មេរោគ Wiffy Recon

ប្រភេទថ្មីនៃមេរោគស្កេន Wi-Fi ដែលហៅថា Whiffy Recon ត្រូវបានរកឃើញដោយអ្នកឯកទេសសុវត្ថិភាពតាមអ៊ីនធឺណិត។ ការគំរាមកំហែងនេះកំពុងត្រូវបានដាក់ពង្រាយទៅកាន់ម៉ាស៊ីន Windows ដែលត្រូវបានសម្របសម្រួលរួចហើយ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលទទួលខុសត្រូវចំពោះប្រតិបត្តិការវាយប្រហារកំពុងប្រើប្រាស់កម្មវិធី SmokeLoader ដ៏ល្បី និងគំរាមកំហែងជាវ៉ិចទ័រចែកចាយសម្រាប់ Wiffy Recon ។

មេរោគប្រភេទប្រលោមលោកមានមុខងារឯកវចនៈ។ នៅចន្លោះពេលទៀងទាត់ 60 វិនាទី វាអនុវត្តដំណើរការដែលវាកំណត់ទីតាំងនៃប្រព័ន្ធមេរោគ។ នេះត្រូវបានសម្រេចដោយការស្កេនចំណុចចូលប្រើ Wi-Fi ដែលនៅជិត ដោយប្រើទិន្នន័យដែលបានប្រមូលជាចំណុចយោងសម្រាប់សួរ API ទីតាំងភូមិសាស្ត្ររបស់ Google ។ ក្រោយមក ព័ត៌មានទីតាំងដែលទទួលបានពី Geolocation API របស់ Google ត្រូវបានបញ្ជូនត្រឡប់ទៅអ្នកប្រព្រឹត្តអាក្រក់ដែលនៅពីក្រោយប្រតិបត្តិការនេះ។

The Wiffy Recon គឺជាការគំរាមកំហែងដែលមានឯកទេសខ្ពស់។

Whiffy Recon ដំណើរការដោយការត្រួតពិនិត្យជាដំបូងសម្រាប់វត្តមានរបស់សេវាកម្ម WLAN AutoConfig (WLANSVC) នៅលើប្រព័ន្ធដែលមានមេរោគ។ ប្រសិនបើរកមិនឃើញឈ្មោះសេវាកម្មនោះ មេរោគនឹងបញ្ចប់ដោយខ្លួនវាផ្ទាល់។ ទោះយ៉ាងណាក៏ដោយ ម៉ាស៊ីនស្កេនមិនផ្ទៀងផ្ទាត់ថាតើសេវាកម្មកំពុងដំណើរការឬអត់។

ដើម្បីសម្រេចបាននូវភាពស្ថិតស្ថេរ ផ្លូវកាត់មួយត្រូវបានបង្កើត និងបន្ថែមទៅថត Windows Startup ។

លើសពីនេះ មេរោគត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ពីចម្ងាយ។ នេះត្រូវបានសម្រេចដោយការផ្ញើ 'botID' ដែលបង្កើតដោយចៃដន្យនៅក្នុងសំណើ HTTP POST ។ ម៉ាស៊ីនមេ C2 ឆ្លើយតបជាមួយនឹងសារជោគជ័យ និងឧបករណ៍កំណត់អត្តសញ្ញាណសម្ងាត់តែមួយគត់ ដែលបន្ទាប់មកត្រូវបានរក្សាទុកក្នុងឯកសារមួយដែលមានឈ្មោះថា '%APPDATA%\Roaming\wlan\str-12.bin.'

ដំណាក់កាលបន្ទាប់នៃការវាយប្រហារពាក់ព័ន្ធនឹងការស្កេនរកចំណុចចូលប្រើ Wi-Fi ដោយប្រើ Windows WLAN API រៀងរាល់ 60 វិនាទី។ បន្ទាប់មក លទ្ធផលស្កេនដែលប្រមូលបានត្រូវបានផ្ញើទៅកាន់ Google Geolocation API ដើម្បីធ្វើ triangulate ទីតាំងច្បាស់លាស់នៃប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ បន្ទាប់មកព័ត៌មាននេះត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ C2 ក្នុងទម្រង់ជាខ្សែអក្សរ JSON ។

អ្នកស្រាវជ្រាវកម្រសង្កេតឃើញករណីនៃសកម្មភាព និងសមត្ថភាពប្រភេទនេះដែលត្រូវបានជួលដោយតួអង្គឧក្រិដ្ឋជន។ ខណៈពេលដែលការគំរាមកំហែងរបស់ Wiffy Recon ខ្វះសក្តានុពលភ្លាមៗសម្រាប់ការរកប្រាក់បានឆាប់រហ័សជាសមត្ថភាពឯករាជ្យ ភាពមិនប្រាកដប្រជាជុំវិញចេតនារបស់វាមិនមានភាពស្ងប់ស្ងាត់។ ការពិតទាក់ទងនឹងការពិតគឺថា វាអាចត្រូវបានប្រើប្រាស់ដើម្បីគាំទ្រដល់គោលដៅដែលមិនមានសុវត្ថិភាពជាច្រើន។

ងាកទៅការគំរាមកំហែង SmokeLoader ដូចដែលឈ្មោះបានបង្ហាញ មេរោគនេះដំណើរការជាចម្បងជាអ្នកផ្ទុក។ គោលបំណងតែមួយគត់របស់វាគឺទម្លាក់បន្ទុកបន្ថែមទៅលើម៉ាស៊ីនដែលបានកំណត់។ ចាប់តាំងពីឆ្នាំ 2014 មេរោគនេះអាចរកបានសម្រាប់ការទិញដោយអ្នកគំរាមកំហែងដែលមានមូលដ្ឋាននៅក្នុងប្រទេសរុស្ស៊ី។ ជាធម្មតាវាត្រូវបានផ្សព្វផ្សាយតាមរយៈអ៊ីមែលបន្លំ។

ការបង្កើតវិធានការប្រឆាំងនឹងមេរោគ Malware គឺសំខាន់បំផុត

ការអនុវត្តវិធានការដើម្បីទប់ទល់នឹងការឆ្លងមេរោគគឺមានសារៈសំខាន់បំផុត។ Malware ឬកម្មវិធីគំរាមកំហែង បង្កការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះសុវត្ថិភាព និងមុខងារនៃប្រព័ន្ធកុំព្យូទ័រ បណ្តាញ និងទិន្នន័យ។ ការគំរាមកំហែងទាំងនេះមានចាប់ពីការចូលប្រើដោយគ្មានការអនុញ្ញាតរហូតដល់ការបំពានទិន្នន័យ ការខាតបង់ផ្នែកហិរញ្ញវត្ថុ និងការរំខានដល់ប្រតិបត្តិការសំខាន់ៗ។ ការបង្កើតវិធានការដ៏មានប្រសិទ្ធភាពប្រឆាំងនឹងមេរោគគឺចាំបាច់ដើម្បីការពារទ្រព្យសម្បត្តិឌីជីថល និងរក្សាភាពសុចរិតនៃប្រព័ន្ធ។

• ការអាប់ដេតកម្មវិធីធម្មតា ៖ Malware ជារឿយៗទាញយកភាពងាយរងគ្រោះដែលគេស្គាល់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធី។ ការរក្សាកម្មវិធីទាំងអស់របស់អ្នកឱ្យទាន់សម័យដោយការបន្ថែមបំណះសុវត្ថិភាព និងការអាប់ដេតគឺជាកត្តាសំខាន់ក្នុងការបិទចំណុចចូលដែលអាចកើតមានសម្រាប់មេរោគ។
• ការអប់រំអ្នកប្រើប្រាស់ ៖ មេរោគជាច្រើនវាយប្រហារអ្នកប្រើប្រាស់គោលដៅតាមរយៈយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដូចជា អ៊ីមែលបន្លំ ឬការទាញយកដោយបោកប្រាស់។ ការអប់រំអ្នកប្រើប្រាស់អំពីហានិភ័យនៃការចុចលើតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ ការបើកឯកសារភ្ជាប់ពីប្រភពមិនស្គាល់ និងការប្រើប្រាស់ទម្លាប់នៃការរុករកដោយសុវត្ថិភាពអាចកាត់បន្ថយហានិភ័យនៃការឆ្លងបានយ៉ាងច្រើន។
• ការគ្រប់គ្រងការចូលប្រើ និងការគ្រប់គ្រងសិទ្ធិ ៖ ការកំណត់សិទ្ធិអ្នកប្រើប្រាស់ និងសិទ្ធិចូលប្រើអាចដាក់កម្រិតផលប៉ះពាល់ដែលអាចកើតមាននៃមេរោគ។ ការអនុវត្តគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត ធានាថាអ្នកប្រើប្រាស់មានសិទ្ធិចូលប្រើធនធានដែលចាំបាច់សម្រាប់តួនាទីរបស់ពួកគេ ដោយកាត់បន្ថយផ្ទៃវាយប្រហារសម្រាប់មេរោគ។
• ការបម្រុងទុក និងការស្តារឡើងវិញ ៖ ការបម្រុងទុកទិន្នន័យសំខាន់ៗ និងប្រព័ន្ធជាទៀងទាត់គឺចាំបាច់ដើម្បីកាត់បន្ថយផលប៉ះពាល់នៃការវាយប្រហារដោយ ransomware ។ ក្នុងករណីមានការឆ្លង ទិន្នន័យស្អាតអាចត្រូវបានស្ដារឡើងវិញ ការពារការបាត់បង់ទិន្នន័យ និងការប៉ុនប៉ងជំរិតទារប្រាក់។
• ការបែងចែកបណ្តាញ ៖ ការបែងចែកបណ្តាញ និងការញែកប្រព័ន្ធសំខាន់ៗចេញពីបណ្តាញដែលមានសុវត្ថិភាពតិចអាចមានការរីករាលដាលនៃមេរោគ។ ប្រសិនបើផ្នែកមួយត្រូវបានសម្របសម្រួល វាកាន់តែពិបាកសម្រាប់មេរោគក្នុងការផ្លាស់ទីនៅពេលក្រោយ និងឆ្លងផ្នែកផ្សេងទៀតនៃបណ្តាញ។
• ការត្រួតពិនិត្យជាបន្ត ៖ ការប្រើប្រាស់ឧបករណ៍សុវត្ថិភាព និងការអនុវត្តសម្រាប់ការត្រួតពិនិត្យជាបន្តជួយក្នុងការរកឃើញ និងការពារសកម្មភាពមេរោគនៅដំណាក់កាលដំបូង។ ភាពមិនប្រក្រតី និងអាកប្បកិរិយាគួរឱ្យសង្ស័យអាចត្រូវបានកំណត់អត្តសញ្ញាណភ្លាមៗ ដែលអនុញ្ញាតឱ្យមានអន្តរាគមន៍ទាន់ពេលវេលា។
• ការវាយតម្លៃអ្នកលក់ និងកម្មវិធី ៖ មុននឹងបញ្ចូលកម្មវិធីភាគីទីបី ឬសេវាកម្មទៅក្នុងបណ្តាញ អង្គការគួរតែវាយតម្លៃវិធានការសុវត្ថិភាព និងកេរ្តិ៍ឈ្មោះរបស់ពួកគេ។ នេះជួយការពារការណែនាំមេរោគដោយអចេតនាតាមរយៈកម្មវិធីដែលត្រូវបានសម្របសម្រួល។
• កិច្ចសហការ និងការចែករំលែកព័ត៌មាន ៖ ការទទួលបានព័ត៌មានអំពីនិន្នាការមេរោគ និងបច្ចេកទេសវាយប្រហារចុងក្រោយបង្អស់គឺមានសារៈសំខាន់ណាស់។ កិច្ចសហប្រតិបត្តិការជាមួយសហគមន៍សន្តិសុខ និងការចែករំលែកព័ត៌មានសម្ងាត់នៃការគំរាមកំហែងអាចជួយការពារយ៉ាងសកម្មប្រឆាំងនឹងការវិវត្តនៃការគំរាមកំហែងមេរោគ។

សរុបមក ការបង្កើតវិធានការប្រឆាំងនឹងការឆ្លងមេរោគគឺជាកត្តាសំខាន់បំផុតក្នុងការការពារទ្រព្យសម្បត្តិឌីជីថល ភាពឯកជនរបស់អ្នកប្រើប្រាស់ និងមុខងារទូទៅនៃប្រព័ន្ធ។ វិធីសាស្រ្តពហុស្រទាប់ដែលរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យា ការអប់រំអ្នកប្រើប្រាស់ និងយុទ្ធសាស្រ្តសកម្មគឺចាំបាច់ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយមេរោគប្រកបដោយប្រសិទ្ធភាព។