DEPLOYLOG

យុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណេតរយៈពេលជាច្រើនឆ្នាំដែលធ្វើឡើងដោយក្រុម APT (Advanced Persistent Threat) ដែលគាំទ្រដោយចិន Winnti (ត្រូវបានគេស្គាល់ថា APT41, BARIUM, និង Blackfly) ត្រូវបានបំភ្លឺ។ នៅក្នុងរបាយការណ៍មួយរបស់អ្នកស្រាវជ្រាវ ខ្សែសង្វាក់ឆ្លងមេរោគទាំងមូលរបស់ពួក Hacker ត្រូវបានបង្ហាញជាសាធារណៈ។ ក្នុងអំឡុងពេលប្រតិបត្តិការគំរាមកំហែង Winnti ត្រូវបានគេជឿថាអាចទទួលបានព័ត៌មានសម្ងាត់ដ៏ច្រើនសន្ធឹកសន្ធាប់ រួមទាំងប្លង់មេ ទិន្នន័យកម្មសិទ្ធិ ដ្យាក្រាម និងច្រើនទៀត។ ជនរងគ្រោះគឺជាក្រុមហ៊ុនមកពីអាមេរិកខាងជើង អឺរ៉ុប និងអាស៊ី ដែលប្រតិបត្តិការនៅក្នុងឧស្សាហកម្មបច្ចេកវិទ្យា និងផលិតកម្ម។

យោងតាមរបាយការណ៍ ជំហានចុងក្រោយនៃខ្សែសង្វាក់ឆ្លងមេរោគពហុដំណាក់កាល បានដាក់ពង្រាយសំណុំ root ផ្ទាល់ខ្លួនដែលមានឈ្មោះថា WINNKIT ។ ទោះជាយ៉ាងណាក៏ដោយ ភារកិច្ចនៃការដាក់ពង្រាយ បង្កើត និងធ្វើឱ្យសកម្ម rootkit ត្រូវបានផ្ទេរទៅឱ្យការគំរាមកំហែងមេរោគដាច់ដោយឡែកមួយដែលមានឈ្មោះថា DEPLOYLOG ។ វាត្រូវបានទម្លាក់នៅលើប្រព័ន្ធដែលបំពានជាឯកសារ DLL 64 ប៊ីត 'dbghelp.dll' ដែលជាឈ្មោះទូទៅ និងប្រើជាទូទៅនៅ C:\Windows\System32\WindowsPowerShell\v1.0 ក្នុងការប៉ុនប៉ងដើម្បីហុចជាឯកសារស្របច្បាប់។

ភារកិច្ចចម្បងដំបូងនៃ DEPLOYLOG គឺត្រូវដាក់ពង្រាយ WINNKIT rootkit ។ វាធ្វើដូច្នេះដោយការទាញយកបន្ទុកចុងក្រោយពីឯកសារកំណត់ហេតុ CLFS និងឌិគ្រីបមាតិកាដែលទទួលបាន។ បន្ទាប់មក DEPLOYLOG នឹងបញ្ឈប់សេវាកម្មវិធីបញ្ជាខឺណែលដំណើរការ AMD K8 amdk8 ។ ការពិតនេះអាចចង្អុលទៅ WINNTI ដែលកំពុងផ្តោតលើការសម្របសម្រួលម៉ាស៊ីនដែលទាក់ទងនឹង AMD និងក៏មានចំណេះដឹងជាមុនអំពីហេដ្ឋារចនាសម្ព័ន្ធខាងក្នុងនៃម៉ាស៊ីនជនរងគ្រោះរបស់ពួកគេផងដែរ។

ភារកិច្ចទីពីររបស់ DEPLOYLOG គឺដើម្បីដើរតួជាភ្នាក់ងាររបៀបអ្នកប្រើប្រាស់នៅលើប្រព័ន្ធ។ វា​នឹង​ព្យាយាម​ដើរតួ​ជា​ស្ពាន​រវាង rootkit ដែល​បាន​ដាក់​ពង្រាយ​ឥឡូវ​នេះ និង​ម៉ាស៊ីនមេ Command-and-Control (C2, C&C) នៃ​ប្រតិបត្តិការ។ មេរោគនឹងទាក់ទងជាមួយម៉ាស៊ីនមេ C2 និងទទួលបានទិន្នន័យដែលបន្ទាប់មកនឹងត្រូវបានស្ទាក់ចាប់ដោយកម្មវិធីបញ្ជាដែលគំរាមកំហែងនៃ WINNKIT ។ តាមរយៈភ្នាក់ងារ អ្នកវាយប្រហារ Winnti អាចផ្ទុកម៉ូឌុលថ្មីនៅលើប្រព័ន្ធមេរោគ បើកសែល CMD ទម្លាក់បន្ទុកប្រមូលព័ត៌មាន និងច្រើនទៀត។