តួអង្គគម្រាមកំហែងតាមអ៊ីនធឺណិតដែលមិនស្គាល់អត្តសញ្ញាណពីមុនមកដឹកនាំការយកចិត្តទុកដាក់របស់ពួកគេចំពោះឧស្សាហកម្មអវកាសរបស់សហរដ្ឋអាមេរិកដោយដាក់ពង្រាយមេរោគដែលមានមូលដ្ឋានលើ PowerShell ដែលបានរកឃើញថ្មីហៅថា PowerDrop ។ មេរោគកម្រិតខ្ពស់នេះប្រើប្រាស់ល្បិចបោកបញ្ឆោត បច្ចេកទេសបំប្លែងកូដ និងការអ៊ិនគ្រីបផ្សេងៗ ដើម្បីជៀសវាងការរកឃើញ។ ឈ្មោះ "PowerDrop" កើតចេញពីការពឹងផ្អែកលើឧបករណ៍ Windows PowerShell និងខ្សែអក្សរ "DROP" (DRP) ដែលបញ្ចូលទៅក្នុងកូដរបស់វាសម្រាប់ទ្រនាប់។
PowerDrop គឺជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានរសើបពីបណ្តាញដែលត្រូវបានសម្របសម្រួលបន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើដោយគ្មានការអនុញ្ញាតតាមរយៈវិធីសាស្ត្រជំនួស។ ដើម្បីដោះស្រាយការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) មេរោគប្រើកម្មវិធី Internet Control Message Protocol (ICMP) echo ស្នើសុំសារជា beacons ។ បន្ទាប់មកម៉ាស៊ីនមេ C2 ឆ្លើយតបជាមួយនឹងពាក្យបញ្ជាដែលបានអ៊ិនគ្រីបដែលបានឌិកូដ និងប្រតិបត្តិនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ស្រដៀងគ្នានេះដែរ សារ ICMP ping មានគោលបំណងដើម្បីទាញយកលទ្ធផលនៃការណែនាំទាំងនេះ។
គួរកត់សម្គាល់ថា PowerDrop ប្រើប្រាស់សេវាកម្ម Windows Management Instrumentation (WMI) ដើម្បីប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយបង្ហាញពីការប្រើប្រាស់បច្ចេកទេស "រស់នៅក្រៅដី" របស់អ្នកគំរាមកំហែងដើម្បីគេចពីការរកឃើញ។ ខណៈពេលដែលលក្ខណៈស្នូលនៃមេរោគអាចមិនមានភាពទំនើបពិសេសនោះ សមត្ថភាពរបស់វាក្នុងការរារាំងសកម្មភាពគួរឱ្យសង្ស័យ និងគេចចេញពីការការពារចំណុចបញ្ចប់បង្ហាញពីការចូលរួមរបស់តួអង្គគំរាមកំហែងកម្រិតខ្ពស់ជាងនេះ។
តារាងមាតិកា
បង្ហាញពីយុទ្ធសាស្ត្រនៃការវាយប្រហារដោយមេរោគបំបាំងកាយ
មេរោគដែលបានរកឃើញថ្មីៗនេះត្រូវបាននាំមកបំភ្លឺដោយក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមរយៈប្រព័ន្ធស្វែងរកម៉ាស៊ីនកម្រិតខ្ពស់ ដែលជាបច្ចេកវិទ្យាដ៏មានអានុភាពដែលពិនិត្យខ្លឹមសារនៃការប្រតិបត្តិស្គ្រីប PowerShell ដែលអនុញ្ញាតឱ្យកំណត់អត្តសញ្ញាណនៃការគំរាមកំហែងដ៏កម្រនេះ។ ទោះបីជាយ៉ាងណាក៏ដោយ បើទោះបីជាការទម្លាយនេះ ខ្សែសង្វាក់ឆ្លងមេរោគពិតប្រាកដ និងការសម្របសម្រួលដំបូងនៃ PowerDrop នៅតែលាក់បាំងនៅក្នុងអាថ៌កំបាំង។
អ្នកវិភាគប៉ាន់ស្មានលើវិធីសាស្រ្តសក្តានុពលដែលប្រើដោយអ្នកវាយប្រហារដើម្បីដាក់ពង្រាយស្គ្រីប PowerDrop ។ ទាំងនេះរួមមានការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ ការប្រើប្រាស់អ៊ីមែលបន្លំទៅកាន់ជនរងគ្រោះជាគោលដៅ ឬសូម្បីតែប្រើល្បិចបោកបញ្ឆោតនៃគេហទំព័រទាញយកកម្មវិធីក្លែងក្លាយ។ ផ្លូវពិតប្រាកដដែលតាមរយៈប្រព័ន្ធជ្រៀតចូល PowerDrop មិនទាន់ត្រូវបានកំណត់នៅឡើយ។ ដើម្បីបង្កើនលក្ខណៈសម្ងាត់របស់វា ស្គ្រីបត្រូវបានអ៊ិនកូដដោយប្រើ Base64 ដែលអនុញ្ញាតឱ្យវាដំណើរការជា backdoor ឬ Remote Access Trojan (RAT) ។ បច្ចេកទេសស្មុគ្រស្មាញនេះអនុញ្ញាតឱ្យ PowerDrop គេចពីការរកឃើញ និងរក្សាភាពស្ថិតស្ថេរនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ការចូលទៅក្នុងប្រព័ន្ធកត់ត្រាការបកស្រាយការយល់ដឹងសំខាន់ៗចូលទៅក្នុងដំណើរការម៉ូឌុលរបស់ PowerDrop ។ ការវិភាគបានបង្ហាញថាស្គ្រីបព្យាបាទបានប្រើប្រាស់យ៉ាងមានប្រសិទ្ធភាពនូវតម្រងព្រឹត្តិការណ៍ WMI ដែលបានចុះឈ្មោះពីមុន និងអ្នកប្រើប្រាស់ជាមួយ 'SystemPowerManager' ដាច់ដោយឡែក។ មេរោគខ្លួនវាបានបង្កើតយន្តការក្លែងបន្លំដ៏ឆ្លាតវៃនេះ នៅពេលសម្របសម្រួលប្រព័ន្ធដោយប្រើឧបករណ៍បន្ទាត់ពាក្យបញ្ជា 'wmic.exe' ។
ការលាតត្រដាងនៃលក្ខណៈពិសេសរបស់ PowerDrop បង្ហាញពន្លឺលើភាពទំនើបនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតសម័យទំនើប។ ជាមួយនឹងសមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរកឃើញ និងដំណើរការដោយសម្ងាត់នៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល PowerDrop បង្ហាញឧទាហរណ៍ពីការវិវត្តន៍ឥតឈប់ឈរ និងភាពប៉ិនប្រសប់របស់តួអង្គព្យាបាទនៅក្នុងទិដ្ឋភាពឌីជីថល។
តួអង្គគម្រាមកំហែងតាមអ៊ីនធឺណិតដែលមិនស្គាល់អត្តសញ្ញាណពីមុនមកដឹកនាំការយកចិត្តទុកដាក់របស់ពួកគេចំពោះឧស្សាហកម្មអវកាសរបស់សហរដ្ឋអាមេរិកដោយដាក់ពង្រាយមេរោគដែលមានមូលដ្ឋានលើ PowerShell ដែលបានរកឃើញថ្មីហៅថា PowerDrop ។ មេរោគកម្រិតខ្ពស់នេះប្រើប្រាស់ល្បិចបោកបញ្ឆោត បច្ចេកទេសបំលែងកូដ និងការអ៊ិនគ្រីបផ្សេងៗ ដើម្បីជៀសវាងការរកឃើញ។ ឈ្មោះ "PowerDrop" កើតចេញពីការពឹងផ្អែកលើឧបករណ៍ Windows PowerShell និងខ្សែអក្សរ "DROP" (DRP) ដែលបានបញ្ចូលទៅក្នុងកូដរបស់វាសម្រាប់ទ្រនាប់។
PowerDrop គឺជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានរសើបពីបណ្តាញដែលត្រូវបានសម្របសម្រួលបន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើដោយគ្មានការអនុញ្ញាតតាមរយៈវិធីសាស្ត្រជំនួស។ ដើម្បីដោះស្រាយការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) មេរោគប្រើកម្មវិធី Internet Control Message Protocol (ICMP) echo ស្នើសុំសារជា beacons ។ បន្ទាប់មកម៉ាស៊ីនមេ C2 ឆ្លើយតបជាមួយនឹងពាក្យបញ្ជាដែលបានអ៊ិនគ្រីបដែលបានឌិកូដ និងប្រតិបត្តិនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ដូចគ្នានេះដែរ សារ ICMP ping មានគោលបំណងដើម្បីទាញយកលទ្ធផលនៃការណែនាំទាំងនេះ។
គួរកត់សម្គាល់ថា PowerDrop ប្រើប្រាស់សេវាកម្ម Windows Management Instrumentation (WMI) ដើម្បីប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយបង្ហាញពីការប្រើប្រាស់បច្ចេកទេស "រស់នៅក្រៅដី" របស់អ្នកគំរាមកំហែងដើម្បីគេចពីការរកឃើញ។ ខណៈពេលដែលលក្ខណៈស្នូលនៃមេរោគប្រហែលជាមិនមានភាពស្មុគ្រស្មាញខ្លាំងនោះទេ សមត្ថភាពរបស់វាក្នុងការធ្វើឱ្យរំខានដល់សកម្មភាពគួរឱ្យសង្ស័យ និងគេចចេញពីការការពារចំណុចបញ្ចប់បង្ហាញពីការចូលរួមរបស់តួអង្គគំរាមកំហែងកម្រិតខ្ពស់ជាងនេះ។
បង្ហាញពីយុទ្ធសាស្ត្រនៃការវាយប្រហារដោយមេរោគបំបាំងកាយ
មេរោគដែលបានរកឃើញថ្មីៗនេះត្រូវបាននាំមកបំភ្លឺដោយក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមរយៈប្រព័ន្ធស្វែងរកម៉ាស៊ីនកម្រិតខ្ពស់ ដែលជាបច្ចេកវិទ្យាដ៏មានអានុភាពដែលពិនិត្យខ្លឹមសារនៃការប្រតិបត្តិស្គ្រីប PowerShell ដែលអនុញ្ញាតឱ្យកំណត់អត្តសញ្ញាណនៃការគំរាមកំហែងដ៏កម្រនេះ។ ទោះបីជាយ៉ាងណាក៏ដោយ បើទោះបីជាការទម្លាយនេះ ខ្សែសង្វាក់ឆ្លងមេរោគពិតប្រាកដ និងការសម្របសម្រួលដំបូងនៃ PowerDrop នៅតែលាក់បាំងដោយអាថ៌កំបាំង។
អ្នកវិភាគប៉ាន់ស្មានលើវិធីសាស្រ្តសក្តានុពលដែលប្រើដោយអ្នកវាយប្រហារដើម្បីដាក់ពង្រាយស្គ្រីប PowerDrop ។ ទាំងនេះរួមមានការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ ការប្រើប្រាស់អ៊ីមែលបន្លំទៅកាន់ជនរងគ្រោះជាគោលដៅ ឬសូម្បីតែប្រើល្បិចបោកបញ្ឆោតនៃគេហទំព័រទាញយកកម្មវិធីក្លែងក្លាយ។ ផ្លូវពិតប្រាកដដែលតាមរយៈប្រព័ន្ធជ្រៀតចូល PowerDrop មិនទាន់ត្រូវបានកំណត់នៅឡើយ។ ដើម្បីបង្កើនលក្ខណៈលាក់កំបាំងរបស់វា ស្គ្រីបត្រូវបានអ៊ិនកូដដោយប្រើ Base64 ដែលអនុញ្ញាតឱ្យវាដំណើរការជា Backdoor ឬ Remote Access Trojan (RAT)។ បច្ចេកទេសស្មុគ្រស្មាញនេះអនុញ្ញាតឱ្យ PowerDrop គេចពីការរកឃើញ និងរក្សាភាពស្ថិតស្ថេរនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ការចូលទៅក្នុងប្រព័ន្ធកត់ត្រាការបកស្រាយការយល់ដឹងសំខាន់ៗចូលទៅក្នុងដំណើរការម៉ូឌុលរបស់ PowerDrop ។ ការវិភាគបានបង្ហាញថាស្គ្រីបព្យាបាទបានប្រើប្រាស់យ៉ាងមានប្រសិទ្ធភាពនូវតម្រងព្រឹត្តិការណ៍ WMI ដែលបានចុះឈ្មោះពីមុន និងអ្នកប្រើប្រាស់ជាមួយនឹង 'SystemPowerManager' ដាច់ដោយឡែក។ មេរោគខ្លួនវាបានបង្កើតយន្តការក្លែងបន្លំដ៏ឆ្លាតវៃនេះ នៅពេលសម្របសម្រួលប្រព័ន្ធដោយប្រើឧបករណ៍បន្ទាត់ពាក្យបញ្ជា 'wmic.exe' ។
ការលាតត្រដាងនៃលក្ខណៈពិសេសរបស់ PowerDrop បង្ហាញពន្លឺលើភាពទំនើបនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតសម័យទំនើប។ ជាមួយនឹងសមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរកឃើញ និងដំណើរការដោយសម្ងាត់នៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល PowerDrop បង្ហាញឧទាហរណ៍ពីការវិវត្តន៍ឥតឈប់ឈរ និងភាពប៉ិនប្រសប់របស់តួអង្គព្យាបាទនៅក្នុងទិដ្ឋភាពឌីជីថល។
ឧស្សាហកម្មអវកាសអាមេរិកស្ថិតនៅក្រោមការវាយប្រហារ៖ ការណែនាំអំពីមេរោគ PowerDrop ថ្មី។ រូបថតអេក្រង់
