HTTPSnoop ਮਾਲਵੇਅਰ
ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਦੂਰਸੰਚਾਰ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਇੱਕ ਲਹਿਰ ਨੂੰ HTTPSnoop ਅਤੇ PipeSnoop ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਨਵੇਂ ਮਾਲਵੇਅਰ ਤਣਾਅ ਦੀ ਤੈਨਾਤੀ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਧਮਕਾਉਣ ਵਾਲੇ ਟੂਲ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।
HTTPSnoop ਮਾਲਵੇਅਰ HTTP(S) URL ਰਾਹੀਂ ਸੰਕਰਮਿਤ ਐਂਡਪੁਆਇੰਟਾਂ 'ਤੇ ਖਾਸ ਸਮੱਗਰੀ ਨੂੰ ਚਲਾਉਣ ਲਈ Windows HTTP ਕਰਨਲ ਡਰਾਈਵਰਾਂ ਅਤੇ ਡਿਵਾਈਸਾਂ ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ। ਦੂਜੇ ਪਾਸੇ, PipeSnoop ਨੂੰ ਇੱਕ ਨਾਮਿਤ ਪਾਈਪ ਰਾਹੀਂ ਮਨਮਾਨੇ ਸ਼ੈੱਲਕੋਡਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਇਸ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦਾ ਸਫਲਤਾਪੂਰਵਕ ਪਰਦਾਫਾਸ਼ ਕਰਨ ਵਾਲੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੀ ਗਈ ਇੱਕ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, HTTPSnoop ਅਤੇ PipeSnoop ਦੋਵੇਂ ਇੱਕੋ ਘੁਸਪੈਠ ਸਮੂਹ ਨਾਲ ਸੰਬੰਧਿਤ ਹਨ, ਜਿਨ੍ਹਾਂ ਦੀ ਪਛਾਣ 'ਸ਼੍ਰੋਡਡ ਸਨੂਪਰ' ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਹਾਲਾਂਕਿ, ਦੋ ਖਤਰੇ ਘੁਸਪੈਠ ਦੇ ਪੱਧਰ ਦੇ ਹਿਸਾਬ ਨਾਲ ਵੱਖਰੇ ਕਾਰਜਸ਼ੀਲ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦੇ ਹਨ।
HTTPSnoop ਮਾਲਵੇਅਰ ਹਮਲਾਵਰਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ
HTTPSnoop ਇੱਕ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ HTTP(S) ਟ੍ਰੈਫਿਕ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਘੱਟ-ਪੱਧਰੀ ਵਿੰਡੋਜ਼ API ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ URL ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਹਨਾਂ URLs ਦਾ ਪਤਾ ਲਗਾਉਣ 'ਤੇ, ਮਾਲਵੇਅਰ ਉਹਨਾਂ ਤੋਂ ਆਉਣ ਵਾਲੇ ਬੇਸ 64-ਏਨਕੋਡਡ ਡੇਟਾ ਨੂੰ ਡੀਕੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਸ਼ੈੱਲਕੋਡ ਦੇ ਤੌਰ 'ਤੇ ਇਸਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।
ਇਹ ਅਸੁਰੱਖਿਅਤ ਇਮਪਲਾਂਟ, DLL ਹਾਈਜੈਕਿੰਗ ਦੁਆਰਾ ਟਾਰਗੇਟ ਸਿਸਟਮ 'ਤੇ ਕਿਰਿਆਸ਼ੀਲ, ਦੋ ਮੁੱਖ ਭਾਗਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ: ਪਹਿਲਾ, ਪੜਾਅ 2 ਸ਼ੈੱਲਕੋਡ, ਕਰਨਲ ਕਾਲਾਂ ਦੁਆਰਾ ਬੈਕਡੋਰ ਵੈੱਬ ਸਰਵਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ, ਅਤੇ ਦੂਜਾ, ਇਸਦੀ ਸੰਰਚਨਾ।
HTTPSnoop ਇੱਕ ਸੁਣਨ ਵਾਲਾ ਲੂਪ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਧੀਰਜ ਨਾਲ ਆਉਣ ਵਾਲੀਆਂ HTTP ਬੇਨਤੀਆਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਆਉਣ 'ਤੇ ਵੈਧ ਡੇਟਾ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਪ੍ਰਕਿਰਿਆ ਕਰਦਾ ਹੈ। ਅਜਿਹੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਜਿੱਥੇ ਆਉਣ ਵਾਲਾ ਡੇਟਾ ਵੈਧ ਨਹੀਂ ਹੈ, ਮਾਲਵੇਅਰ ਇੱਕ HTTP 302 ਰੀਡਾਇਰੈਕਟ ਵਾਪਸ ਕਰਦਾ ਹੈ।
ਪ੍ਰਾਪਤ ਕੀਤੇ ਸ਼ੈੱਲਕੋਡ ਦੇ ਡੀਕ੍ਰਿਪਸ਼ਨ 'ਤੇ, ਇਸ ਨੂੰ ਤੁਰੰਤ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਅਮਲ ਦੇ ਨਤੀਜੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਬੇਸ 64-ਏਨਕੋਡਡ XOR-ਏਨਕੋਡਡ ਡੇਟਾ ਬਲਾਕਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਵਾਪਸ ਭੇਜੇ ਜਾਂਦੇ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਇਮਪਲਾਂਟ ਸਰਵਰ 'ਤੇ ਪਹਿਲਾਂ ਕੌਂਫਿਗਰ ਕੀਤੇ URL ਦੇ ਨਾਲ ਟਕਰਾਅ ਤੋਂ ਬਚਣ ਲਈ ਸਾਵਧਾਨੀ ਵਰਤਦਾ ਹੈ, ਅਣਜਾਣੇ ਵਿੱਚ ਝੜਪਾਂ ਦੇ ਬਿਨਾਂ ਸੁਚਾਰੂ ਸੰਚਾਲਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਮਾਹਿਰਾਂ ਨੇ ਕਈ HTTPSnoop ਮਾਲਵੇਅਰ ਰੂਪਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ
HTTPSnoop ਦੇ ਤਿੰਨ ਵੱਖਰੇ ਰੂਪ ਹਨ ਜੋ ਹੁਣ ਤੱਕ ਹਰ ਇੱਕ ਵਿਲੱਖਣ URL ਸੁਣਨ ਦੇ ਨਮੂਨੇ ਦੇ ਨਾਲ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਪਹਿਲਾ ਰੂਪ ਆਮ HTTP URL-ਅਧਾਰਿਤ ਬੇਨਤੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਰੂਪ ਉਹਨਾਂ URL 'ਤੇ ਫੋਕਸ ਕਰਦਾ ਹੈ ਜੋ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਚੇਂਜ ਵੈੱਬ ਸੇਵਾ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਤੀਜਾ ਰੂਪ, ਇਸ ਦੌਰਾਨ, URL ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ OfficeCore ਦੇ LBS/OfficeTrack ਅਤੇ ਟੈਲੀਫੋਨੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ।
ਇਹ ਰੂਪ ਅਪ੍ਰੈਲ 2023 ਵਿੱਚ ਖੋਜੇ ਗਏ ਸਨ, ਅਤੇ ਖਾਸ ਤੌਰ 'ਤੇ, ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਇੱਕ ਵਿੱਚ ਘੱਟ ਗਿਣਤੀ ਵਿੱਚ URLs ਹਨ ਜਿਨ੍ਹਾਂ ਦੀ ਇਹ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਸਟੀਲਥ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਧਾਉਣ ਦੀ ਸੰਭਾਵਨਾ ਹੈ।
ਮਾਈਕਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ ਅਤੇ ਆਫਿਸਟ੍ਰੈਕ ਨਾਲ ਜੁੜੇ ਜਾਇਜ਼ URL ਪੈਟਰਨਾਂ ਦੀ ਨਕਲ ਕਰਕੇ, ਇਹ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਬੇਨਤੀਆਂ ਸੌਖੇ ਟ੍ਰੈਫਿਕ ਨਾਲ ਮਿਲਦੀਆਂ-ਜੁਲਦੀਆਂ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਜਾਇਜ਼ ਬੇਨਤੀਆਂ ਤੋਂ ਵੱਖ ਕਰਨਾ ਬਹੁਤ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦੀਆਂ ਹਨ।
ਸਾਡੇ ਡਿਜੀਟਲ ਯੁੱਗ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸਸ਼ੀਲ ਲੈਂਡਸਕੇਪ ਇੱਕ ਭਿਆਨਕ ਅਤੇ ਨਿਰੰਤਰ ਖ਼ਤਰਾ ਹੈ। ਮਾਲਵੇਅਰ ਸਿਰਫ਼ ਇੱਕ ਪਰੇਸ਼ਾਨੀ ਹੀ ਨਹੀਂ ਹੈ ਸਗੋਂ ਇੱਕ ਜ਼ਬਰਦਸਤ ਵਿਰੋਧੀ ਹੈ ਜੋ ਵਿਅਕਤੀਆਂ, ਸੰਸਥਾਵਾਂ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਕੌਮਾਂ ਨੂੰ ਤਬਾਹ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਚੌਕਸੀ, ਸਿੱਖਿਆ, ਅਤੇ ਮਜ਼ਬੂਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਅ ਇਸ ਅਣਥੱਕ ਖਤਰੇ ਦੇ ਵਿਰੁੱਧ ਸਾਡੇ ਸਭ ਤੋਂ ਵਧੀਆ ਬਚਾਅ ਹਨ। ਔਨਲਾਈਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੂਚਿਤ ਰਹਿਣਾ ਅਤੇ ਵਧੀਆ ਅਭਿਆਸਾਂ ਨੂੰ ਅਪਣਾਉਣਾ ਸਿਰਫ਼ ਇੱਕ ਵਿਕਲਪ ਨਹੀਂ ਹੈ; ਇਹ ਸਾਡੇ ਡਿਜੀਟਲ ਜੀਵਨ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਅਤੇ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਸੰਸਾਰ ਦੀ ਅਖੰਡਤਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ ਇੱਕ ਲੋੜ ਹੈ।
