JokerSpy Backdoor
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ Mac ដែលមិនស្គាល់ពីមុន ដែលបានឆ្លងដោយជោគជ័យនូវការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ។ មេរោគពិសេសនេះហៅថា JokerSpy លេចធ្លោដោយសារតែសមត្ថភាពទូលំទូលាយរបស់វា ដែលបង្កការគំរាមកំហែងយ៉ាងច្បាស់លាស់ចំពោះសុវត្ថិភាព និងឯកជនភាពនៃប្រព័ន្ធដែលរងផលប៉ះពាល់។
JokerSpy ត្រូវបានបង្កើតដោយប្រើភាសាសរសេរកម្មវិធី Python ។ វាបង្ហាញនូវអារេដ៏ធំទូលាយនៃមុខងារព្យាបាទ ហើយឈុតឧបករណ៍ដ៏ទូលំទូលាយរបស់វាអនុញ្ញាតឱ្យវាមិនត្រឹមតែលួចទិន្នន័យឯកជនប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងទាញយក និងប្រតិបត្តិឯកសារព្យាបាទបន្ថែមផងដែរ។ ជាលទ្ធផល ជនរងគ្រោះអាចទទួលរងការខូចខាតខ្លាំងជាងនេះ។
គួរឱ្យចាប់អារម្មណ៍ JokerSpy ប្រើប្រាស់ឧបករណ៍ប្រភពបើកចំហដែលមានឈ្មោះថា SwiftBelt ដែលបង្កើតឡើងដំបូងសម្រាប់អ្នកជំនាញផ្នែកសន្តិសុខស្របច្បាប់ដើម្បីវាយតម្លៃភាពងាយរងគ្រោះបណ្តាញ។ ការទទួលយកឧបករណ៍ស្របច្បាប់សម្រាប់គោលបំណងមិនសមរម្យនេះបង្ហាញពីការសម្របខ្លួន និងភាពទំនើបនៃមេរោគ។
ខណៈពេលដែលការផ្តោតអារម្មណ៍នៃការរកឃើញនេះវិលជុំវិញ Mac Malware វាគួរឱ្យកត់សម្គាល់ថាអ្នកស្រាវជ្រាវក៏បានរកឃើញធាតុដែលបង្ហាញពីអត្ថិភាពនៃវ៉ារ្យ៉ង់ JokerSpy សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Windows និង Linux ។ នេះបង្ហាញថាអ្នកបង្កើត JokerSpy បានបង្កើតកំណែដែលផ្តោតលើប្រព័ន្ធប្រតិបត្តិការដ៏ពេញនិយមទាំងនេះ ដោយហេតុនេះពង្រីកលទ្ធភាពរបស់ពួកគេ និងផលប៉ះពាល់សក្តានុពលនៅទូទាំងវេទិកាជាច្រើន។
JokerSpy ឆ្លងកាត់ការការពារសុវត្ថិភាពរបស់ MacOS
តួអង្គគំរាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណនៅពីក្រោយ JokerSpy ត្រូវបានគេសង្កេតឃើញដើម្បីប្រើបច្ចេកទេសដើម្បីគេចចេញពីការការពារ macOS Transparency, Consent, and Control (TCC) ។ ជាធម្មតា ពួកគេនឹងទាមទារការអនុញ្ញាតពីអ្នកប្រើប្រាស់ច្បាស់លាស់សម្រាប់កម្មវិធីដើម្បីចូលប្រើធនធានរសើបនៅលើ Mac ដូចជា hard drive និង contacts ឬសមត្ថភាពក្នុងការថតអេក្រង់។
ដើម្បីសម្រេចបាននូវគោលបំណងរបស់ពួកគេ តួអង្គគំរាមកំហែងបានជំនួសមូលដ្ឋានទិន្នន័យ TCC ដែលមានស្រាប់ជាមួយនឹងរបស់ពួកគេផ្ទាល់ គោលបំណងដើម្បីទប់ស្កាត់ការជូនដំណឹងណាមួយដែលជាធម្មតានឹងត្រូវបានបង្កឡើងនៅពេលដែលមេរោគ JokerSpy ត្រូវបានប្រតិបត្តិ។ ការវាយប្រហារពីមុនបានបង្ហាញថា តួអង្គគំរាមកំហែងអាចទាញយកភាពងាយរងគ្រោះនៅក្នុងការការពារ TCC ដើម្បីចៀសវាងពួកគេដោយជោគជ័យ។
នៅក្នុងករណីពិសេសនេះ សមាសភាគដែលអាចប្រតិបត្តិបាន xcc នៃ JokerSpy ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការកេងប្រវ័ញ្ច។ វាធ្វើការត្រួតពិនិត្យលើការអនុញ្ញាត TCC ដោយកំណត់កម្មវិធីសកម្មបច្ចុប្បន្នដែលអ្នកប្រើប្រាស់កំពុងធ្វើអន្តរកម្ម។ ក្រោយមក វាបន្តទាញយក និងដំឡើង sh.py ដែលជាម៉ាស៊ីនចម្បងដែលទទួលខុសត្រូវក្នុងការដំណើរការមេរោគ JokerSpy ។
តាមរយៈការប្រើប្រាស់វិធីសាស្ត្រនេះ តួអង្គគំរាមកំហែងអាចទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុង macOS ដោយផ្តល់ឱ្យពួកគេនូវសមត្ថភាពក្នុងការចាប់យករូបភាពអេក្រង់នៃឧបករណ៍ Mac ដែលត្រូវបានសម្របសម្រួល។
សមត្ថភាពគំរាមកំហែងជាច្រើនត្រូវបានរកឃើញនៅក្នុង JokerSpy Backdoor
នៅពេលដែលប្រព័ន្ធមួយត្រូវបានសម្របសម្រួល និងឆ្លងមេរោគ JokerSpy អ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងយ៉ាងសំខាន់លើវា។ សមត្ថភាពដែលបង្ហាញដោយការគំរាមកំហែងនៃមេរោគនេះរួមមានមុខងារ និងសកម្មភាពជាច្រើនដែលអាចត្រូវបានអនុវត្តស្របតាមគោលដៅជាក់លាក់របស់អ្នកវាយប្រហារ។
មុខងារទាំងនេះរួមមានសមត្ថភាពក្នុងការបញ្ឈប់ការប្រតិបត្តិរបស់ JokerSpy backdoor ដែលមានវត្តមាននៅក្នុងឧបករណ៍ដែលបំពាន។ លើសពីនេះ មេរោគអាចឱ្យអ្នកវាយប្រហាររាយបញ្ជីឯកសារដែលស្ថិតនៅក្នុងផ្លូវដែលបានបញ្ជាក់ ប្រតិបត្តិពាក្យបញ្ជាសែល និងទាញយកលទ្ធផលរបស់ពួកគេ រុករក និងផ្លាស់ប្តូរថត និងប្រតិបត្តិកូដ Python នៅក្នុងបរិបទបច្ចុប្បន្ន។
JokerSpy ក៏មានសមត្ថភាពក្នុងការឌិកូដកូដ Python ដែលបានអ៊ិនកូដ Base64 ដែលផ្តល់ជាប៉ារ៉ាម៉ែត្រ ចងក្រងវា ហើយប្រតិបត្តិវាជាបន្តបន្ទាប់នៅក្នុងប្រព័ន្ធមេរោគ។ លើសពីនេះទៅទៀត មេរោគអាចឱ្យអ្នកវាយប្រហារលុបឯកសារ ឬថតចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ប្រតិបត្តិឯកសារដែលមាន ឬគ្មានប៉ារ៉ាម៉ែត្រ ផ្ទុកឡើងឯកសារទៅប្រព័ន្ធមេរោគ និងទាញយកឯកសារពីប្រព័ន្ធមេរោគ។
អ្នកវាយប្រហារក៏អាចណែនាំ JokerSpy ឱ្យទាញយកការកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្ននៃមេរោគដែលបានរក្សាទុកនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។ ការកំណត់រចនាសម្ព័ន្ធនេះអាចត្រូវបានចូលប្រើ និងរៀបចំដោយអ្នកវាយប្រហារឱ្យសមស្របនឹងគោលបំណងរបស់ពួកគេ ដោយសារពួកគេអាចបដិសេធឯកសារកំណត់រចនាសម្ព័ន្ធដែលមានស្រាប់ជាមួយនឹងតម្លៃថ្មីដែលស្របតាមបំណងព្យាបាទរបស់ពួកគេ។
តាមរយៈការបង្ហាញមុខងារ និងសកម្មភាពផ្សេងៗទាំងនេះ JokerSpy ផ្តល់ឱ្យអ្នកវាយប្រហារនូវឧបករណ៍ដ៏ទូលំទូលាយមួយ ដើម្បីគ្រប់គ្រង និងអនុវត្តសកម្មភាពព្យាបាទនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ សមត្ថភាពទាំងនេះបញ្ជាក់ពីភាពធ្ងន់ធ្ងរ និងផលប៉ះពាល់ដែលអាចកើតមាននៃការឆ្លងមេរោគ ដោយសង្កត់ធ្ងន់លើសារៈសំខាន់ដ៏សំខាន់នៃការអនុវត្តវិធានការសុវត្ថិភាពដ៏រឹងមាំដើម្បីការពារ និងកាត់បន្ថយការគំរាមកំហែងបែបនេះ។
