TEARDROP मैलवेयर
TEARDROP मालवेयर खतरों में से एक है जो सोलरविंड के ओरियन प्लेटफॉर्म के खिलाफ आपूर्ति-श्रृंखला हमले में ली गई है। खतरे के अभिनेता ने ऑपरेशन के विशिष्ट लक्ष्यों और विशेष रूप से संक्रमित लक्ष्य के अनुसार अलग-अलग धमकी देने वाले औजारों की एक किस्म को खोल दिया। पहले कभी नहीं देखा गया टीएआरएआरडीओआर मालवेयर ने दूसरे चरण के ड्रॉपर के रूप में काम किया, अगले चरण के पेलोड के वितरण का काम किया - कोबाल्ट स्ट्राइक बीकन इंप्लांट (संस्करण 4)। यह ध्यान दिया जाना चाहिए कि कोबाल्ट स्ट्राइक एक वैध रिमोट एक्सेस टूल है जिसे प्रवेश परीक्षणों में उपयोग करने के लिए डिज़ाइन किया गया है। हालांकि, शक्तिशाली कार्यों के अपने विशाल सेट ने इसे कई हैकर समूहों के शस्त्रागार में एक लोकप्रिय स्थिरता बना दिया है। कोबाल्ट स्ट्राइक एक संभावित खतरे वाले अभिनेता को समझौता प्रणाली पर पूर्ण नियंत्रण स्थापित करने की अनुमति देता है। RAT (रिमोट एक्सेस टूल) को कमांडिंग रूटीन स्थापित करने, सिस्टम पर मनमाने शॉट्स लेने, अतिरिक्त हानिकारक पेलोड देने, फाइल सिस्टम में हेरफेर करने और एन्क्रिप्टेड सुरंगों के माध्यम से रिमोट सर्वरों के लिए संवेदनशील डेटा का चयन करने के लिए कमांड किया जा सकता है।
TEARDROP मालवेयर की संरचना
TEARDROP ड्रॉपर 64-बिट डायनेमिक-लिंक लाइब्रेरी (DLL) का खतरा है जो डिस्क पर किसी भी फाइल को लिखे बिना पूरी तरह से मेमोरी में संचालित होता है। यह एक सेवा के रूप में चलता है, एक थ्रेड को जन्म देता है, और एक फ़ाइल के पहले 64-बाइट्स को पढ़ता है जिसका नाम ' उत्सव_कंप्यूटर.जेपीजी ' है। डेटा को किसी भी चीज़ की ज़रूरत नहीं है और ' उत्सव_कंप्यूटर ' जेपीजी फ़ाइल के बिना भी इसके संचालन के लिए खतरा बना रहेगा। फ़ाइल का वास्तविक नाम भिन्न हो सकता है, क्योंकि कुछ infosec शोधकर्ताओं ने अन्य संस्करणों जैसे ' gracious_truth.jpg ' का पता लगाया है।
TEARDROP मैलवेयर के लिए अगला कदम HKU \ SOFTWARE \ Microsoft \ CTF की उपस्थिति की जांच करना है और एक कस्टम XOR एल्गोरिथ्म के माध्यम से कोबाल्ट स्ट्राइक बीकन पेलोड को डीकोड करना है। अंत में, ड्रॉपर कस्टम पेलोड को कस्टम पीई-जैसे प्रारूप के माध्यम से मेमोरी में लोड करता है।
टीएआरएआरडीआरओपी रेनड्रॉप नामक एक ही आपूर्ति-श्रृंखला हमले में देखे गए एक अन्य ड्रॉपर परिवार से निकटता से संबंधित है। दोनों खतरों में समान कार्यशीलता होती है और महत्वपूर्ण रूप से महत्वपूर्ण ओवरलैप होते हैं, और वे कुछ प्रमुख अंतर प्रदर्शित करते हैं। दो मैलवेयर परिवारों के बीच सबसे बड़ा प्रतिष्ठित कारक रेनड्रॉप के लिए एक अलग पैकर का उपयोग है।
