GHOSTFORM RAT

GHOSTFORM គឺជាមេរោគ Trojan ចូលប្រើពីចម្ងាយ (RAT) ដែលមានមូលដ្ឋានលើ .NET ដែលត្រូវបានរចនាឡើងដើម្បីផ្សំសមត្ថភាពព្យាបាទជាច្រើនទៅជាប្រព័ន្ធគោលពីរដែលអាចប្រតិបត្តិបាន។ មេរោគនេះប្រតិបត្តិស្គ្រីប PowerShell ដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដោយកាត់បន្ថយលទ្ធភាពនៃការរកឃើញដោយឧបករណ៍សុវត្ថិភាពបែបប្រពៃណី។ ដើម្បីគេចវេះយន្តការសុវត្ថិភាពបន្ថែមទៀត វាប្រើបច្ចេកទេសដូចជាទម្រង់ Windows ដែលមើលមិនឃើញ និងកម្មវិធីកំណត់ពេលវេលាប្រតិបត្តិដែលពន្យារពេល។ ដោយសារតែឥរិយាបថលួចលាក់ និងសមត្ថភាពយ៉ាងទូលំទូលាយរបស់វា ការរកឃើញ GHOSTFORM ណាមួយគួរតែបង្កឱ្យមាននីតិវិធីដកចេញភ្លាមៗ និងនីតិវិធីឆ្លើយតបឧប្បត្តិហេតុ។

ខ្សែសង្វាក់វាយប្រហារទីមួយ៖ ការដាក់ពង្រាយមេរោគច្រើនដំណាក់កាល

ខ្សែសង្វាក់វាយប្រហារដំបូងចាប់ផ្តើមជាមួយនឹងការចែកចាយបណ្ណសារ RAR ដែលការពារដោយពាក្យសម្ងាត់ ដែលមានកម្មវិធីក្លែងក្លាយដែលត្រូវបានរចនាឡើងឱ្យស្រដៀងនឹង WinRAR។ នៅពេលដែលជនរងគ្រោះបើកបណ្ណសារ ដំណក់ទឹកមួយដែលគេស្គាល់ថា SPLITDROP ត្រូវបានប្រតិបត្តិ។ ដំណក់ទឹកនេះដំឡើងសមាសធាតុមេរោគបន្ថែមពីរគឺ TWINTASK និង TWINTALK។

ដំបូងឡើយ SPLITDROP ស្នើសុំពាក្យសម្ងាត់ពីជនរងគ្រោះ ដើម្បីទាញយកបណ្ណសារដែលលាក់។ ប្រសិនបើបណ្ណសារមានរួចហើយនៅលើប្រព័ន្ធ ការប្រតិបត្តិនឹងឈប់។ បើមិនដូច្នោះទេ ឧបករណ៍ទម្លាក់ឯកសារនឹងឌិគ្រីប payload ដែលបានបង្កប់នៅផ្ទៃខាងក្រោយ ខណៈពេលដែលបង្ហាញសារកំហុសបោកបញ្ឆោតដល់អ្នកប្រើប្រាស់។ ខ្លឹមសារដែលបានឌិគ្រីបត្រូវបានរក្សាទុកនៅក្នុងថតឯកសារ 'C:\ProgramData\PolGuid' បន្ទាប់ពីនោះឯកសារដែលអាចប្រតិបត្តិបានស្របច្បាប់ដែលមានឈ្មោះថា VLC.exe ត្រូវបានបើកដំណើរការដើម្បីជំរុញការវាយប្រហារ។

នៅពេលដែលវាត្រូវបានប្រតិបត្តិ VLC.exe ផ្ទុកបណ្ណាល័យតំណភ្ជាប់ថាមវន្តព្យាបាទមួយហៅថា TWINTASK តាមរយៈការផ្ទុក DLL ចំហៀង។ សមាសភាគនេះរង់ចាំការណែនាំពីអ្នកវាយប្រហារ ហើយប្រតិបត្តិវាដោយប្រើ PowerShell។ ពាក្យបញ្ជាជាច្រើនត្រូវបានប្រើជាពិសេសដើម្បីបង្កើតភាពស្ថិតស្ថេរនៅក្នុងប្រព័ន្ធ និងចាប់ផ្តើមដំណាក់កាលបន្ទាប់នៃការសម្របសម្រួល។ ជាផ្នែកមួយនៃដំណើរការនេះ ស្គ្រីបមួយនឹងបើកដំណើរការ WingetUI.exe ហើយបង្កើតធាតុចុះបញ្ជីដែលធានាថាទាំង VLC.exe និង WingetUI.exe ដំណើរការដោយស្វ័យប្រវត្តិនៅពេលណាដែលប្រព័ន្ធចាប់ផ្តើមឡើងវិញ។

TWINTALK និង TWINTASK៖ ការប្រតិបត្តិពាក្យបញ្ជាសម្របសម្រួល

នៅពេលដែល WingetUI.exe ត្រូវបានប្រតិបត្តិ វាផ្ទុកម៉ូឌុលព្យាបាទមួយផ្សេងទៀតដែលគេស្គាល់ថាជា TWINTALK។ សមាសភាគនេះភ្ជាប់ទៅម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យរបស់អ្នកវាយប្រហារ ហើយទាញយកការណែនាំ។ TWINTALK ធ្វើការរួមគ្នាជាមួយ TWINTALK ដើម្បីប្រតិបត្តិពាក្យបញ្ជានៅលើម៉ាស៊ីនដែលរងការសម្របសម្រួល។

TWINTALK គាំទ្រប្រភេទពាក្យបញ្ជាចម្បងបី៖

• ការប្រតិបត្តិពាក្យបញ្ជានៅលើឧបករណ៍ដែលឆ្លងមេរោគ
• ការទាញយកឯកសារពីហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ
• ការផ្ទុកឡើងឯកសារពីប្រព័ន្ធដែលរងការសម្របសម្រួលទៅកាន់អ្នកវាយប្រហារ

តាមរយៈសមត្ថភាពទាំងនេះ អ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើបរិស្ថានដែលមានមេរោគ។

ខ្សែសង្វាក់វាយប្រហារទីពីរ៖ ការប្រតិបត្តិ GHOSTFORM ដោយផ្ទាល់

ខ្សែសង្វាក់វាយប្រហារទីពីរប្រើប្រាស់ GHOSTFORM ខ្លួនវាដើម្បីអនុវត្តមុខងារទាំងអស់ដែលគ្រប់គ្រងដោយសមាសធាតុច្រើននៅក្នុងខ្សែសង្វាក់ទីមួយ។ ជំនួសឱ្យការដាក់ពង្រាយឯកសារជាច្រើន ឬពឹងផ្អែកលើការផ្ទុក DLL ចំហៀង វ៉ារ្យ៉ង់នេះប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។

ដើម្បីកុំឱ្យវាត្រូវបានរកឃើញ មេរោគនេះបង្កើតទម្រង់ Windows ដែលមើលមិនឃើញ ដែលពន្យារពេលការប្រតិបត្តិមុនពេលដែល payload ដំណើរការ។ លើសពីនេះ យុទ្ធនាការនេះប្រើ Google Forms ជាផ្នែកមួយនៃការល្បួងវិស្វកម្មសង្គម ដើម្បីលើកទឹកចិត្តជនរងគ្រោះឱ្យចាប់ផ្តើមសកម្មភាពព្យាបាទ។

បច្ចេកទេសគេចវេះ និងការតស៊ូ

GHOSTFORM រួមបញ្ចូលយន្តការជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយការរកឃើញ និងរក្សាការចូលប្រើប្រព័ន្ធដែលរងការសម្របសម្រួលរយៈពេលវែង។ មេរោគនេះពន្យឺតសកម្មភាពរបស់វាដោយចេតនាដោយបង្កើតទម្រង់ Windows ដែលស្ទើរតែមើលមិនឃើញ ដែលដំណើរការកម្មវិធីកំណត់ពេលវេលាជាមួយនឹងការពន្យាពេលដោយចៃដន្យមុនពេលបន្តប្រតិបត្តិ។

វាក៏បង្កើត mutex ដើម្បីធានាថាមានតែ instance មួយនៃមេរោគដែលដំណើរការលើប្រព័ន្ធ ហើយបង្កើតឧបករណ៍កំណត់អត្តសញ្ញាណ bot តែមួយគត់សម្រាប់តាមដានម៉ាស៊ីនដែលឆ្លងមេរោគ។ មេរោគ Trojans ចូលប្រើពីចម្ងាយប្រភេទនេះត្រូវបានគេប្រើជាទូទៅដើម្បីដាក់ពង្រាយ payload បន្ថែម លួចទិន្នន័យ និងឯកសាររសើប ឬអនុវត្តប្រតិបត្តិការព្យាបាទផ្សេងទៀតនៅក្នុងបរិស្ថានជនរងគ្រោះ។

សមត្ថភាពសំខាន់ៗដែលជាទូទៅជាប់ទាក់ទងនឹងយុទ្ធនាការរួមមាន៖

• ការដាក់ពង្រាយ​នៃ​បន្ទុក​មេរោគ​បន្ថែម
• ការលួចព័ត៌មាន និងឯកសារពីឧបករណ៍ដែលឆ្លងមេរោគ
• ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈ PowerShell
• ការស៊ូទ្រាំរយៈពេលវែងនៅក្នុងប្រព័ន្ធដែលរងការគំរាមកំហែង

វិស្វកម្មសង្គម ClickFix៖ វ៉ិចទ័រការឆ្លងមេរោគដែលផ្តោតលើមនុស្ស

យុទ្ធនាការនេះមិនពឹងផ្អែកតែលើការចែកចាយមេរោគនោះទេ។ វាក៏បញ្ចូលបច្ចេកទេសវិស្វកម្មសង្គមមួយដែលគេស្គាល់ថា ClickFix ដើម្បីសម្របសម្រួលប្រព័ន្ធផងដែរ។ អ្នកវាយប្រហារបង្កើតទំព័របណ្ដាញក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីរៀបចំអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិពាក្យបញ្ជាដែលមានគំនិតអាក្រក់។

ឧទាហរណ៍រួមមាន ការអញ្ជើញចូលរួមកិច្ចប្រជុំ Cisco Webex ដែលក្លែងបន្លំ ឬទម្រង់បែបបទគេហទំព័រក្លែងក្លាយដែលមើលទៅហាក់ដូចជាស្របច្បាប់។ ជនរងគ្រោះត្រូវបានណែនាំឱ្យដំណើរការពាក្យបញ្ជាដែលទាញយក និងប្រតិបត្តិមេរោគដោយស្វ័យប្រវត្តិ ដោយមិនដឹងខ្លួន ដែលជាការចាប់ផ្តើមការសម្របសម្រួល។

ការលាយបញ្ចូលគ្នារវាងមេរោគ និងការបោកប្រាស់

យុទ្ធនាការនេះបង្ហាញពីវិធីសាស្រ្តសម្របសម្រួលមួយដែលរួមបញ្ចូលគ្នានូវការដាក់ពង្រាយមេរោគបច្ចេកទេសជាមួយនឹងការរៀបចំផ្លូវចិត្ត។ អ្នកវាយប្រហារចែកចាយឯកសារព្យាបាទដែលក្លែងបន្លំជាកម្មវិធីដែលគ្មានគ្រោះថ្នាក់ដែលស្រដៀងនឹងឧបករណ៍ប្រើប្រាស់ WinRAR។ នៅពេលបើក ឯកសារនឹងចាក់សមាសធាតុមេរោគដែលលាក់ចូលទៅក្នុងប្រព័ន្ធប្រតិបត្តិការ។

នៅពេលដំឡើងរួច សមាសធាតុមួយនឹងដំណើរការដោយស្ងៀមស្ងាត់នៅផ្ទៃខាងក្រោយ ដោយពិនិត្យមើលម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារជាប្រចាំសម្រាប់ការណែនាំដែលបានអ៊ិនគ្រីប និងប្រតិបត្តិវាតាមរយៈ PowerShell។ ក្នុងពេលជាមួយគ្នានេះ ការវាយប្រហារបែប ClickFix ពឹងផ្អែកលើការស្ទង់មតិក្លែងក្លាយ ការអញ្ជើញចូលរួមកិច្ចប្រជុំបោកប្រាស់ ឬទម្រង់បែបបទអនឡាញក្លែងក្លាយ ដើម្បីបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិពាក្យបញ្ជាដែលបង្កឱ្យមានការទាញយកមេរោគ។

តាមរយៈការរួមបញ្ចូលគ្នានូវឧបករណ៍មេរោគទំនើបៗដូចជា TWINTASK, TWINTALK និង GHOSTFORM ជាមួយនឹងបច្ចេកទេសវិស្វកម្មសង្គមដែលបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្ន ភ្នាក់ងារគំរាមកំហែងបង្កើនអត្រាជោគជ័យនៃការសម្របសម្រួលប្រព័ន្ធយ៉ាងខ្លាំង និងរក្សាការគ្រប់គ្រងពីចម្ងាយជាប់លាប់លើឧបករណ៍ដែលឆ្លងមេរោគ។