ਡੁਅਲ-ਪੇਲੋਡ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ
ਇੱਕ ਨਵੀਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਧਿਆਨ ਖਿੱਚ ਰਹੀ ਹੈ ਕਿਉਂਕਿ ਇਸਦੀ ਇੱਕੋ ਸਮੇਂ ਦੋ ਵੱਖ-ਵੱਖ ਖਤਰਿਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ। ਇੱਕੋ ਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ Gh0st RAT ਅਤੇ CloverPlus ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ ਸਿੰਗਲ ਅਸਪਸ਼ਟ ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਇਹ ਸੁਮੇਲ ਅਸਾਧਾਰਨ ਅਤੇ ਬਹੁਤ ਹੀ ਰਣਨੀਤਕ ਦੋਵੇਂ ਹੈ। Gh0st RAT ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ 'ਤੇ ਪੂਰਾ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਜਦੋਂ ਕਿ CloverPlus ਬ੍ਰਾਊਜ਼ਰ ਗਤੀਵਿਧੀ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਵਿਗਿਆਪਨ ਭਾਗਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ, ਅਤੇ ਘੁਸਪੈਠ ਵਾਲੇ ਪੌਪ-ਅਪਸ ਰਾਹੀਂ ਮਾਲੀਆ ਪੈਦਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ। ਦੋਹਰੀ ਤੈਨਾਤੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਸੰਕਰਮਣ ਦਾ ਮੁਦਰੀਕਰਨ ਕਰਦੇ ਹੋਏ ਨਿਰੰਤਰ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਇਹ ਮੁਹਿੰਮ ਮਲਟੀ-ਪੇਲੋਡ ਡਿਲੀਵਰੀ ਵੱਲ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਜਿੱਥੇ ਹਮਲਾਵਰ ਇੱਕ ਹੀ ਸਮਝੌਤੇ ਤੋਂ ਸੰਚਾਲਨ ਕੁਸ਼ਲਤਾ ਅਤੇ ਵਿੱਤੀ ਵਾਪਸੀ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਉਲਝਾਉਣ ਦੀਆਂ ਰਣਨੀਤੀਆਂ: ਪੇਲੋਡ ਨੂੰ ਲੁਕਾਉਣਾ
ਇਸ ਮੁਹਿੰਮ ਦੇ ਮੂਲ ਵਿੱਚ ਲੋਡਰ ਨੂੰ ਸਟੀਲਥ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਆਪਣੇ ਸਰੋਤ ਭਾਗ ਦੇ ਅੰਦਰ ਦੋ ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡਾਂ ਨੂੰ ਏਮਬੇਡ ਕਰਦਾ ਹੈ, ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਤੋਂ ਬਚਣ ਲਈ ਅਸਪਸ਼ਟ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਐਗਜ਼ੀਕਿਊਸ਼ਨ CloverPlus ਐਡਵੇਅਰ ਮੋਡੀਊਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜਿਸਨੂੰ AdWare.Win32.CloverPlus ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ wiseman.exe ਨਾਮਕ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨਾਲ ਜੁੜਿਆ ਹੁੰਦਾ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ ਬ੍ਰਾਊਜ਼ਰ ਸਟਾਰਟਅੱਪ ਸੈਟਿੰਗਾਂ ਨੂੰ ਸੋਧਦਾ ਹੈ ਅਤੇ ਲਗਾਤਾਰ ਪੌਪ-ਅੱਪ ਇਸ਼ਤਿਹਾਰਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, ਲੋਡਰ ਆਪਣੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਰਗ ਦਾ ਮੁਲਾਂਕਣ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਇਹ ਸਿਸਟਮ ਦੀ %temp% ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਕੰਮ ਨਹੀਂ ਕਰ ਰਿਹਾ ਹੈ, ਤਾਂ ਇਹ ਅੱਗੇ ਵਧਣ ਤੋਂ ਪਹਿਲਾਂ ਉੱਥੇ ਆਪਣੀ ਇੱਕ ਕਾਪੀ ਬਣਾਉਂਦਾ ਹੈ। ਅਗਲੇ ਪੜਾਅ ਵਿੱਚ Gh0st RAT ਕਲਾਇੰਟ ਮੋਡੀਊਲ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ ਮਾਲਵੇਅਰ ਬਾਈਨਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਸਰੋਤ ਵਜੋਂ ਵੀ ਲੁਕਿਆ ਹੋਇਆ ਹੈ।
ਇੱਕ ਵਾਰ ਡੀਕ੍ਰਿਪਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਇੱਕ ਬੇਤਰਤੀਬ ਫਾਈਲ ਨਾਮ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ C:\ ਡਰਾਈਵ ਦੇ ਰੂਟ 'ਤੇ ਸਥਿਤ ਇੱਕ ਬੇਤਰਤੀਬ ਨਾਮ ਵਾਲੇ ਫੋਲਡਰ ਵਿੱਚ ਸਟੋਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਹੋਰ ਵੀ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦਾ ਹੈ।
ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣਾ: ਭਰੋਸੇਯੋਗ ਔਜ਼ਾਰ, ਭੈੜੇ ਇਰਾਦੇ
ਡੀਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ, ਮਾਲਵੇਅਰ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਉਪਯੋਗਤਾ rundll32.exe ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆ ਦੀ ਆੜ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਬਚਾਅ ਨੂੰ ਚਾਲੂ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਕਾਫ਼ੀ ਘੱਟ ਜਾਂਦੀ ਹੈ।
ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, Gh0st RAT ਵਿਲੱਖਣ ਪਛਾਣਕਰਤਾਵਾਂ ਜਿਵੇਂ ਕਿ MAC ਐਡਰੈੱਸ ਅਤੇ ਹਾਰਡ ਡਰਾਈਵ ਸੀਰੀਅਲ ਨੰਬਰ ਇਕੱਠੇ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਦੀ ਪ੍ਰੋਫਾਈਲਿੰਗ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵੇਰਵਿਆਂ ਦੀ ਵਰਤੋਂ ਹਮਲਾਵਰ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਪੀੜਤ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ ਦੀ ਸਹੀ ਟਰੈਕਿੰਗ ਅਤੇ ਪ੍ਰਬੰਧਨ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਸਥਿਰਤਾ ਵਿਧੀ: ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣਾ
ਸਿਸਟਮ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣਾ ਇਸ ਮੁਹਿੰਮ ਦਾ ਇੱਕ ਮੁੱਖ ਉਦੇਸ਼ ਹੈ। Gh0st RAT ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਡੂੰਘਾਈ ਨਾਲ ਏਮਬੈਡ ਕੀਤੀਆਂ ਕਈ ਤਕਨੀਕਾਂ ਰਾਹੀਂ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ:
ਸਟਾਰਟਅੱਪ 'ਤੇ ਆਟੋਮੈਟਿਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਵਿੰਡੋਜ਼ ਰਨ ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਵਿੱਚ ਸੋਧ
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip ਦੇ ਅਧੀਨ ਰਿਮੋਟ ਐਕਸੈਸ ਸੇਵਾ ਮਾਰਗ ਦੇ ਅੰਦਰ ਇੱਕ ਖਤਰਨਾਕ DLL ਦੀ ਰਜਿਸਟ੍ਰੇਸ਼ਨ
ਇਹ ਤਰੀਕੇ ਮਾਲਵੇਅਰ ਸਿਸਟਮ-ਪੱਧਰ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਜਦੋਂ ਵੀ ਸੰਬੰਧਿਤ ਸੇਵਾ ਸ਼ੁਰੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਹੋਰ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਖਤਮ ਕਰਦੇ ਹਨ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੇ ਹਨ।
ਖੋਜ ਅਤੇ ਬਚਾਅ: ਸਮਝੌਤੇ ਦੇ ਸੂਚਕ
ਇਸ ਮੁਹਿੰਮ ਦਾ ਪ੍ਰਭਾਵ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਦੋਵਾਂ ਲਈ ਕਾਫ਼ੀ ਹੈ। ਜਦੋਂ ਕਿ ਐਡਵੇਅਰ ਕੰਪੋਨੈਂਟ ਬ੍ਰਾਊਜ਼ਰ ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਵਿੱਚ ਵਿਘਨ ਪਾਉਂਦਾ ਹੈ ਅਤੇ ਖਤਰਨਾਕ ਇਸ਼ਤਿਹਾਰਬਾਜ਼ੀ ਦੇ ਸੰਪਰਕ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ, RAT ਕੰਪੋਨੈਂਟ ਡੇਟਾ ਚੋਰੀ, ਕੀਸਟ੍ਰੋਕ ਲੌਗਿੰਗ, ਸੁਰੱਖਿਆ ਬਾਈਪਾਸਿੰਗ, ਅਤੇ ਨਿਰੰਤਰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਦੇ ਹੇਠ ਲਿਖੇ ਸੰਕੇਤਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ:
- ਅਸਾਧਾਰਨ ਜਾਂ ਸ਼ੱਕੀ ਡਾਇਰੈਕਟਰੀਆਂ ਤੋਂ DLL ਜਾਂ ਗੈਰ-ਮਿਆਰੀ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਲੋਡ ਕਰਨ ਵਾਲੇ rundll32.exe ਨੂੰ ਲਾਗੂ ਕਰਨਾ
- %temp% ਫੋਲਡਰ ਤੋਂ ਉਤਪੰਨ ਹੋਣ ਵਾਲੀ ਪ੍ਰਕਿਰਿਆ ਗਤੀਵਿਧੀ
- ਰਜਿਸਟਰੀ ਰਨ ਕੁੰਜੀਆਂ ਜਾਂ ਰਿਮੋਟ ਐਕਸੈਸ ਸੇਵਾ ਸੰਰਚਨਾਵਾਂ ਵਿੱਚ ਅਣਅਧਿਕਾਰਤ ਸੋਧਾਂ
- ਸੈਂਡਬੌਕਸ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਪਿੰਗ-ਅਧਾਰਤ ਦੇਰੀ ਦੀ ਵਰਤੋਂ
- ਅਸਧਾਰਨ DNS ਟ੍ਰੈਫਿਕ ਪੈਟਰਨ ਅਤੇ ਸਿਸਟਮ ਹੋਸਟ ਫਾਈਲ ਵਿੱਚ ਅਚਾਨਕ ਬਦਲਾਅ
ਇਸ ਸੂਝਵਾਨ ਦੋਹਰੇ-ਖ਼ਤਰੇ ਵਾਲੇ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਇਹਨਾਂ ਸਿਗਨਲਾਂ ਪ੍ਰਤੀ ਸਰਗਰਮ ਨਿਗਰਾਨੀ ਅਤੇ ਤੇਜ਼ ਪ੍ਰਤੀਕਿਰਿਆ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਹੈ।
