មេរោគ DeepLoad
យុទ្ធនាការវាយប្រហារដែលទើបកំណត់អត្តសញ្ញាណថ្មីមួយប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គម ClickFix ដើម្បីចាប់ផ្តើមការឆ្លងមេរោគ។ ជនរងគ្រោះត្រូវបានរៀបចំឱ្យប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលមានគំនិតអាក្រក់ដោយបិទភ្ជាប់វាទៅក្នុងប្រអប់ Windows Run ក្រោមរូបភាពនៃការដោះស្រាយបញ្ហាប្រព័ន្ធដែលប្រឌិតឡើង។ ជំហានដំបូងនេះប្រើប្រាស់ mshta.exe ដែលជាឧបករណ៍ប្រើប្រាស់ Windows ស្របច្បាប់ ដើម្បីទាញយក និងប្រតិបត្តិកម្មវិធីផ្ទុកទិន្នន័យដែលមានមូលដ្ឋានលើ PowerShell ដែលលាក់កំបាំង។
តារាងមាតិកា
ការបិទបាំងដែលត្រូវបានរចនាឡើងសម្រាប់ការគេចវេស
កម្មវិធីផ្ទុក PowerShell លាក់បាំងគោលបំណងពិតរបស់វាតាមរយៈការចាត់តាំងអថេរហួសហេតុ និងគ្មានន័យ ដែលធ្វើឱ្យការវិភាគឋិតិវន្តមានភាពស្មុគស្មាញយ៉ាងខ្លាំង។ ភស្តុតាងបង្ហាញថា ឧបករណ៍បញ្ញាសិប្បនិម្មិតទំនងជាត្រូវបានប្រើដើម្បីបង្កើតស្រទាប់បិទបាំងនេះ ដែលបង្កើនភាពទំនើបរបស់វា។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យមេរោគរំលងយន្តការរកឃើញបែបប្រពៃណី ខណៈពេលដែលរក្សាបាននូវសុចរិតភាពប្រតិបត្តិការ។
លួចលាក់តាមរយៈការក្លែងបន្លំប្រព័ន្ធ
DeepLoad ត្រូវបានរចនាឡើងជាពិសេសដើម្បីលាយបញ្ចូលគ្នាយ៉ាងរលូនទៅក្នុងប្រតិបត្តិការ Windows ស្តង់ដារ។ បន្ទុកទិន្នន័យត្រូវបានលាក់នៅក្នុងឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា LockAppHost.exe ដែលជាដំណើរការស្របច្បាប់ដែលទទួលខុសត្រូវក្នុងការគ្រប់គ្រងអេក្រង់ចាក់សោ Windows។ ដើម្បីបិទបាំងវត្តមានរបស់វាបន្ថែមទៀត មេរោគនេះបិទប្រវត្តិពាក្យបញ្ជា PowerShell ហើយហៅមុខងារស្នូល Windows ដើមដោយផ្ទាល់ជំនួសឱ្យការពឹងផ្អែកលើពាក្យបញ្ជា PowerShell ស្តង់ដារ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យវាគេចវេសពីប្រព័ន្ធត្រួតពិនិត្យដែលតាមដានសកម្មភាព PowerShell។
បច្ចេកទេសគ្មានឯកសារ និងការបង្កើតបន្ទុកថាមវន្ត
ដើម្បីកាត់បន្ថយការរកឃើញ DeepLoad ជៀសវាងការបន្សល់ទុកនូវវត្ថុបុរាណដែលស៊ីសង្វាក់គ្នានៅលើថាស។ វាបង្កើតសមាសធាតុបន្ទាប់បន្សំដោយថាមវន្តដោយប្រើមុខងារ Add-Type របស់ PowerShell ដោយចងក្រងកូដ C# ទៅជាឯកសារ DLL បណ្ដោះអាសន្នដែលរក្សាទុកក្នុងថត Temp របស់អ្នកប្រើប្រាស់។ ការប្រតិបត្តិនីមួយៗបង្កើតឯកសារដែលមានឈ្មោះតែមួយគត់ ដោយរំលងវិធីសាស្ត្ររកឃើញដែលមានមូលដ្ឋានលើឯកសារដែលពឹងផ្អែកលើហត្ថលេខាដែលគេស្គាល់។
ការចាក់បញ្ចូលកម្រិតខ្ពស់សម្រាប់ការប្រតិបត្តិដោយសម្ងាត់
យុទ្ធសាស្ត្រគេចវេសដ៏សំខាន់មួយពាក់ព័ន្ធនឹងការប្រើប្រាស់ការចាក់បញ្ចូលការហៅនីតិវិធីអសមកាល (APC)។ មេរោគនេះបើកដំណើរការដំណើរការ Windows ស្របច្បាប់នៅក្នុងស្ថានភាពផ្អាក ចាក់បញ្ចូលលេខកូដសែលដោយផ្ទាល់ទៅក្នុងអង្គចងចាំរបស់វា ហើយបន្តការប្រតិបត្តិ។ វិធីសាស្ត្រនេះធានាថា payload ដែលមានគំនិតអាក្រក់ដំណើរការក្នុងដំណើរការដែលទុកចិត្តដោយមិនចាំបាច់សរសេរកំណែឌិគ្រីបទៅឌីស ដែលកាត់បន្ថយផលប៉ះពាល់ផ្នែកវិទ្យាសាស្ត្ររបស់វាយ៉ាងខ្លាំង។
យន្តការលួចព័ត៌មានសម្ងាត់ជាប់លាប់
DeepLoad ត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យអ្នកប្រើប្រាស់ដ៏រសើបភ្លាមៗបន្ទាប់ពីដំណើរការ។ សមត្ថភាពរបស់វារួមមាន៖
- ការទាញយកពាក្យសម្ងាត់កម្មវិធីរុករកដែលបានរក្សាទុកដោយផ្ទាល់ពីប្រព័ន្ធដែលឆ្លងមេរោគ
ការរីករាលដាលតាមចំហៀងតាមរយៈមេឌៀដែលអាចដកចេញបាន
មេរោគនេះរួមបញ្ចូលបច្ចេកទេសសាយភាយដែលត្រូវបានរចនាឡើងដើម្បីកេងប្រវ័ញ្ចឧបករណ៍ផ្ទុកទិន្នន័យដែលអាចដកចេញបាន។ នៅពេលរកឃើញដ្រាយ USB ឬមេឌៀស្រដៀងគ្នា វាចម្លងឯកសារផ្លូវកាត់ព្យាបាទដែលក្លែងបន្លំជាអ្នកដំឡើងស្របច្បាប់។ ឯកសារទាំងនេះត្រូវបានគេដាក់ឈ្មោះឱ្យមើលទៅគួរឱ្យទុកចិត្ត ដែលបង្កើនលទ្ធភាពនៃអន្តរកម្មរបស់អ្នកប្រើប្រាស់ និងការឆ្លងមេរោគបន្ថែមទៀត។
ការឆ្លងមេរោគឡើងវិញដោយស្ងៀមស្ងាត់តាមរយៈការរំលោភបំពាន WMI
DeepLoad បង្កើតភាពស្ថិតស្ថេរដោយប្រើ Windows Management Instrumentation (WMI)។ វាបង្កើតការជាវព្រឹត្តិការណ៍ដែលបង្កឱ្យមានការឆ្លងឡើងវិញបន្ទាប់ពីការពន្យារពេលបីថ្ងៃ ដោយមិនតម្រូវឱ្យមានអន្តរកម្មរបស់អ្នកប្រើប្រាស់ ឬការជាប់ពាក់ព័ន្ធរបស់អ្នកវាយប្រហារឡើយ។ បច្ចេកទេសនេះក៏រំខានដល់គំរូរកឃើញបែបប្រពៃណីដោយបំបែកទំនាក់ទំនងដំណើរការឪពុកម្តាយ-កូនដែលរំពឹងទុក។
គោលបំណងយុទ្ធសាស្ត្រ៖ ការគ្របដណ្តប់ខ្សែសង្វាក់សម្លាប់ពេញលេញ
ការរចនារួមរបស់ DeepLoad បង្ហាញពីក្របខ័ណ្ឌមេរោគពហុមុខងារដែលមានសមត្ថភាពអនុវត្តសកម្មភាពនៅទូទាំងខ្សែសង្វាក់សម្លាប់តាមអ៊ីនធឺណិតទាំងមូល។ យុទ្ធសាស្ត្រប្រតិបត្តិការរបស់វាផ្តោតលើ៖
- ការជៀសវាងវត្ថុបុរាណដែលមានមូលដ្ឋានលើឌីស ដើម្បីកាត់បន្ថយឱកាសរកឃើញ
- ការលាយបញ្ចូលគ្នានូវសកម្មភាពព្យាបាទនៅក្នុងដំណើរការ Windows ស្របច្បាប់
- រីករាលដាលយ៉ាងឆាប់រហ័សនៅទូទាំងប្រព័ន្ធនានា ដើម្បីពង្រីកវិសាលភាពរបស់ខ្លួន
សូចនាករនៃក្របខ័ណ្ឌគំរាមកំហែងដែលអាចធ្វើមាត្រដ្ឋានបាន
ហេដ្ឋារចនាសម្ព័ន្ធ និងការរចនាម៉ូឌុលដែលភ្ជាប់ជាមួយ DeepLoad បង្ហាញពីលទ្ធភាពនៃគំរូដាក់ពង្រាយដែលបានចែករំលែក ឬផ្អែកលើសេវាកម្ម។ ខណៈពេលដែលលក្ខណៈស្របនឹងការផ្តល់ជូន Malware-as-a-Service (MaaS) បច្ចុប្បន្នមានភស្តុតាងមិនគ្រប់គ្រាន់ដើម្បីបញ្ជាក់ឱ្យច្បាស់លាស់អំពីចំណាត់ថ្នាក់នេះទេ។
