សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង អ្នកលួច អេវលីន ស្ទីលលើរ

អេវលីន ស្ទីលលើរ

ដោយ Mezo ក្នុង អ្នកលួច, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

Evelyn គឺជាមេរោគលួចព័ត៌មានដ៏ទំនើបមួយ ដែលត្រូវបានបង្កើតឡើងដើម្បីប្រមូលទិន្នន័យរសើបដោយស្ងាត់ៗ ខណៈពេលដែលជៀសវាងការវិភាគសុវត្ថិភាព និងការរកឃើញ។ មុខងារចម្បងរបស់វាគឺប្រមូលព័ត៌មានដ៏មានតម្លៃពីប្រព័ន្ធដែលឆ្លងមេរោគ ហើយច្រោះវាទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ (C2) របស់ភ្នាក់ងារគំរាមកំហែងតាមរយៈ FTP។

អ្នកលួចទិន្នន័យមានសមត្ថភាពប្រមូលទិន្នន័យជាច្រើនប្រភេទ រួមទាំងព័ត៌មានសម្ងាត់របស់កម្មវិធីរុករកដែលបានរក្សាទុក មាតិកាក្ដារតម្បៀតខ្ទាស់ ពាក្យសម្ងាត់ Wi-Fi ព័ត៌មានកាបូបរូបិយប័ណ្ណគ្រីបតូ និងភាពវៃឆ្លាតប្រព័ន្ធលម្អិត។ នៅពេលដែលការប្រមូលផ្តុំត្រូវបានបញ្ចប់ សម្ភារៈដែលត្រូវបានគេលួចទាំងអស់ត្រូវបានបង្ហាប់ទៅជាប័ណ្ណសារ ZIP ហើយបញ្ជូនទៅម៉ាស៊ីនមេ FTP របស់អ្នកវាយប្រហារ។

ការដំឡើងដោយស្ងៀមស្ងាត់ និងការរំលោភបំពានសមត្ថភាព Windows

នៅពេលដំណើរការ Evelyn ផ្ទុកសមាសធាតុ Windows ដែលវាត្រូវការដើម្បីដំណើរការដោយថាមវន្ត រួមទាំងមុខងារសម្រាប់ការចាក់ដំណើរការ ការចូលប្រើឯកសារ និងបញ្ជីឈ្មោះ ការទំនាក់ទំនងបណ្តាញ និងការត្រួតពិនិត្យក្ដារតម្បៀតខ្ទាស់។ សមត្ថភាពទាំងនេះអនុញ្ញាតឱ្យមេរោគធ្វើសមាហរណកម្មយ៉ាងជ្រៅទៅក្នុងប្រព័ន្ធ និងគាំទ្រគោលបំណងលួចទិន្នន័យរបស់វា។

ដើម្បីរក្សាការសម្ងាត់ Evelyn ត្រូវបានរចនាឡើងដើម្បីគេចវេះការវិភាគដោយដៃ និងដោយស្វ័យប្រវត្តិ។ មុនពេលធ្វើឱ្យសកម្មពេញលេញ វាវាយតម្លៃបរិស្ថានរបស់វាដើម្បីកំណត់ថាតើវាកំពុងត្រូវបានពិនិត្យឬអត់។

ការវិភាគដែលភ្ជាប់មកជាមួយ និងការគេចវេស Sandbox

អេវលីនប្រើប្រាស់បច្ចេកទេសប្រឆាំងការវិភាគច្រើនយ៉ាង ដើម្បីរកឃើញម៉ាស៊ីននិម្មិត កម្មវិធីបំបាត់កំហុស និងឧបករណ៍សុវត្ថិភាព ឬឧបករណ៍ស្រាវជ្រាវ។ មានតែបន្ទាប់ពីបញ្ជាក់ថាប្រព័ន្ធហាក់ដូចជាបរិស្ថានអ្នកប្រើប្រាស់ពិតប្រាកដប៉ុណ្ណោះ ទើបវាបន្តដំណើរការ។

នៅដំណាក់កាលនោះ មេរោគបង្កើតថតឯកសារផ្ទាល់ខ្លួនរបស់វានៅក្នុងថតឯកសារ AppData របស់អ្នកប្រើប្រាស់ ដែលវាប្រើដើម្បីរក្សាទុកព័ត៌មានដែលប្រមូលបាន និងឯកសារគាំទ្រ។

ការកំណត់គោលដៅកម្មវិធីរុករកតាមអ៊ីនធឺណិតយ៉ាងសកម្ម និងការរៀបចំដំណើរការ

មេរោគចាប់ផ្តើមដោយការប្រមូលទិន្នន័យកម្មវិធីរុករកណាមួយដែលមានរួចហើយនៅលើប្រព័ន្ធ ហើយបន្ទាប់មកបិទកម្មវិធីរុករកដែលកំពុងដំណើរការដោយបង្ខំ។ នេះទាំងការពារជម្លោះទិន្នន័យ និងរៀបចំបរិស្ថានសម្រាប់ដំណាក់កាលបន្ទាប់៖ ការចាក់។

Evelyn តម្រូវឱ្យមានឯកសារជំនួយជាក់លាក់មួយ ដើម្បីលួចទិន្នន័យចូលកម្មវិធីរុករក។ ដំបូងវាពិនិត្យមើលថាតើឯកសារនេះមានរួចហើយនៅក្នុងថត TEMP របស់ប្រព័ន្ធឬអត់។ បើមិនមានទេ វានឹងព្យាយាមទាញយកឯកសារពីម៉ាស៊ីនមេ FTP របស់វា។ ជាជម្រើសចុងក្រោយ វាស្វែងរកថតដែលមេរោគខ្លួនឯងកំពុងដំណើរការ។

នៅពេលដែលឯកសារត្រូវបានទទួល Evelyn នឹងបើកដំណើរការកម្មវិធីរុករកគោលដៅតាមរបៀបដែលគ្រប់គ្រងយ៉ាងខ្ពស់ ហើយចាក់បញ្ចូលសមាសធាតុព្យាបាទចូលទៅក្នុងវាដោយសម្ងាត់។ នេះអនុញ្ញាតឱ្យអ្នកលួចរំលងការការពារកម្មវិធីរុករកដែលភ្ជាប់មកជាមួយ។ ដើម្បីជៀសវាងការជូនដំណឹងដល់អ្នកប្រើប្រាស់ ឬកម្មវិធីសុវត្ថិភាព កម្មវិធីរុករកត្រូវបានចាប់ផ្តើមជាមួយនឹងប៉ារ៉ាម៉ែត្រលាក់កំបាំងជាច្រើនដែលរារាំងបង្អួច បិទមុខងារសុវត្ថិភាព និងផ្នែកបន្ថែម ការពារការបង្កើតកំណត់ហេតុ និងលាក់សញ្ញាដែលអាចមើលឃើញថាកម្មវិធីរុករកត្រូវបានបើក។ វិធានការទាំងនេះអនុញ្ញាតឱ្យទាញយកទិន្នន័យកម្មវិធីរុករកដោយស្ងៀមស្ងាត់។

ការពង្រីកការប្រមូលទិន្នន័យ

ក្រៅពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត Evelyn ចាប់យករូបថតអេក្រង់នៃផ្ទៃតុ និងចងក្រងព័ត៌មានលម្អិតនៃប្រព័ន្ធយ៉ាងទូលំទូលាយ រួមទាំងឈ្មោះអ្នកប្រើប្រាស់បច្ចុប្បន្ន ឈ្មោះកុំព្យូទ័រ កំណែប្រព័ន្ធប្រតិបត្តិការ កម្មវិធីដែលបានដំឡើង ដំណើរការដែលកំពុងដំណើរការ និងការកំណត់រចនាសម្ព័ន្ធ VPN។ មេរោគនេះក៏កំណត់គោលដៅយ៉ាងសកម្មទៅលើកាបូបរូបិយប័ណ្ណគ្រីបតូ ត្រួតពិនិត្យក្ដារតម្បៀតខ្ទាស់ និងទាញយកព័ត៌មានសម្ងាត់ Wi-Fi ដែលបានរក្សាទុក។

ព័ត៌មានដែលប្រមូលបានទាំងអស់ត្រូវបានបញ្ចូលគ្នា បង្ហាប់ទៅជាប័ណ្ណសារ ZIP ហើយត្រងទៅកាន់ម៉ាស៊ីនមេ C2 របស់អ្នកវាយប្រហារតាមរយៈ FTP។

វ៉ិចទ័រឆ្លង៖ ផ្នែកបន្ថែមអ្នកអភិវឌ្ឍន៍ដែលមានមេរោគ Trojan

Evelyn ត្រូវបានចែកចាយតាមរយៈផ្នែកបន្ថែម Visual Studio Code ដ៏គ្រោះថ្នាក់ដែលក្លែងបន្លំជាកម្មវិធីបន្ថែមស្របច្បាប់។ នៅពេលដំឡើងរួច ផ្នែកបន្ថែមនេះនឹងទម្លាក់ឯកសារក្លែងក្លាយដែលក្លែងបន្លំជាបណ្ណាល័យតំណភ្ជាប់ថាមវន្ត Lightshot (DLL) ធម្មតា។ កម្មវិធី Lightshot ពិតប្រាកដបន្ទាប់មកផ្ទុក DLL ក្លែងក្លាយនេះ ដោយមិនដឹងខ្លួន ហើយប្រតិបត្តិកូដរបស់អ្នកវាយប្រហារ។

នៅពេលដែលវាសកម្ម DLL ព្យាបាទនឹងបើកដំណើរការពាក្យបញ្ជា PowerShell ដែលលាក់ទុក ដើម្បីទាញយក payload បន្ថែម។ សមាសធាតុបន្ទាប់បន្សំនេះទទួលខុសត្រូវចំពោះការចាក់ និងធ្វើឱ្យកម្មវិធីលួចព័ត៌មាន Evelyn សកម្ម។

ការវាយតម្លៃផលប៉ះពាល់ និងហានិភ័យសន្តិសុខ

Evelyn តំណាងឱ្យការគំរាមកំហែងដែលមានហានិភ័យខ្ពស់ ដោយសារតែការលួចលាក់ វិសាលភាពប្រមូលទិន្នន័យទូលំទូលាយ និងបច្ចេកទេសគេចវេសដ៏រឹងមាំ។ ការផ្តោតសំខាន់របស់វាទៅលើទិន្នន័យកម្មវិធីរុករក ភាពវៃឆ្លាតប្រព័ន្ធ និងទ្រព្យសកម្មរូបិយប័ណ្ណគ្រីបតូ ធ្វើឱ្យការឆ្លងមេរោគមានគ្រោះថ្នាក់ជាពិសេស។ ការសម្របសម្រួលដោយអ្នកលួចនេះអាចបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ការកាន់កាប់គណនី និងការលួចអត្តសញ្ញាណ ដែលបញ្ជាក់ពីសារៈសំខាន់នៃការការពារចំណុចបញ្ចប់ដ៏រឹងមាំ ការអនុវត្តការដំឡើងផ្នែកបន្ថែមដោយប្រុងប្រយ័ត្ន និងការត្រួតពិនិត្យជាបន្តបន្ទាប់សម្រាប់ឥរិយាបថប្រព័ន្ធមិនប្រក្រតី។

និន្នាការ

Imorportables.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរក្សាសុវត្ថិភាពតាមអ៊ីនធឺណិតមិនដែលសំខាន់ជាងពេលនេះទេ។ ជារៀងរាល់ថ្ងៃ អ្នកប្រើប្រាស់ជួបប្រទះគេហទំព័រ ការផ្សាយពាណិជ្ជកម្ម និងផ្ទាំងលេចឡើងរាប់មិនអស់ ដែលភាគច្រើនត្រូវបានរចនាឡើងមិនមែនដើម្បីជូនដំណឹងទេ...

ការបោកប្រាស់រង្វាន់ ZenChain

គេហទំព័រក្លែងក្លាយ
ការប្រុងប្រយ័ត្នជាប់លាប់ពេលកំពុងរុករកអ៊ីនធឺណិតមិនដែលមានសារៈសំខាន់ជាងពេលនេះទេ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេ ដោយបង្កើតគេហទំព័រ និងយុទ្ធនាការដែលគួរឱ្យជឿជាក់ខ្ពស់...

Search.quicksearchsafe.com

គេហទំព័រក្លែងក្លាយ, ចោរប្លន់កម្មវិធីរុករក, កម្មវិធីដែលមិនចង់បានសក្តានុពល
ការការពារឧបករណ៍ពី PUP ដែលរំខាន និងមិនគួរឱ្យទុកចិត្ត (កម្មវិធីដែលអាចមិនចង់បាន) គឺមានសារៈសំខាន់សម្រាប់ការរក្សាសុវត្ថិភាព ភាពឯកជន និងស្ថេរភាពប្រព័ន្ធ។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
28,699
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
22,640
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...