Cobalt Strike

មេរោគ Cobalt Strike គឺជាកម្មវិធីគំរាមកំហែងដែលត្រូវបានប្រើដើម្បីកំណត់គោលដៅស្ថាប័នហិរញ្ញវត្ថុ និងស្ថាប័នផ្សេងទៀត ហើយអាចឆ្លងកុំព្យូទ័រដោយប្រើប្រព័ន្ធ Windows, Linux និង Mac OS X ។ វាត្រូវបានគេរកឃើញដំបូងក្នុងឆ្នាំ 2012 ហើយត្រូវបានគេជឿថាជាស្នាដៃរបស់ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតនិយាយភាសារុស្សីដែលគេស្គាល់ថាជាក្រុម Cobalt ។ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីប្រមូលប្រាក់ពីធនាគារ អេធីអឹម និងស្ថាប័នហិរញ្ញវត្ថុផ្សេងទៀតដោយទាញយកភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធរបស់ពួកគេ។ វាត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារកម្រិតខ្ពស់ជាច្រើន រួមទាំងការវាយប្រហារមួយនៅលើធនាគារបង់ក្លាដែសក្នុងឆ្នាំ 2016 ដែលបណ្តាលឱ្យមានការលួចប្រាក់ចំនួន 81 លានដុល្លារ។ Cobalt Strike ក៏អាចប្រើសម្រាប់ការដកទិន្នន័យ ការវាយប្រហារ ransomware និងការវាយប្រហារ Distributed Denial-of-Service (DDoS) ផងដែរ។

របៀបដែលកុំព្យូទ័រឆ្លងមេរោគ Cobalt Strike Malware

មេរោគ Cobalt Strike ជាធម្មតាត្រូវបានរីករាលដាលតាមរយៈអ៊ីមែល ឬគេហទំព័រដែលខូច។ អ៊ីមែលអាចមានតំណភ្ជាប់ទៅកាន់គេហទំព័រដែលមិនមានសុវត្ថិភាព ដែលបន្ទាប់មកអាចទាញយក Cobalt Strike នៅលើកុំព្យូទ័រ។ លើសពីនេះទៀត Cobalt Strike អាចត្រូវបានរីករាលដាលតាមរយៈការទាញយកដោយដ្រាយវ៍ ដែលជាកន្លែងដែលអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យចូលទៅកាន់គេហទំព័រដែលបានឆ្លងមេរោគ។ នៅពេលដែលបានដំឡើងនៅលើកុំព្យូទ័រ នោះ Cobalt Strike អាចត្រូវបានប្រើដើម្បីប្រមូលទិន្នន័យ និងប្រាក់ពីស្ថាប័នហិរញ្ញវត្ថុ។

ហេតុអ្វីបានជាពួក Hacker ចូលចិត្តប្រើ Cobalt Strike ក្នុងការវាយប្រហាររបស់ពួកគេ?

ពួក Hacker ប្រើ Cobalt Strike សម្រាប់ហេតុផលផ្សេងៗ។ វាគឺជាឧបករណ៍កម្រិតខ្ពស់ដែលអនុញ្ញាតឱ្យពួកគេចូលប្រើបណ្តាញ បើកការវាយប្រហារ Distributed Denial-of-Service (DDoS) និងបណ្តេញទិន្នន័យ។ វាក៏មានសមត្ថភាពឆ្លងកាត់វិធានការសុវត្ថិភាពដូចជា ជញ្ជាំងភ្លើង និងកម្មវិធីសុវត្ថិភាពផងដែរ។ លើសពីនេះទៀត វាអាចត្រូវបានប្រើដើម្បីបង្កើតបន្ទុកគ្រោះថ្នាក់ ដែលអាចត្រូវបានប្រើនៅក្នុងយុទ្ធនាការបន្លំ ឬការវាយប្រហារតាមអ៊ីនធឺណិតផ្សេងទៀត។ ទីបំផុត Cobalt Strike គឺងាយស្រួលប្រើ ហើយអាចត្រូវបានគេដាក់ពង្រាយយ៉ាងរហ័ស ដើម្បីអនុវត្តការវាយប្រហារ។

តើមានមេរោគផ្សេងទៀតដូចជា Cobalt Strike ដែរឬទេ?

បាទ មានការគំរាមកំហែងមេរោគផ្សេងទៀតដែលស្រដៀងនឹង Cobalt Strike ។ មួយចំនួននៃទាំងនេះរួមមាន Emotet , Trickbot និង Ryuk ។ Emotet គឺជា Trojan ធនាគារដែលប្រើដើម្បីប្រមូលព័ត៌មានហិរញ្ញវត្ថុពីជនរងគ្រោះ។ Trickbot គឺជា Trojan ធនាគារម៉ូឌុលដែលអាចប្រើបានសម្រាប់ការទាញយកទិន្នន័យ និងការវាយប្រហារ ransomware ។ Ryuk គឺជាមេរោគ ransomware ដែលត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារកម្រិតខ្ពស់ជាច្រើនលើស្ថាប័នជុំវិញពិភពលោក។ ការគម្រាមកំហែងទាំងអស់នេះមានសក្តានុពលក្នុងការបង្កការខូចខាតយ៉ាងសំខាន់ ប្រសិនបើពួកគេមិនត្រូវបានដោះស្រាយឱ្យបានត្រឹមត្រូវ។

រោគសញ្ញានៃការឆ្លងមេរោគដោយ Cobalt Strike

រោគសញ្ញានៃការឆ្លងមេរោគដោយមេរោគ Cobalt Strike រួមមានដំណើរការកុំព្យូទ័រយឺត បង្អួចលេចឡើងដែលមិនបានរំពឹងទុក និងឯកសារ ឬថតចំឡែកដែលលេចឡើងនៅលើកុំព្យូទ័រ។ លើសពីនេះទៀត អ្នកប្រើប្រាស់អាចជួបប្រទះការលំបាកក្នុងការចូលទៅកាន់គេហទំព័រ ឬកម្មវិធីមួយចំនួន ក៏ដូចជាការទទួលអ៊ីមែលដែលមានឯកសារភ្ជាប់គួរឱ្យសង្ស័យ។ ប្រសិនបើអ្នកប្រើសម្គាល់ឃើញរោគសញ្ញាទាំងនេះ ពួកគេគួរតែទាក់ទងទៅផ្នែក IT ឬអ្នកផ្តល់សេវាសន្តិសុខរបស់ពួកគេភ្លាមៗ ដើម្បីស៊ើបអង្កេតបន្ថែម។

វិធីស្វែងរក និងដកមេរោគ Cobalt Strike Infection ចេញពីម៉ាស៊ីនដែលមានមេរោគ

1. ដំណើរការការស្កេនប្រព័ន្ធពេញលេញជាមួយនឹងកម្មវិធីប្រឆាំងមេរោគដែលបានធ្វើបច្ចុប្បន្នភាព។ វា​នឹង​រក​ឃើញ និង​លុប​ឯកសារ​ដែល​រំខាន​នានា​ដែល​ទាក់ទង​នឹង​មេរោគ Cobalt Strike។

2. ពិនិត្យមើលប្រព័ន្ធរបស់អ្នកសម្រាប់ដំណើរការ ឬសេវាកម្មដែលគួរឱ្យសង្ស័យដែលអាចនឹងកំពុងដំណើរការក្នុងផ្ទៃខាងក្រោយ។ ប្រសិនបើអ្នករកឃើញណាមួយ បញ្ឈប់ពួកគេភ្លាមៗ។

3. លុបឯកសារ ឬថតដែលគួរឱ្យសង្ស័យដែលត្រូវបានបង្កើតឡើងដោយមេរោគ Cobalt Strike នៅលើកុំព្យូទ័ររបស់អ្នក។

4. ផ្លាស់ប្តូរពាក្យសម្ងាត់របស់អ្នកទាំងអស់ ជាពិសេសវាទាក់ទងនឹងគណនីហិរញ្ញវត្ថុ ឬព័ត៌មានរសើបផ្សេងទៀត។

5. ត្រូវប្រាកដថាប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីរបស់អ្នកមានភាពទាន់សម័យជាមួយនឹងបំណះសុវត្ថិភាព និងការអាប់ដេតចុងក្រោយបំផុតពីគេហទំព័ររបស់អ្នកផលិត។

6. ពិចារណាប្រើប្រាស់ Firewall និងកម្មវិធីប្រឆាំងមេរោគដ៏ល្បីមួយ ដើម្បីការពារកុំព្យូទ័ររបស់អ្នកពីការគំរាមកំហែងនាពេលអនាគត ដូចជាមេរោគ Cobalt Strike ជាដើម។