับ Malware Analysis บน Windows ที่ติดตั้งมาพร้อมกับเครื่องมือที่จำเป็นทั้งหมด




Security Best Practices



การป้องกันการโจมตีจาก Word Malware ต้องอาศัยทั้งเทคโนโลยีและความตระหนักรู้ของผู้ใช้งาน นี่คือแนวทางปฏิบัติที่ดีที่สุด:


• ปิดใช้งานมาโครโดยค่าเริ่มต้น: ตั้งค่านโยบาย (Group Policy) ให้ Microsoft Office ปิดใช้งานมาโครทั้งหมดหรืออนุญาตเฉพาะมาโครที่ลงนามดิจิทัล (Digitally Signed) จากแหล่งที่เชื่อถือได้เท่านั้น


• ให้ความรู้แก่ผู้ใช้งาน: จัดการฝึกอบรมเกี่ยวกับความเสี่ยงของการเปิดเอกสารจากแหล่งที่ไม่รู้จักและเทคนิควิศวกรรมสังคมที่ผู้โจมตีใช้ เน้นย้ำว่าไม่ควรเปิดใช้งานเนื้อหา (Enable Content) หรือมาโครในเอกสารที่น่าสงสัย


• ใช้โซลูชันความปลอดภัยของอีเมล: Implement ระบบกรองสแปมและ Antivirus ที่สามารถสแกนและบล็อกเอกสารที่เป็นอันตรายที่แนบมากับอีเมล


• ใช้ Endpoint Detection and Response (EDR) และ Antivirus: ติดตั้ง EDR และ Antivirus ที่มีประสิทธิภาพบน Endpoints เพื่อตรวจจับและป้องกันมัลแวร์ที่พยายามรันหรือติดตั้ง


• อัปเดตซอฟต์แวร์ให้เป็นปัจจุบันเสมอ: ตรวจสอบและติดตั้ง Patch ความปลอดภัยสำหรับ Microsoft Office และระบบปฏิบัติการอย่างสม่ำเสมอ เพื่อปิดช่องโหว่ที่ผู้โจมตีอาจใช้


• Implement Application Whitelisting: อนุญาตให้เฉพาะโปรแกรมที่จำเป็นและได้รับอนุญาตเท่านั้นที่จะรันบนระบบ ซึ่งจะช่วยป้องกันไม่ให้มัลแวร์ที่ไม่ได้รับอนุญาตทำงาน


• ใช้ Sandboxing สำหรับเอกสารที่น่าสงสัย: พิจารณาใช้ระบบ Sandbox หรือเครื่องมือที่สามารถเปิดเอกสารในสภาพแวดล้อมที่แยกขาดเพื่อตรวจสอบความปลอดภัยก่อนที่จะอนุญาตให้ผู้ใช้งานเปิด


• ใช้หลักการสิทธิ์น้อยที่สุด (Principle of Least Privilege): กำหนดสิทธิ์ของผู้ใช้งานให้มีน้อยที่สุดที่จำเป็นต่อการทำงาน เพื่อจำกัดความเสียหายที่อาจเกิดขึ้นหากบัญชีผู้ใช้ถูกบุกรุก


• สำรองข้อมูลอย่างสม่ำเสมอ: มีแผนการสำรองข้อมูลที่มีประสิทธิภาพและทดสอบการกู้คืนข้อมูลอย่างสม่ำเสมอ เพื่อลดผลกระทบจากการโจมตีของ Ransomware หรือการสูญหายของข้อมูล

บทสรุป

การวิเคราะห์ Word Malware เป็นทักษะที่สำคัญและจำเป็นสำหรับนักวิเคราะห์ความปลอดภัยในยุคปัจจุบัน ด้วยการทำความเข้าใจโครงสร้างของเอกสาร เทคนิคการซ่อนมัลแวร์ และกลไกการทำงานของมาโคร เราสามารถระบุตัวบ่งชี้การบุกรุกและสร้างมาตรการป้องกันที่มีประสิทธิภาพได้ ทั้ง Static Analysis และ Dynamic Analysis ต่างก็เป็นส่วนสำคัญที่เสริมซึ่งกันและกันในการเปิดเผยภัยคุกคามที่ซ่อนอยู่

นอกเหนือจากการวิเคราะห์เชิงเทคนิคแล้ว การสร้างความตระหนักรู้ด้านความปลอดภัยให้กับผู้ใช้งานและการนำแนวทางปฏิบัติที่ดีที่สุดมาปรับใช้ เป็นสิ่งสำคัญอย่างยิ่งในการลดความเสี่ยงจากการโจมตีผ่านเอกสารที่เป็นอันตราย การผสานรวมเทคโนโลยี การฝึกอบรมบุคลากร และกระบวนการที่แข็งแกร่ง จะเป็นรากฐานสำคัญในการสร้างสภาพแวดล้อมทางไซเบอร์ที่ปลอดภัยและยืดหยุ่นต่อภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ