កញ្ចប់ PHP របស់អ្នកបង្កើតកញ្ចប់ព្យាបាទ

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណកញ្ចប់ PHP ព្យាបាទនៅលើ Packagist ដែលក្លែងបន្លំបណ្ណាល័យជំនួយ Laravel ស្របច្បាប់ ខណៈពេលដែលកំពុងដាក់ពង្រាយ Remote Access Trojan (RAT) ឆ្លងវេទិកាដោយសម្ងាត់។ មេរោគនេះដំណើរការយ៉ាងរលូននៅទូទាំងបរិស្ថាន Windows, macOS និង Linux ដែលបង្កើតហានិភ័យយ៉ាងសំខាន់សម្រាប់ប្រព័ន្ធដែលរងផលប៉ះពាល់។

កញ្ចប់ដែលបានកំណត់រួមមាន៖

• nhattuanbl/lara-helper (ទាញយកចំនួន ៣៧ ដង)
• nhattuanbl/simple-queue (ទាញយកចំនួន ២៩ ដង)
• nhattuanbl/lara-swagger (ទាញយកចំនួន ៤៩ ដង)

ទោះបីជា nhattuanbl/lara-swagger មិនមានកូដព្យាបាទដោយផ្ទាល់ក៏ដោយ វារាយបញ្ជី nhattuanbl/lara-helper ជាការពឹងផ្អែករបស់ Composer ដែលនាំឱ្យមានការដំឡើង RAT ដែលបានបង្កប់។ ទោះបីជាមានការបង្ហាញជាសាធារណៈក៏ដោយ កញ្ចប់ទាំងនេះនៅតែអាចចូលប្រើបាននៅក្នុងឃ្លាំង ហើយគួរតែត្រូវបានលុបចេញភ្លាមៗពីបរិស្ថានដែលរងផលប៉ះពាល់ណាមួយ។

យុទ្ធសាស្ត្របំភាន់លាក់បាំងចេតនាព្យាបាទ

ការវិភាគកូដលម្អិតបង្ហាញថា ទាំង lara-helper និង simple-queue មានឯកសារមួយឈ្មោះថា src/helper.php ដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ។ មេរោគនេះរួមបញ្ចូលយុទ្ធសាស្ត្រលាក់បាំងកម្រិតខ្ពស់ រួមទាំងការរៀបចំលំហូរត្រួតពិនិត្យ ឈ្មោះដែនដែលបានអ៊ិនកូដ និងខ្សែអក្សរពាក្យបញ្ជា ផ្លូវឯកសារដែលលាក់បាំង និងឧបករណ៍កំណត់អត្តសញ្ញាណអថេរ និងមុខងារចៃដន្យ។

បច្ចេកទេសទាំងនេះធ្វើឱ្យស្មុគស្មាញដល់ការវិភាគឋិតិវន្ត និងជួយឱ្យ payload ដែលមានគំនិតអាក្រក់រំលងការពិនិត្យកូដធម្មតា និងឧបករណ៍ស្កេនសុវត្ថិភាពដោយស្វ័យប្រវត្តិ។

ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញរបស់ម៉ាស៊ីនបម្រើ

នៅពេលដែលត្រូវបានប្រតិបត្តិរួច RAT បង្កើតការតភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2) នៅ helper.leuleu.net នៅលើច្រក 2096។ វាបញ្ជូនទិន្នន័យឈ្លបយកការណ៍ប្រព័ន្ធ ហើយចូលទៅក្នុងស្ថានភាពស្តាប់ជាប់លាប់ ដោយរង់ចាំការណែនាំបន្ថែម។ ការទំនាក់ទំនងកើតឡើងលើ TCP ដោយប្រើមុខងារ stream_socket_client() របស់ PHP។

ទ្វារខាងក្រោយគាំទ្រពាក្យបញ្ជាជាច្រើនដែលចេញដោយប្រតិបត្តិករ ដែលអាចឱ្យគ្រប់គ្រងប្រព័ន្ធបានពេញលេញ។ សមត្ថភាពរួមមាន៖

• សញ្ញាចង្វាក់បេះដូងដោយស្វ័យប្រវត្តិរៀងរាល់ 60 វិនាទីតាមរយៈការ ping។
• ការបញ្ជូនទិន្នន័យទម្រង់ប្រព័ន្ធតាមរយៈព័ត៌មាន។
• ការប្រតិបត្តិពាក្យបញ្ជា Shell (cmd)។
• ការប្រតិបត្តិពាក្យបញ្ជា PowerShell (powershell)។
• ការប្រតិបត្តិពាក្យបញ្ជាផ្ទៃខាងក្រោយ (រត់)។
• ការចាប់យកអេក្រង់ដោយប្រើ imagegrabscreen() (រូបថតអេក្រង់)។

• ការស្រង់ចេញឯកសារ (ទាញយក)។

• ការផ្ទុកឡើងឯកសារតាមអំពើចិត្តជាមួយនឹងការអនុញ្ញាតអាន សរសេរ និងប្រតិបត្តិដែលផ្តល់ដល់អ្នកប្រើប្រាស់ទាំងអស់ (ផ្ទុកឡើង)។

• ការបញ្ចប់ការតភ្ជាប់ និងការចាកចេញ (ឈប់)។

ដើម្បីបង្កើនភាពជឿជាក់អតិបរមា RAT ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធ PHP disable_functions ហើយជ្រើសរើសវិធីសាស្ត្រប្រតិបត្តិដំបូងដែលមានពីខាងក្រោម៖ popen, proc_open, exec, shell_exec, system ឬ passthru។ វិធីសាស្ត្រសម្របខ្លួននេះអនុញ្ញាតឱ្យវារំលងវិធានការពង្រឹង PHP ទូទៅ។

យន្តការភ្ជាប់ឡើងវិញជាប់លាប់បង្កើនហានិភ័យ

ទោះបីជាម៉ាស៊ីនមេ C2 ដែលត្រូវបានកំណត់អត្តសញ្ញាណមិនឆ្លើយតបនៅពេលនេះក៏ដោយ មេរោគនេះត្រូវបានសរសេរកម្មវិធីដើម្បីព្យាយាមភ្ជាប់ឡើងវិញរៀងរាល់ 15 វិនាទីម្តងក្នុងរង្វិលជុំជាបន្តបន្ទាប់។ យន្តការតស៊ូនេះធានាថាប្រព័ន្ធដែលរងការសម្របសម្រួលនៅតែត្រូវបានលាតត្រដាង ប្រសិនបើអ្នកវាយប្រហារស្តារភាពអាចរកបាននៃម៉ាស៊ីនមេឡើងវិញ។

កម្មវិធី Laravel ណាមួយដែលបានដំឡើង lara-helper ឬ simple-queue កំពុងដំណើរការប្រកបដោយប្រសិទ្ធភាពជាមួយ RAT ដែលបានបង្កប់។ អ្នកគំរាមកំហែងទទួលបានការចូលប្រើសែលពីចម្ងាយពេញលេញ សមត្ថភាពក្នុងការអាន និងកែប្រែឯកសារតាមអំពើចិត្ត និងភាពមើលឃើញជាបន្តបន្ទាប់ទៅក្នុងព័ត៌មានលម្អិតកម្រិតប្រព័ន្ធសម្រាប់ម៉ាស៊ីនដែលឆ្លងមេរោគនីមួយៗ។

បរិបទនៃការអនុវត្តបង្កើនផលប៉ះពាល់

ការធ្វើឱ្យសកម្មកើតឡើងដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេលចាប់ផ្ដើមកម្មវិធីតាមរយៈអ្នកផ្តល់សេវាកម្ម ឬតាមរយៈការផ្ទុកថ្នាក់ដោយស្វ័យប្រវត្តិក្នុងករណីនៃជួរសាមញ្ញ។ ជាលទ្ធផល RAT ដំណើរការក្នុងដំណើរការដូចគ្នានឹងកម្មវិធីគេហទំព័រ ដោយទទួលមរតកសិទ្ធិប្រព័ន្ធឯកសារ និងអថេរបរិស្ថានដូចគ្នា។

បរិបទនៃការប្រតិបត្តិនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវសិទ្ធិចូលប្រើទ្រព្យសម្បត្តិរសើបដូចជាព័ត៌មានសម្គាល់មូលដ្ឋានទិន្នន័យ កូនសោ API និងខ្លឹមសារនៃឯកសារ .env។ ដូច្នេះ ការសម្របសម្រួលនេះពង្រីកហួសពីការគ្រប់គ្រងកម្រិតប្រព័ន្ធរហូតដល់ការបង្ហាញពេញលេញនៃអាថ៌កំបាំងកម្មវិធី និងការចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធ។

យុទ្ធសាស្ត្រកសាងភាពជឿជាក់តាមរយៈកញ្ចប់ស្អាត

ការស៊ើបអង្កេតបន្ថែមបង្ហាញថា អ្នកបោះពុម្ពផ្សាយដដែលបានចេញផ្សាយកញ្ចប់បន្ថែម - nhattuanbl/lara-media, nhattuanbl/snooze និង nhattuanbl/syslog - ដែលមិនមានកូដព្យាបាទ។ ទាំងនេះហាក់ដូចជាបម្រើជាវត្ថុបុរាណកសាងកេរ្តិ៍ឈ្មោះដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនទំនុកចិត្ត និងលើកទឹកចិត្តដល់ការអនុម័តកញ្ចប់អាវុធ។

វិធានការកាត់បន្ថយ និងឆ្លើយតបភ្លាមៗ

អង្គការដែលបានដំឡើងកញ្ចប់ព្យាបាទណាមួយគួរតែសន្មតថាមានការសម្របសម្រួល។ សកម្មភាពឆ្លើយតបដែលត្រូវការរួមមានការដកបណ្ណាល័យដែលរងផលប៉ះពាល់ចេញជាបន្ទាន់ ការបង្វិលព័ត៌មានសម្ងាត់ទាំងអស់ដែលអាចចូលប្រើបានពីបរិយាកាសកម្មវិធី និងការធ្វើសវនកម្មយ៉ាងហ្មត់ចត់នៃចរាចរណ៍បណ្តាញចេញសម្រាប់ការប៉ុនប៉ងភ្ជាប់ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលបានកំណត់។

ការខកខានក្នុងការឆ្លើយតបយ៉ាងម៉ឺងម៉ាត់អាចធ្វើឱ្យប្រព័ន្ធងាយរងគ្រោះដោយការចូលប្រើប្រាស់របស់អ្នកវាយប្រហារឡើងវិញ ប្រសិនបើហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យចាប់ផ្តើមដំណើរការឡើងវិញ។