LeakNet ਰੈਨਸਮਵੇਅਰ
ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਲੀਕਨੈੱਟ ਨੇ ਕਲਿੱਕਫਿਕਸ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕ ਨੂੰ ਆਪਣੇ ਪ੍ਰਾਇਮਰੀ ਐਂਟਰੀ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤ ਕੇ ਘੁਸਪੈਠ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਪੇਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਨਘੜਤ ਸਿਸਟਮ ਗਲਤੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ ਖਤਰਨਾਕ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਹੇਰਾਫੇਰੀ ਕਰਦੀ ਹੈ। ਰਵਾਇਤੀ ਪਹੁੰਚ ਤਰੀਕਿਆਂ ਦੇ ਉਲਟ, ਜਿਵੇਂ ਕਿ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ ਤੋਂ ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਖਰੀਦਣਾ, ਇਹ ਰਣਨੀਤੀ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਉਪਭੋਗਤਾ ਦੇ ਵਿਸ਼ਵਾਸ ਅਤੇ ਰੁਟੀਨ ਵਿਵਹਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ।
ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਗਈਆਂ ਪਰ ਹੋਰ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਨਕਲੀ ਕੈਪਟਚਾ ਤਸਦੀਕ ਪ੍ਰੋਂਪਟ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਹਥਿਆਰਬੰਦ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਪ੍ਰੋਂਪਟ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਰਾਹੀਂ ਇੱਕ ਖਤਰਨਾਕ msiexec.exe ਕਮਾਂਡ ਦੀ ਨਕਲ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੇ ਹਨ। ਕਿਉਂਕਿ ਇੰਟਰੈਕਸ਼ਨ ਰੋਜ਼ਾਨਾ ਸਿਸਟਮ ਗਤੀਵਿਧੀ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ, ਹਮਲਾ ਰੁਟੀਨ ਜਾਪਦਾ ਹੈ ਅਤੇ ਤੁਰੰਤ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਦਾ ਹੈ। ਇਹ ਵਿਆਪਕ, ਮੌਕਾਪ੍ਰਸਤ ਰਣਨੀਤੀ ਬਿਨਾਂ ਕਿਸੇ ਭੇਦਭਾਵ ਦੇ ਕਈ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਰਣਨੀਤਕ ਤਬਦੀਲੀ: ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ ਤੋਂ ਆਜ਼ਾਦੀ
ਲੀਕਨੈੱਟ ਦਾ ਕਲਿਕਫਿਕਸ ਵਿੱਚ ਤਬਦੀਲੀ ਇੱਕ ਗਣਨਾ ਕੀਤੀ ਗਈ ਸੰਚਾਲਨ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਤੀਜੀ-ਧਿਰ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸਪਲਾਇਰਾਂ 'ਤੇ ਨਿਰਭਰਤਾ ਨੂੰ ਖਤਮ ਕਰਕੇ, ਸਮੂਹ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਨਾਲ ਜੁੜੀ ਲਾਗਤ ਅਤੇ ਦੇਰੀ ਦੋਵਾਂ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ। ਇਹ ਆਜ਼ਾਦੀ ਇੱਕ ਮੁੱਖ ਰੁਕਾਵਟ ਨੂੰ ਦੂਰ ਕਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਮੁਹਿੰਮਾਂ ਨੂੰ ਵਧੇਰੇ ਤੇਜ਼ੀ ਅਤੇ ਕੁਸ਼ਲਤਾ ਨਾਲ ਸਕੇਲ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਬਜਾਏ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਜਾਇਜ਼ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਖੋਜਣਯੋਗ ਨੈੱਟਵਰਕ ਸੂਚਕਾਂ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੀ ਹੈ। ਇਹ ਰਵਾਇਤੀ ਘੇਰੇ-ਅਧਾਰਤ ਬਚਾਅ ਨੂੰ ਘੱਟ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਬਣਾਉਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਭਰੋਸੇਯੋਗ ਟ੍ਰੈਫਿਕ ਨਾਲ ਸਹਿਜੇ ਹੀ ਮਿਲ ਜਾਂਦੀ ਹੈ।
ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ: ਡੀਨੋ-ਅਧਾਰਤ ਲੋਡਰ ਕਾਰਵਾਈ ਵਿੱਚ ਹੈ
ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾ ਡੇਨੋ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਰਨਟਾਈਮ 'ਤੇ ਬਣੇ ਇੱਕ ਸਟੇਜਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਹੈ। ਇਹ ਲੋਡਰ ਬੇਸ64-ਏਨਕੋਡਡ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਂਦਾ ਹੈ, ਡਿਸਕ ਰਾਈਟਸ ਤੋਂ ਬਚਦਾ ਹੈ ਅਤੇ ਫੋਰੈਂਸਿਕ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ, ਲੋਡਰ ਕਈ ਮਹੱਤਵਪੂਰਨ ਕਾਰਜ ਕਰਦਾ ਹੈ:
- ਵਾਤਾਵਰਣ ਸੰਬੰਧੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਦੀ ਪ੍ਰੋਫਾਈਲ ਬਣਾਉਂਦਾ ਹੈ
- ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
- ਇੱਕ ਪੋਲਿੰਗ ਵਿਧੀ ਰਾਹੀਂ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਦਾ ਹੈ ਜੋ ਲਗਾਤਾਰ ਵਾਧੂ ਕੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ।
ਇਹ ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਡਲ ਸਟੀਲਥ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ ਅਤੇ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਦੇ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।
ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀ ਇਕਸਾਰ ਪਲੇਬੁੱਕ
ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿੱਚ ਭਿੰਨਤਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਲੀਕਨੈੱਟ ਓਪਰੇਸ਼ਨ ਇੱਕ ਅਨੁਮਾਨਯੋਗ ਸਮਝੌਤਾ ਤੋਂ ਬਾਅਦ ਦੇ ਵਰਕਫਲੋ ਵਿੱਚ ਇਕੱਠੇ ਹੋ ਜਾਂਦੇ ਹਨ। ਇਹ ਇਕਸਾਰਤਾ ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਤੋਂ ਪਹਿਲਾਂ ਖੋਜ ਅਤੇ ਵਿਘਨ ਲਈ ਕੀਮਤੀ ਮੌਕੇ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਆਮ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਲੋਡਰ ਦੁਆਰਾ ਡਿਲੀਵਰ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਚਲਾਉਣ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ
- ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਲਈ PsExec ਵਰਗੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲੇਟਰਲ ਮੂਵਮੈਂਟ
- ਸਰਗਰਮ ਪ੍ਰਮਾਣੀਕਰਨ ਸੈਸ਼ਨਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ cmd.exe /c klist ਰਾਹੀਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਖੋਜ
- S3 ਬਕੇਟਾਂ ਰਾਹੀਂ ਡੇਟਾ ਸਟੇਜਿੰਗ ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਗਤੀਵਿਧੀ ਨੂੰ ਜਾਇਜ਼ ਕਲਾਉਡ ਟ੍ਰੈਫਿਕ ਵਜੋਂ ਛੁਪਾਉਣਾ
- ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਅੰਤਿਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਪੜਾਅ
ਨੇਟਿਵ ਵਿੰਡੋਜ਼ ਟੂਲਸ ਅਤੇ ਆਮ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਨੂੰ ਆਮ ਸਿਸਟਮ ਅਤੇ ਨੈੱਟਵਰਕ ਵਿਵਹਾਰ ਵਿੱਚ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਧਮਕੀ ਪ੍ਰੋਫਾਈਲ: ਉਤਪਤੀ ਅਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਦਾਇਰਾ
ਨਵੰਬਰ 2024 ਵਿੱਚ ਉੱਭਰਦੇ ਹੋਏ, ਲੀਕਨੈੱਟ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ 'ਡਿਜੀਟਲ ਵਾਚਡੌਗ' ਵਜੋਂ ਸਥਾਪਤ ਕੀਤਾ, ਪਾਰਦਰਸ਼ਤਾ ਅਤੇ ਇੰਟਰਨੈਟ ਆਜ਼ਾਦੀ ਦੇ ਵਿਸ਼ਿਆਂ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ। ਹਾਲਾਂਕਿ, ਦੇਖਿਆ ਗਿਆ ਗਤੀਵਿਧੀ ਇੱਕ ਵਿਸ਼ਾਲ ਅਤੇ ਵਧੇਰੇ ਹਮਲਾਵਰ ਕਾਰਜਸ਼ੀਲ ਦਾਇਰੇ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਉਦਯੋਗਿਕ ਸੰਗਠਨਾਂ ਵਿਰੁੱਧ ਹਮਲੇ ਸ਼ਾਮਲ ਹਨ।
ਮੁਹਿੰਮ ਦੀ ਅੰਨ੍ਹੇਵਾਹ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਰਣਨੀਤੀ, ਸਕੇਲੇਬਲ ਇਨਫੈਕਸ਼ਨ ਤਰੀਕਿਆਂ ਨਾਲ ਮਿਲ ਕੇ, ਖਾਸ ਖੇਤਰਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੀ ਬਜਾਏ ਪਹੁੰਚ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਦੇ ਇਸਦੇ ਇਰਾਦੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਰੱਖਿਆਤਮਕ ਪ੍ਰਭਾਵ: ਇੱਕ ਫਾਇਦੇ ਵਜੋਂ ਭਵਿੱਖਬਾਣੀਯੋਗਤਾ
ਹਾਲਾਂਕਿ ਲੀਕਨੈੱਟ ਦੀਆਂ ਐਂਟਰੀ ਤਕਨੀਕਾਂ ਵਿਕਸਤ ਹੋਈਆਂ ਹਨ, ਪਰ ਦੁਹਰਾਉਣ ਯੋਗ ਸ਼ੋਸ਼ਣ ਲੜੀ 'ਤੇ ਇਸਦੀ ਨਿਰਭਰਤਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕਰਦੀ ਹੈ। ਹਮਲੇ ਦਾ ਹਰ ਪੜਾਅ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਲੈ ਕੇ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਤੱਕ, ਪਛਾਣਯੋਗ ਵਿਵਹਾਰਕ ਪੈਟਰਨਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ।
ਇਹ ਇਕਸਾਰਤਾ ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਇਹ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ:
- ਜਾਇਜ਼ ਸਿਸਟਮ ਟੂਲਸ ਦੀ ਅਸਧਾਰਨ ਵਰਤੋਂ ਦਾ ਪਤਾ ਲਗਾਓ
- ਅਸਾਧਾਰਨ ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪੈਟਰਨਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ
- ਸ਼ੱਕੀ ਕਲਾਉਡ ਸਟੋਰੇਜ ਇੰਟਰੈਕਸ਼ਨਾਂ ਦੀ ਪਛਾਣ ਕਰੋ
- ਏਨਕ੍ਰਿਪਸ਼ਨ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਹਮਲੇ ਦੀ ਪ੍ਰਗਤੀ ਨੂੰ ਰੋਕੋ
ਮੁੱਖ ਗੱਲ ਸਪੱਸ਼ਟ ਹੈ: ਜਦੋਂ ਕਿ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦੇ ਤਰੀਕੇ ਵੱਖੋ-ਵੱਖਰੇ ਹੋ ਸਕਦੇ ਹਨ, ਅੰਡਰਲਾਈੰਗ ਓਪਰੇਸ਼ਨਲ ਬਲੂਪ੍ਰਿੰਟ ਸਥਿਰ ਰਹਿੰਦਾ ਹੈ, ਜੋ ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਅਤੇ ਜਵਾਬ ਲਈ ਕਈ ਮੌਕੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
