Beep Malware

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញកម្មវិធីគំរាមកំហែងមួយដែលកំពុងត្រូវបានតាមដានថាជា 'ប៊ីប' ។ មេរោគនេះត្រូវបានរចនាឡើងជាមួយនឹងមុខងារជាច្រើនដែលធ្វើឱ្យវាមានភាពធន់នឹងការរកឃើញ និងការវិភាគដោយកម្មវិធីសុវត្ថិភាព។ ទោះបីជាស្ថិតក្នុងដំណាក់កាលអភិវឌ្ឍន៍ និងខ្វះសមាសធាតុសំខាន់ៗមួយចំនួនក៏ដោយ មេរោគ Beep មានសមត្ថភាពអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងទាញយកពីចម្ងាយ និងដំណើរការបន្ទុកបន្ថែមលើឧបករណ៍ដែលវាបានសម្របសម្រួលដោយជោគជ័យ។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែងត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដែលផ្សព្វផ្សាយដោយអ្នកជំនាញ infosec ។

នេះធ្វើឱ្យ Beep មានការគំរាមកំហែងយ៉ាងខ្លាំងចំពោះអង្គការ និងបុគ្គល ដោយសារវាអាចផ្តល់លទ្ធភាពឱ្យអ្នកវាយប្រហារចូលប្រើព័ត៌មានរសើប និងការគ្រប់គ្រងលើឧបករណ៍ដែលរងផលប៉ះពាល់ដោយគ្មានការអនុញ្ញាត។ បុគ្គល និងស្ថាប័ននានាគួរតែរក្សាកម្មវិធីសុវត្ថិភាពរបស់ពួកគេឱ្យទាន់សម័យ និងប្រុងប្រយ័ត្នចំពោះសញ្ញានៃសកម្មភាពគួរឱ្យសង្ស័យនៅលើឧបករណ៍របស់ពួកគេ ដើម្បីការពារការវាយប្រហារដោយមេរោគបែបនេះ។

Beep Malware អាចបង្កគ្រោះថ្នាក់យ៉ាងធ្ងន់ធ្ងរដល់ជនរងគ្រោះគោលដៅ

ប៊ីបត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានរសើបពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ វាមានធាតុផ្សំសំខាន់ៗចំនួនបីគឺ ប្រដាប់បន្តក់ ប្រដាប់ចាក់ និងបន្ទុក។

dropper ដែលត្រូវបានគេស្គាល់ថា 'big.dll' បង្កើតកូនសោចុះបញ្ជីថ្មីជាមួយនឹងតម្លៃជាក់លាក់មួយហៅថា AphroniaHaimavati ។ តម្លៃនេះមានស្គ្រីប PowerShell ដែលត្រូវបានអ៊ិនកូដក្នុងទម្រង់ base64 ។ ស្គ្រីប PowerShell ត្រូវបានចាប់ផ្តើមដោយកិច្ចការដែលបានកំណត់ពេលនៅលើឧបករណ៍រៀងរាល់ 13 នាទីម្តង។

នៅពេលដែលស្គ្រីបដំណើរការ វាទាញយកទិន្នន័យ ហើយរក្សាទុកវាទៅក្នុង injector ដែលមានឈ្មោះថា AphroniaHaimavati.dll ។ Injector ទទួលខុសត្រូវចំពោះការប្រើប្រាស់បច្ចេកទេសប្រឆាំងការបំបាត់កំហុស និងប្រឆាំង vm (virtualization) ដើម្បីចាក់បញ្ចូលបន្ទុកទៅក្នុងដំណើរការប្រព័ន្ធស្របច្បាប់ដែលហៅថា 'WWAHost.exe'។ នេះត្រូវបានធ្វើតាមរយៈដំណើរការហៅថា process hollowing ដែលជួយគេចពីការរកឃើញពីឧបករណ៍សុវត្ថិភាពដែលកំពុងដំណើរការលើម៉ាស៊ីន។

បន្ទុកចម្បងគឺទទួលខុសត្រូវក្នុងការប្រមូលទិន្នន័យពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល និងអ៊ិនគ្រីបវា។ បន្ទាប់មកវាព្យាយាមបញ្ជូនទិន្នន័យដែលបានអ៊ិនគ្រីបទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C2) ដែលត្រូវបាន hardcoded ។ ក្នុងអំឡុងពេលនៃការវិភាគ អាសយដ្ឋាន C2 ដែលត្រូវបានសរសេរកូដរឹងគឺនៅក្រៅបណ្តាញ ប៉ុន្តែមេរោគនៅតែបន្តព្យាយាមភ្ជាប់ បើទោះបីជាការព្យាយាមបរាជ័យ 120 ក៏ដោយ។

Beep Malware ផ្តោតយ៉ាងខ្លាំងទៅលើការរកឃើញដែលនៅសេសសល់

មេរោគ Beep ត្រូវបានគេស្គាល់ថាសម្រាប់បច្ចេកទេសគេចវេសជាច្រើនរបស់វាដែលបានអនុវត្តពេញមួយលំហូរប្រតិបត្តិការរបស់វា ដែលធ្វើឱ្យវាពិបាកក្នុងការស្វែងរក និងវិភាគដោយកម្មវិធីសុវត្ថិភាព និងអ្នកស្រាវជ្រាវ infosec ។ បច្ចេកទេសទាំងនេះរួមមាន string deobfuscation, system language check, debugger detection, anti-VM និង anti-sandbox វិធានការផ្សេងៗ។ សមាសធាតុ injector របស់ malware ក៏អនុវត្តបច្ចេកទេសប្រឆាំងនឹងការបំបាត់កំហុស និងការរកឃើញ-គេចវេសបន្ថែមមួយចំនួនផងដែរ។ ការផ្តោតអារម្មណ៍របស់ប៊ីបលើការគេចវេសបង្ហាញថាវាអាចជាការគំរាមកំហែងនាពេលខាងមុខដែលត្រូវប្រុងប្រយ័ត្ន ទោះបីជាប្រតិបត្តិការមានកម្រិតនៅក្នុងព្រៃនាពេលបច្ចុប្បន្នក៏ដោយ។