สรุปสั้น
PyrsistenceSniper คือเครื่องมือ Python โอเพนซอร์สพัฒนาโดย Hexastrike สำหรับตรวจจับ Persistence ของมัลแวร์บนระบบที่ออฟไลน์ ไม่จำเป็นต้องเข้าถึงระบบสดเพื่อสแกน โดยสามารถทำงานกับ Disk Image ที่ mount, Velociraptor Collection และ KAPE Dump ได้โดยตรง เครื่องมือนี้รองรับการตรวจจับ 117 เทคนิค Persistence ครอบคลุม Windows, Linux และ macOS ตาม MITRE ATT&CK เก้าเทคนิคหลัก การสแกนระบบขนาดใหญ่ใช้เวลาน้อยกว่า 30 วินาที ผลลัพธ์สามารถส่งออกเป็นรูปแบบต่างๆ ได้แก่ Console, CSV, HTML และ XLSX รองรับการติดตั้งผ่าน pip หรือ Docker Container สำหรับทีม Incident Response และ Threat Hunter
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 พฤษภาคม 2569 ว่า Hexastrike ได้เปิดตัว PyrsistenceSniper ซึ่งเป็นเครื่องมือตรวจจับ Persistence ของมัลแวร์แบบออฟไลน์ที่ทันสมัยและมีประสิทธิภาพสูง เครื่องมือนี้ได้รับแรงบันดาลใจจาก Autoruns และ PersistenceSniper แต่พัฒนาด้วย Python เพื่อให้ทำงานข้ามแพลตฟอร์มและไม่ต้องพึ่งการเชื่อมต่อกับระบบสด ทำให้เหมาะสำหรับการวิเคราะห์ Forensic Collection ระหว่าง Incident Response PyrsistenceSniper ใช้ไลบรารี libregf ในการอ่าน Registry Hive โดยตรงจาก Disk Image ทำให้สแกน Windows Registry ได้อย่างสมบูรณ์โดยไม่ต้อง mount ระบบปฏิบัติการ Maurice Fielenbach จาก Hexastrike ระบุว่าผลการสแกนทุกรายการจะถูก enrich ด้วยข้อมูล เช่น ผล hash SHA-256, สถานะลายเซ็น Authenticode และการจำแนกว่าเป็น LOLBin (Living Off the Land Binary) หรือไม่ ซึ่งช่วยเร่งกระบวนการตรวจสอบ Incident Response ได้อย่างมาก
รายละเอียดความสามารถของเครื่องมือ
PyrsistenceSniper รองรับ 117 การตรวจสอบ Persistence ที่พบบ่อยที่สุดใน Windows Linux และ macOS โดยแบ่งตาม MITRE ATT&CK ดังนี้
| MITRE ID | เทคนิค | จำนวนการตรวจสอบ |
|---|---|---|
| T1547 | Boot/Logon Autostart Execution | 43 |
| T1546 | Event Triggered Execution | 36 |
| T1574 | Hijack Execution Flow | 24 |
| T1137 | Office Application Startup | 7 |
| T1543 | Create or Modify System Process | 3 |
| T1053 | Scheduled Task/Job | 2 |
| T1556 | Modify Authentication Process | 2 |
ความสามารถหลักของเครื่องมือ ได้แก่ ระบบกรองลายเซ็น Authenticode ที่แยก Persistence ที่ถูกต้องตามกฎหมาย เช่น ไบนารีที่ลงนามโดย Microsoft ออกจาก Persistence อันตราย ลดปริมาณ Alert ที่ไม่จำเป็นลงได้ถึง 90% ระบบ YAML Detection Profile ที่ปรับแต่ง allow/block rule ได้ทั้งระดับ global และระดับการตรวจสอบแต่ละรายการ และปลั๊กอินระบบไฟล์เดียวที่เพิ่มการตรวจสอบใหม่ได้ง่ายโดยไม่ต้องแก้ไขโค้ดหลัก รูปแบบคำสั่งเบื้องต้น เช่น python -m pyrsistencesniper /mnt/case042/C สามารถสแกนได้ทันทีหลังติดตั้ง
ผลกระทบต่อไทย
เครื่องมือนี้มีประโยชน์โดยตรงสำหรับทีม Incident Response และ CSIRT ในไทย ที่ต้องวิเคราะห์ระบบที่ถูกโจมตีโดยเร็ว การที่ไม่ต้องเข้าถึงระบบสดทำให้สามารถวิเคราะห์ Disk Image ที่เก็บมาจากระบบที่ถูกบุกรุกได้อย่างปลอดภัย โดยไม่เสี่ยงที่มัลแวร์จะยังทำงานอยู่ระหว่างการวิเคราะห์ ทีม Blue Team และ SOC ของไทยสามารถใช้เครื่องมือนี้ในขั้นตอน Triage เพื่อระบุ Persistence ของมัลแวร์ได้อย่างรวดเร็วและครอบคลุม
คำแนะนำ
- ติดตั้งผ่าน pip:
pip install pyrsistencesniperหรือใช้ Docker Container สำหรับสภาพแวดล้อมที่แยกออกมา - ใช้ร่วมกับ KAPE หรือ Velociraptor เพื่อเก็บ Forensic Artifact จากระบบที่ถูกบุกรุกก่อนนำมาวิเคราะห์
- ส่งออกผลเป็น HTML สำหรับรายงานที่มี Interactive Filter เพื่อให้ผู้บริหารหรือลูกค้าเข้าใจง่าย
- ใช้ YAML Profile ปรับ baseline ให้ตรงกับสภาพแวดล้อมขององค์กร เพื่อลด False Positive
- บูรณาการกับ SIEM โดยส่งออกผลเป็น CSV แล้ว import เข้าระบบวิเคราะห์ที่มีอยู่
