បច្ចេកទេសចាក់ថ្នាំដំណើរការ Mockingjay បានបង្ហាញជាវិធីសាស្រ្តដែលងាយយល់សម្រាប់ Malware ដើម្បីគេចពីការរកឃើញ
បច្ចេកទេសចាក់ថ្នាំដំណើរការដ៏ទំនើបមួយហៅថា Mockingjay បានលេចចេញជារូបរាង ដែលបង្ហាញពីមធ្យោបាយដ៏មានសក្តានុពលសម្រាប់តួអង្គគំរាមកំហែងដើម្បីគេចចេញពីវិធានការសុវត្ថិភាព និងប្រតិបត្តិកូដដែលខូចនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពបានកំណត់អត្តសញ្ញាណបច្ចេកទេសនេះ ដែលជៀសផុតពីតម្រូវការសម្រាប់ការបែងចែកកន្លែង ការកំណត់ការអនុញ្ញាត ឬការចាប់ផ្តើមខ្សែស្រឡាយអំឡុងពេលចាក់។ យោងតាមរបាយការណ៍របស់ពួកគេដែលបានចែករំលែកជាមួយ The Hacker News ភាពខុសប្លែកនៃ Mockingjay គឺពឹងផ្អែកទៅលើ DLL ដែលងាយរងគ្រោះ និងការដាក់លេខកូដច្បាស់លាស់នៅក្នុងផ្នែកសមស្រប។
តារាងមាតិកា
តើដំណើរការចាក់ថ្នាំគឺជាអ្វី?
ការចាក់ដំណើរការគឺជាមេរោគបច្ចេកទេស ដែលតួអង្គដែលមានគំនិតអាក្រក់ប្រើដើម្បីបញ្ចូល និងប្រតិបត្តិកូដក្នុងចន្លោះអង្គចងចាំនៃដំណើរការស្របច្បាប់ដែលដំណើរការលើកុំព្យូទ័រ។ កូដដែលបានចាក់ជាធម្មតាផ្តល់ការចូលប្រើដោយគ្មានការអនុញ្ញាត ឬធ្វើសកម្មភាពដែលបង្កគ្រោះថ្នាក់នៅក្នុងដំណើរការដែលបានកំណត់គោលដៅ ដែលជារឿយៗមានគោលបំណងរំលងវិធានការសុវត្ថិភាព ហើយនៅតែមិនអាចរកឃើញ។ បច្ចេកទេសចាក់ថ្នាំដំណើរការទាញយកភាពងាយរងគ្រោះ ឬភាពទន់ខ្សោយនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ ឬកម្មវិធីដើម្បីទទួលបានការគ្រប់គ្រងលើដំណើរការ និងរៀបចំឥរិយាបថរបស់វា។ វិធីសាស្ត្រចាក់ដំណើរការស្តង់ដាររួមមាន DLL កូដ និងដំណើរការប្រហោង។
បច្ចេកទេសចាក់ថ្នាំដំណើរការមានភាពចម្រុះ និងរួមបញ្ចូលវិធីសាស្រ្តផ្សេងៗដែលមេរោគ ឬតួអង្គដែលមិនតម្រង់ទិសប្រើដើម្បីបញ្ចូលកូដទៅក្នុងដំណើរការស្របច្បាប់។ បច្ចេកទេសចាក់ដំណើរការលេចធ្លោមួយចំនួនរួមមានការចាក់ DLL ដែល DLL ដែលសម្របសម្រួលត្រូវបានផ្ទុកទៅក្នុងដំណើរការគោលដៅ។ ការចាក់បញ្ចូលដែលអាចប្រតិបត្តិបានចល័ត ដែលពាក់ព័ន្ធនឹងការបញ្ចូលកូដពីឯកសារដែលអាចប្រតិបត្តិបានដាច់ដោយឡែក។ ការលួចប្រតិបត្តិខ្សែស្រឡាយ ដែលលំហូរប្រតិបត្តិនៃខ្សែស្រឡាយស្របច្បាប់ត្រូវបានប្តូរទិសទៅកូដអាក្រក់។ ដំណើរការប្រហោង ដែលដំណើរការស្របច្បាប់ត្រូវបានបង្កើត ហើយបន្ទាប់មកជំនួសដោយកូដអាក្រក់។ និងដំណើរការdoppelgänging ដែលពាក់ព័ន្ធនឹងការរៀបចំប្រព័ន្ធឯកសារ និងដំណើរការគុណលក្ខណៈដើម្បីបង្កើតដំណើរការដែលមិនមានសុវត្ថិភាព។
បច្ចេកទេសនីមួយៗពឹងផ្អែកលើការហៅតាមប្រព័ន្ធជាក់លាក់ និង APIs របស់ Windows ដើម្បីអនុវត្តការចាក់ថ្នាំ ដែលអនុញ្ញាតឱ្យអ្នកការពារបង្កើតយុទ្ធសាស្ត្ររាវរក និងកាត់បន្ថយប្រកបដោយប្រសិទ្ធភាព។ តាមរយៈការយល់ដឹងអំពីយន្តការមូលដ្ឋាននៃវិធីសាស្ត្រចាក់ថ្នាំទាំងនេះ អ្នកជំនាញផ្នែកសន្តិសុខអាចបង្កើតវិធានការឆ្លើយតបសមស្រប និងប្រព័ន្ធការពារប្រឆាំងនឹងការវាយប្រហារបែបនេះ។
លក្ខណៈប្លែកៗរបស់ Mockingjay
Mockingjay កំណត់ដោយឡែកពីគ្នាដោយគេចចេញពីវិធានការសុវត្ថិភាពបែបប្រពៃណីដោយប្រើប្រាស់ឯកសារដែលអាចប្រតិបត្តិបានតាមប្រព័ន្ធ Windows ដែលមានស្រាប់ដោយឆ្លាតវៃជាមួយនឹងប្លុកអង្គចងចាំដែលត្រូវបានការពារដោយសិទ្ធិអាន-សរសេរ-ប្រតិបត្តិ (RWX) ។ វិធីសាស្រ្តប្រកបដោយភាពច្នៃប្រឌិតនេះលុបបំបាត់នូវតម្រូវការក្នុងការជំរុញ Windows APIs ដែលត្រូវបានត្រួតពិនិត្យជាធម្មតាត្រូវបានត្រួតពិនិត្យដោយដំណោះស្រាយសុវត្ថិភាព។ តាមរយៈការប្រើប្រាស់ msys-2.0.dll ដែលផ្តល់នូវទំហំ 16 KB នៃទំហំ RWX ដែលមានស្រាប់ Mockingjay មានប្រសិទ្ធភាពលាក់កូដមិនមានសុវត្ថិភាព និងដំណើរការដោយសម្ងាត់។ ការទទួលស្គាល់អត្ថិភាពសក្តានុពលនៃ DLL ដែលងាយរងគ្រោះផ្សេងទៀតដែលមានគុណលក្ខណៈស្រដៀងគ្នាគឺចាំបាច់ណាស់។
Mockingjay ប្រើវិធីសាស្រ្តផ្សេងគ្នាពីរ; ការចាក់ដោយខ្លួនឯង និងការចាក់ដំណើរការពីចម្ងាយ ដើម្បីជួយសម្រួលដល់ការបញ្ចូលកូដ ដែលបណ្តាលឱ្យមានការពង្រឹងប្រសិទ្ធភាពនៃការវាយប្រហារ និងការគេចពីការរកឃើញ។ បច្ចេកទេសចាក់ដោយខ្លួនឯងពាក់ព័ន្ធនឹងការផ្ទុក DLL ដែលងាយរងគ្រោះដោយផ្ទាល់ទៅក្នុងកន្លែងអាសយដ្ឋាននៃកម្មវិធីផ្ទាល់ខ្លួន ដោយបើកដំណើរការកូដដែលចង់បានតាមរយៈផ្នែក RWX ។ ម្យ៉ាងវិញទៀត ការចាក់ដំណើរការពីចម្ងាយប្រើប្រាស់ផ្នែក RWX នៅក្នុង DLL ដែលងាយរងគ្រោះ ដើម្បីអនុវត្តការចាក់ដំណើរការនៅក្នុងដំណើរការពីចម្ងាយដូចជា ssh.exe ។ យុទ្ធសាស្ត្រទាំងនេះអាចឱ្យ Mockingjay គ្រប់គ្រងការប្រតិបត្តិកូដដោយលួចលាក់ ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងគេចពីវិធានការរាវរក។
បញ្ហាប្រឈមសម្រាប់ប្រព័ន្ធកំណត់ចំណុចបញ្ចប់ និងការឆ្លើយតប (EDR)
មិនដូចវិធីសាស្រ្តបែបប្រពៃណីទេ យុទ្ធសាស្រ្តច្នៃប្រឌិតនេះលុបបំបាត់តម្រូវការសម្រាប់ការបែងចែកអង្គចងចាំ ការកំណត់ការអនុញ្ញាត ឬការបង្កើតខ្សែស្រឡាយនៅក្នុងដំណើរការគោលដៅដើម្បីផ្តួចផ្តើមការប្រតិបត្តិនៃកូដដែលបានចាក់បញ្ចូល។ អ្នកស្រាវជ្រាវបានគូសបញ្ជាក់ថា លក្ខណៈពិសេសប្លែកនេះបង្កបញ្ហាប្រឈមយ៉ាងសំខាន់សម្រាប់ប្រព័ន្ធ Endpoint Detection and Response (EDR) ព្រោះវាខុសពីគំរូធម្មតាដែលពួកគេគួរតែរកឃើញ។ ការរកឃើញទាំងនេះកើតឡើងបន្ទាប់ពីការបើកបង្ហាញថ្មីមួយទៀតនៃវិធីសាស្ត្រដែលប្រើបច្ចេកវិទ្យាដាក់ឱ្យប្រើប្រាស់ Visual Studio ស្របច្បាប់ដែលហៅថា ClickOnce ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងសម្រេចបាននូវការប្រតិបត្តិកូដតាមអំពើចិត្ត និងទទួលបានសិទ្ធិចូលដំណើរការដំបូង ដោយសង្កត់ធ្ងន់លើទិដ្ឋភាពវិវត្តនៃបច្ចេកទេសវាយប្រហារដ៏ទំនើប។