សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ យុទ្ធនាការមេរោគ Dual-Payload

យុទ្ធនាការមេរោគ Dual-Payload

ដោយ Mezo ក្នុង ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ, Adware
បកប្រែទៅ៖

យុទ្ធនាការមេរោគដែលទើបរកឃើញថ្មីមួយកំពុងទាក់ទាញការចាប់អារម្មណ៍យ៉ាងខ្លាំងនៅក្នុងសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិត ដោយសារតែសមត្ថភាពរបស់វាក្នុងការដាក់ពង្រាយការគំរាមកំហែងពីរផ្សេងគ្នាក្នុងពេលដំណាលគ្នា។ ឧបករណ៍ផ្ទុកទិន្នន័យដែលលាក់កំបាំងតែមួយត្រូវបានប្រើដើម្បីបញ្ជូនទាំង Gh0st RAT និង CloverPlus ទៅក្នុងប្រព័ន្ធដែលរងការសម្របសម្រួលដូចគ្នា។

ការរួមបញ្ចូលគ្នានេះគឺមិនធម្មតា និងមានយុទ្ធសាស្ត្រខ្ពស់។ Gh0st RAT អនុញ្ញាតឱ្យមានការគ្រប់គ្រងពីចម្ងាយពេញលេញលើម៉ាស៊ីនដែលមានមេរោគ ខណៈពេលដែល CloverPlus ផ្តោតលើការរៀបចំសកម្មភាពកម្មវិធីរុករក ការចាក់សមាសធាតុផ្សាយពាណិជ្ជកម្ម និងបង្កើតប្រាក់ចំណូលតាមរយៈការលេចឡើងដែលរំខាន។ ការដាក់ពង្រាយពីរអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងរក្សាការចូលប្រើដោយគ្មានការអនុញ្ញាតជាបន្តបន្ទាប់ ខណៈពេលដែលរកប្រាក់ពីការឆ្លងមេរោគក្នុងពេលវេលាជាក់ស្តែង។

យុទ្ធនាការនេះបង្ហាញពីនិន្នាការកើនឡើងឆ្ពោះទៅរកការផ្តល់សេវាកម្មពហុបន្ទុក ដែលអ្នកវាយប្រហារបង្កើនប្រសិទ្ធភាពប្រតិបត្តិការ និងប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុពីការសម្របសម្រួលតែមួយ។

យុទ្ធសាស្ត្រ​បិទបាំង៖ លាក់បាំង​បន្ទុក​ផ្ទុក

ឧបករណ៍ផ្ទុកទិន្នន័យនៅស្នូលនៃយុទ្ធនាការនេះត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់។ វាបង្កប់បន្ទុកទិន្នន័យដែលបានអ៊ិនគ្រីបពីរនៅក្នុងផ្នែកធនធានរបស់វា ដោយប្រើបច្ចេកទេសបិទបាំងដើម្បីគេចពីយន្តការរកឃើញបែបប្រពៃណី។

ការប្រតិបត្តិចាប់ផ្តើមជាមួយម៉ូឌុល Adware CloverPlus ដែលត្រូវបានកំណត់ថាជា AdWare.Win32.CloverPlus និងភ្ជាប់ជាមួយឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា wiseman.exe។ សមាសភាគនេះកែប្រែការកំណត់ការចាប់ផ្តើមកម្មវិធីរុករក និងបញ្ចូលការផ្សាយពាណិជ្ជកម្មលេចឡើងជាប់លាប់។

បន្ទាប់ពីនេះ កម្មវិធីផ្ទុកទិន្នន័យវាយតម្លៃផ្លូវប្រតិបត្តិរបស់វា។ ប្រសិនបើវាមិនដំណើរការពីថតឯកសារ %temp% របស់ប្រព័ន្ធទេ វាបង្កើតច្បាប់ចម្លងរបស់វានៅទីនោះមុនពេលបន្ត។ ដំណាក់កាលបន្ទាប់ពាក់ព័ន្ធនឹងការឌិគ្រីបម៉ូឌុលម៉ាស៊ីនភ្ញៀវ Gh0st RAT ដែលក៏ត្រូវបានលាក់ជាធនធានដែលបានអ៊ិនគ្រីបនៅក្នុងប្រព័ន្ធគោលពីរមេរោគផងដែរ។

នៅពេលដែលវាត្រូវបានឌិគ្រីបរួច មេរោគនឹងកំណត់ឈ្មោះឯកសារចៃដន្យទៅឱ្យ payload ហើយរក្សាទុកវានៅក្នុងថតឯកសារដែលមានឈ្មោះចៃដន្យដែលមានទីតាំងនៅ root នៃដ្រាយ C:\ ដែលធ្វើឱ្យការរកឃើញ និងការវិភាគកាន់តែស្មុគស្មាញ។

ការរស់នៅក្រៅដី៖ ឧបករណ៍ដែលគួរឱ្យទុកចិត្ត ចេតនាព្យាបាទ

ដើម្បីប្រតិបត្តិ payload ដែលបានឌិគ្រីប មេរោគនេះប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ Windows ស្របច្បាប់ rundll32.exe។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដព្យាបាទក្រោមរូបភាពនៃដំណើរការប្រព័ន្ធដែលគួរឱ្យទុកចិត្ត ដែលកាត់បន្ថយលទ្ធភាពនៃការបង្កការការពារសុវត្ថិភាពយ៉ាងច្រើន។

នៅពេលដែលសកម្ម Gh0st RAT ចាប់ផ្តើមធ្វើការវិភាគប្រព័ន្ធដែលរងការសម្របសម្រួលដោយប្រមូលអត្តសញ្ញាណតែមួយគត់ដូចជាអាសយដ្ឋាន MAC និងលេខស៊េរីដ្រាយវ៍រឹង។ ព័ត៌មានលម្អិតទាំងនេះត្រូវបានប្រើដើម្បីចុះឈ្មោះជនរងគ្រោះនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យរបស់អ្នកវាយប្រហារ ដោយធានាបាននូវការតាមដាន និងការគ្រប់គ្រងយ៉ាងច្បាស់លាស់នៃម៉ាស៊ីនដែលឆ្លងមេរោគ។

យន្តការ​នៃ​ការ​បន្ត​ដំណើរការ៖ ធានា​ការ​ចូល​ប្រើប្រាស់​រយៈពេល​វែង

ការរក្សាសិទ្ធិចូលប្រើបន្ទាប់ពីប្រព័ន្ធចាប់ផ្តើមឡើងវិញគឺជាគោលបំណងសំខាន់នៃយុទ្ធនាការនេះ។ Gh0st RAT សម្រេចបាននូវភាពស្ថិតស្ថេរតាមរយៈបច្ចេកទេសច្រើនដែលបានបង្កប់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ៖

ការកែប្រែសោចុះបញ្ជី Windows Run ដើម្បីធានាបាននូវការប្រតិបត្តិដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើម
ការចុះឈ្មោះ DLL ព្យាបាទនៅក្នុងផ្លូវសេវាកម្មចូលប្រើពីចម្ងាយនៅក្រោម SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

វិធីសាស្ត្រទាំងនេះផ្តល់សិទ្ធិកម្រិតប្រព័ន្ធដល់មេរោគនៅពេលណាដែលសេវាកម្មពាក់ព័ន្ធត្រូវបានដាក់ឱ្យដំណើរការ ដោយលុបបំបាត់តម្រូវការសម្រាប់អន្តរកម្មបន្ថែមរបស់អ្នកប្រើប្រាស់ និងពង្រឹងការគ្រប់គ្រងរយៈពេលវែង។

ការរកឃើញ និងការការពារ៖ សូចនាករនៃការសម្របសម្រួល

ផលប៉ះពាល់នៃយុទ្ធនាការនេះគឺគួរឱ្យកត់សម្គាល់សម្រាប់ទាំងបុគ្គល និងអង្គការ។ ខណៈពេលដែលសមាសធាតុ Adware រំខានដល់មុខងារកម្មវិធីរុករក និងបង្កើនការប៉ះពាល់ទៅនឹងការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់ សមាសធាតុ RAT អាចឱ្យមានការលួចទិន្នន័យ ការកត់ត្រាការចុចគ្រាប់ចុច ការរំលងសុវត្ថិភាព និងការចូលប្រើដែលមានសិទ្ធិជាប់លាប់។

ក្រុមសន្តិសុខគួរតែបន្តប្រុងប្រយ័ត្ន និងតាមដានសូចនាករនៃការសម្របសម្រួលដូចខាងក្រោម៖

  • ការប្រតិបត្តិ rundll32.exe ដែលផ្ទុក DLLs ឬផ្នែកបន្ថែមឯកសារមិនស្តង់ដារពីថតឯកសារមិនធម្មតា ឬគួរឱ្យសង្ស័យ
  • សកម្មភាពដំណើរការដែលមានប្រភពមកពីថតឯកសារ %temp%
  • ការកែប្រែដោយគ្មានការអនុញ្ញាតចំពោះសោរដំណើរការបញ្ជីឈ្មោះ ឬការកំណត់រចនាសម្ព័ន្ធសេវាកម្ម RemoteAccess
  • ការប្រើប្រាស់ការពន្យារពេលផ្អែកលើ ping ដើម្បីគេចពីការរកឃើញ sandbox
  • គំរូចរាចរណ៍ DNS មិនប្រក្រតី និងការផ្លាស់ប្តូរដែលមិននឹកស្មានដល់ចំពោះឯកសារម៉ាស៊ីនប្រព័ន្ធ

ការត្រួតពិនិត្យប្រកបដោយភាពសកម្ម និងការឆ្លើយតបយ៉ាងឆាប់រហ័សចំពោះសញ្ញាទាំងនេះ គឺមានសារៈសំខាន់ណាស់ក្នុងការកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយយុទ្ធនាការមេរោគគំរាមកំហែងពីរដ៏ទំនើបនេះ។

និន្នាការ

Forestrievic.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរុករកគេហទំព័រដោយសុវត្ថិភាពតម្រូវឱ្យមានការប្រុងប្រយ័ត្នជាប់លាប់។ គេហទំព័រក្លែងក្លាយត្រូវបានរចនាឡើងជាពិសេសដើម្បីកេងប្រវ័ញ្ចទំនុកចិត្តរបស់អ្នកប្រើប្រាស់តាមរយៈបច្ចេកទេសបោកបញ្ឆោត...

បញ្ជាក់ការបោកប្រាស់តាមអ៊ីមែលអំពីការអាប់ដេតសុវត្ថិភាព...

ការបន្លំ, សារឥតបានការ
អ៊ីមែលដែលមិននឹកស្មានដល់ដែលទាមទារសកម្មភាពបន្ទាន់គួរតែត្រូវបានដោះស្រាយដោយប្រុងប្រយ័ត្នជានិច្ច។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតច្រើនតែក្លែងបន្លំសារព្យាបាទជាការជូនដំណឹងស្របច្បាប់ដើម្បីកេងប្រវ័ញ្ចទំនុកចិត្ត និងបង្កឱ្យមានការភ័យស្លន់ស្លោ។ វាមានសារៈសំខាន់ណាស់ក្នុងការទទួលស្គាល់ថាការបោកប្រាស់ដូចជាអ៊ីមែល 'បញ្ជាក់ការអាប់ដេតសុវត្ថិភាពភាពឯកជនថ្មី' មិនមានទំនាក់ទំនងជាមួយក្រុមហ៊ុន អង្គការ...

មើលច្រើនបំផុត

Eporner.com

បញ្ហា
22,306
អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
21,245
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...