មេរោគ HTTPSnoop

រលកនៃការវាយប្រហារតាមអ៊ីនធឺណែតដែលផ្តោតលើអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ាត្រូវបានផ្សារភ្ជាប់ទៅនឹងការដាក់ពង្រាយមេរោគមេរោគថ្មីដែលគេស្គាល់ថា HTTPSnoop និង PipeSnoop ។ ឧបករណ៍គំរាមកំហែងទាំងនេះអាចឱ្យតួអង្គគំរាមកំហែងទទួលបានការគ្រប់គ្រងពីចម្ងាយលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

មេរោគ HTTPSnoop ប្រើប្រាស់កម្មវិធីបញ្ជាខឺណែល Windows HTTP និងឧបករណ៍ដើម្បីប្រតិបត្តិមាតិកាជាក់លាក់នៅលើចំណុចបញ្ចប់មេរោគតាមរយៈ HTTP(S) URLs ។ ម្យ៉ាងវិញទៀត PipeSnoop ត្រូវបានរចនាឡើងដើម្បីទទួល និងប្រតិបត្តិកូដសែលតាមអំពើចិត្តតាមរយៈបំពង់ដែលមានឈ្មោះ។

យោងតាមរបាយការណ៍ដែលចេញដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតដែលបានរកឃើញដោយជោគជ័យនូវយុទ្ធនាការវាយប្រហារនេះ ទាំង HTTPSnoop និង PipeSnoop ត្រូវបានសន្មតថាជាក្រុមឈ្លានពានដូចគ្នា ដែលត្រូវបានកំណត់ថាជា 'ShroudedSnooper'។ ទោះជាយ៉ាងណាក៏ដោយ ការគំរាមកំហែងទាំងពីរនេះបម្រើគោលបំណងប្រតិបត្តិការផ្សេងគ្នាទាក់ទងនឹងកម្រិតនៃការជ្រៀតចូលរបស់ពួកគេ។

មេរោគ HTTPSnoop អនុវត្តសកម្មភាពពិសេសសម្រាប់អ្នកវាយប្រហារ

HTTPSnoop ប្រើប្រាស់ Windows APIs កម្រិតទាប ដើម្បីតាមដានចរាចរណ៍ HTTP(S) នៅលើឧបករណ៍ដែលមានមេរោគ ជាពិសេសកំណត់គោលដៅ URLs ដែលបានកំណត់ជាមុន។ នៅពេលរកឃើញ URLs ទាំងនេះ មេរោគដំណើរការទៅឌិកូដទិន្នន័យចូលកូដ base64 ពីពួកវា ហើយប្រតិបត្តិវាជា shellcode នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។

ការផ្សាំដែលមិនមានសុវត្ថិភាពនេះបានធ្វើឱ្យសកម្មនៅលើប្រព័ន្ធគោលដៅតាមរយៈការលួច DLL មានធាតុផ្សំសំខាន់ៗពីរ៖ ទីមួយ ដំណាក់កាលទី 2 shellcode ដែលទទួលខុសត្រូវក្នុងការដំឡើងម៉ាស៊ីនមេគេហទំព័រខាងក្រោយតាមរយៈការហៅខឺណែល និងទីពីរ ការកំណត់រចនាសម្ព័ន្ធរបស់វា។

HTTPSnoop បង្កើតរង្វិលជុំស្តាប់ រង់ចាំការស្នើសុំ HTTP ចូលដោយអត់ធ្មត់ និងដំណើរការទិន្នន័យដែលមានសុពលភាពនៅពេលពួកគេមកដល់។ ក្នុងករណីដែលទិន្នន័យចូលមិនត្រឹមត្រូវ មេរោគនឹងត្រឡប់ HTTP 302 ប្តូរទិស។

នៅពេលការឌិគ្រីបនៃកូដសែលដែលបានទទួល វាត្រូវបានប្រតិបត្តិភ្លាមៗ ហើយលទ្ធផលប្រតិបត្តិការត្រូវបានបញ្ជូនត្រឡប់ទៅអ្នកវាយប្រហារវិញក្នុងទម្រង់ជាប្លុកទិន្នន័យដែលបានអ៊ិនកូដ XOR ដែលបានអ៊ិនកូដ base64។

លើសពីនេះ ការផ្សាំនេះមានការប្រុងប្រយ័ត្ន ដើម្បីជៀសវាងការប៉ះទង្គិចជាមួយ URLs ដែលបានកំណត់រចនាសម្ព័ន្ធពីមុននៅលើម៉ាស៊ីនមេ ដោយធានាបាននូវប្រតិបត្តិការរលូនដោយគ្មានការប៉ះទង្គិចដោយអចេតនា។

អ្នកជំនាញបានរកឃើញវ៉ារ្យ៉ង់ HTTPSnoop Malware ជាច្រើន។

មានបំរែបំរួលផ្សេងគ្នាចំនួនបីនៃ HTTPSnoop ដែលបានសង្កេតឃើញរហូតមកដល់ពេលនេះ ជាមួយនឹងការប្រើប្រាស់លំនាំស្តាប់ URL តែមួយគត់។ វ៉ារ្យ៉ង់ទី 1 ត្រួតពិនិត្យសំណើទូទៅដែលមានមូលដ្ឋានលើ HTTP URL ខណៈដែលវ៉ារ្យ៉ង់ទីពីរផ្តោតលើ URLs ដែលធ្វើត្រាប់តាម Microsoft Exchange Web Service ។ ទន្ទឹមនឹងនោះ វ៉ារ្យ៉ង់ទីបី កំណត់គោលដៅ URLs ដែលត្រាប់តាម LBS/OfficeTrack របស់ OfficeCore និងកម្មវិធីទូរស័ព្ទ។

បំរែបំរួលទាំងនេះត្រូវបានរកឃើញនៅក្នុងខែមេសា ឆ្នាំ 2023 ហើយគួរអោយកត់សំគាល់បំផុតនោះគឺ URLs ថ្មីបំផុតមានការថយចុះចំនួន URL ដែលវាត្រួតពិនិត្យ ដែលទំនងជាបង្កើនសមត្ថភាពបំបាំងកាយរបស់វា។

តាមរយៈការធ្វើត្រាប់តាមគំរូ URL ស្របច្បាប់ដែលភ្ជាប់ជាមួយ Microsoft Exchange Web Services និង OfficeTrack សំណើក្លែងបន្លំទាំងនេះប្រហាក់ប្រហែលនឹងចរាចរណ៍ស្លូតបូត ដែលធ្វើឱ្យវាមានការពិបាកខ្លាំងក្នុងការបែងចែកពួកវាពីសំណើស្របច្បាប់។

ទិដ្ឋភាពដែលវិវឌ្ឍឥតឈប់ឈរនៃមេរោគបង្កការគំរាមកំហែងដ៏ខ្លាំងក្លា និងជាប់លាប់ក្នុងយុគសម័យឌីជីថលរបស់យើង។ Malware មិនមែនគ្រាន់តែជាភាពរំខាននោះទេ ប៉ុន្តែជាសត្រូវដ៏ខ្លាំងក្លាដែលមានសមត្ថភាពបំផ្លិចបំផ្លាញដល់បុគ្គល អង្គការ និងសូម្បីតែប្រទេសជាតិ។ ការប្រុងប្រយ័ត្ន ការអប់រំ និងវិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំ គឺជាការការពារដ៏ល្អបំផុតរបស់យើងប្រឆាំងនឹងការគំរាមកំហែងឥតឈប់ឈរនេះ។ រក្សាការជូនដំណឹង និងទទួលយកការអនុវត្តល្អបំផុតក្នុងសុវត្ថិភាពអនឡាញ មិនមែនគ្រាន់តែជាជម្រើសប៉ុណ្ណោះទេ វាជាកត្តាចាំបាច់ក្នុងការការពារជីវិតឌីជីថលរបស់យើង និងរក្សាភាពសុចរិតនៃពិភពលោកដែលមានទំនាក់ទំនងគ្នាទៅវិញទៅមក។