ਪਾਵਰਡ੍ਰੌਪ ਮਾਲਵੇਅਰ
ਯੂਐਸ ਏਰੋਸਪੇਸ ਉਦਯੋਗ ਪਾਵਰਡ੍ਰੌਪ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਗਏ ਪਾਵਰਸ਼ੇਲ-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਅਣਜਾਣ ਬੁਰਾਈ-ਦਿਮਾਗ ਵਾਲੇ ਅਦਾਕਾਰ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣ ਗਿਆ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਇੱਕ ਰਿਪੋਰਟ ਦੱਸਦੀ ਹੈ ਕਿ ਪਾਵਰਡ੍ਰੌਪ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਧੁਨਿਕ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਧੋਖਾ, ਏਨਕੋਡਿੰਗ ਅਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਸ਼ਾਮਲ ਹਨ। ਮਈ 2023 ਵਿੱਚ, ਇੱਕ ਅਣਦੱਸੇ ਯੂਐਸ ਏਰੋਸਪੇਸ ਰੱਖਿਆ ਠੇਕੇਦਾਰ ਦੇ ਸਿਸਟਮ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ ਸੀ।
ਪਾਵਰਡ੍ਰੌਪ ਦੇ ਧਮਕਾਉਣ ਵਾਲੇ ਫੰਕਸ਼ਨ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਤੋਂ ਪਰੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਧਮਕੀ ਨੂੰ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਸਾਧਨ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇੱਕ ਵਾਰ ਹਮਲਾਵਰ ਵਿਕਲਪਕ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਪੀੜਤ ਦੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਦਾਖਲਾ ਹਾਸਲ ਕਰ ਲੈਂਦਾ ਹੈ, ਪਾਵਰਡ੍ਰੌਪ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਕੀਮਤੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਅਤੇ ਪੀੜਤ ਦੇ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਨਿਗਰਾਨੀ ਕਰਨਾ ਹੈ। ਖ਼ਤਰੇ ਬਾਰੇ ਵੇਰਵੇ ਐਡਲੂਮਿਨ ਵਿਖੇ ਇਨਫੋਸੈਕਸ ਮਾਹਰਾਂ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
ਪਾਵਰਡ੍ਰੌਪ ਮਾਲਵੇਅਰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਪ੍ਰਣਾਲੀਆਂ ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ
ਮਾਲਵੇਅਰ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦੇ ਸਾਧਨ ਵਜੋਂ ਇੰਟਰਨੈਟ ਕੰਟਰੋਲ ਮੈਸੇਜ ਪ੍ਰੋਟੋਕੋਲ (ICMP) ਈਕੋ ਬੇਨਤੀ ਸੰਦੇਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਇਸਦੇ ਖਤਰਨਾਕ ਓਪਰੇਸ਼ਨ ਸ਼ੁਰੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
ICMP ਈਕੋ ਬੇਨਤੀ ਸੁਨੇਹਾ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ, C2 ਸਰਵਰ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਕਮਾਂਡ ਨਾਲ ਜਵਾਬ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਫਿਰ ਡੀਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਚਲਾਈਆਂ ਗਈਆਂ ਹਦਾਇਤਾਂ ਦੇ ਨਤੀਜਿਆਂ ਨੂੰ ਪ੍ਰਫੁੱਲਤ ਕਰਨ ਲਈ, ਇੱਕ ਸਮਾਨ ICMP ਪਿੰਗ ਸੁਨੇਹਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ।
ਖਾਸ ਤੌਰ 'ਤੇ, PowerShell ਕਮਾਂਡ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ (WMI) ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਰਾਹੀਂ ਸਹੂਲਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਚੋਣ ਜਾਇਜ਼ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ ਖੋਜ ਤੋਂ ਬਚਣ ਦੇ ਉਦੇਸ਼ ਨਾਲ, ਵਿਰੋਧੀ ਦੀ ਜਾਣਬੁੱਝ ਕੇ ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਦੀਆਂ ਚਾਲਾਂ ਦੀ ਵਰਤੋਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।
ਹਾਲਾਂਕਿ ਇਸ ਖਤਰੇ ਦੀ ਮੂਲ ਬਣਤਰ ਵਿੱਚ ਇੱਕ ਅੰਦਰੂਨੀ ਗੁੰਝਲਦਾਰ ਡਿਜ਼ਾਈਨ ਨਹੀਂ ਹੋ ਸਕਦਾ ਹੈ, ਇਸਦੀ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਅਤੇ ਅੰਤਮ ਬਿੰਦੂ ਸੁਰੱਖਿਆ ਬਚਾਅ ਪੱਖਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਸਮਰੱਥਾ ਵਧੇਰੇ ਸੂਝਵਾਨ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਵਿਅਕਤੀਗਤ ਅਤੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਕਈ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਪੋਰੇਟ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ, ਸੰਗਠਨ ਦੇ ਸੁਰੱਖਿਆ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਢੰਗਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਵਰਤਦੇ ਹਨ। ਇਹ ਘੁਸਪੈਠ ਦੀਆਂ ਤਕਨੀਕਾਂ ਵਿਭਿੰਨ ਅਤੇ ਆਧੁਨਿਕ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜਿਸਦਾ ਉਦੇਸ਼ ਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ। ਕੁਝ ਆਮ ਤਰੀਕਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਫਿਸ਼ਿੰਗ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ: ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ, ਜਿਵੇਂ ਕਿ ਲੌਗਇਨ ਪ੍ਰਮਾਣ-ਪੱਤਰ ਜਾਂ ਨਿੱਜੀ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਲਈ ਧੋਖਾਧੜੀ ਦੀਆਂ ਚਾਲਾਂ, ਜਿਵੇਂ ਕਿ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਜਾਂ ਫ਼ੋਨ ਕਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ। ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਵਿਅਕਤੀਆਂ ਨੂੰ ਕਾਰਪੋਰੇਟ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਹੇਰਾਫੇਰੀ ਕਰਦੀਆਂ ਹਨ।
- ਮਾਲਵੇਅਰ ਅਤੇ ਸ਼ੋਸ਼ਣ: ਹਮਲਾਵਰ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਕਾਰਪੋਰੇਟ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਪੇਸ਼ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਖਤਰਨਾਕ ਈਮੇਲ ਅਟੈਚਮੈਂਟ, ਸੰਕਰਮਿਤ ਵੈੱਬਸਾਈਟਾਂ ਜਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਸ਼ਾਮਲ ਹਨ। ਸੌਫਟਵੇਅਰ ਜਾਂ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਨਾਜ਼ੁਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ।
- ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ: ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ, ਕਮਜ਼ੋਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੇ ਨਾਲ ਤੀਜੀ-ਧਿਰ ਦੇ ਵਿਕਰੇਤਾਵਾਂ ਜਾਂ ਸਪਲਾਇਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਸਕਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਅੰਦਰ ਆਉਣ ਤੇ, ਉਹ ਬਾਅਦ ਵਿੱਚ ਅੱਗੇ ਵਧ ਸਕਦੇ ਹਨ ਅਤੇ ਆਪਣੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾ ਸਕਦੇ ਹਨ।
- ਬਰੂਟ-ਫੋਰਸ ਅਟੈਕ: ਹਮਲਾਵਰ ਯੂਜ਼ਰਨਾਮਾਂ ਅਤੇ ਪਾਸਵਰਡਾਂ ਦੇ ਕਈ ਸੰਜੋਗਾਂ ਨੂੰ ਯੋਜਨਾਬੱਧ ਤਰੀਕੇ ਨਾਲ ਅਜ਼ਮਾ ਕੇ ਕਾਰਪੋਰੇਟ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦੇ ਹਨ ਜਦੋਂ ਤੱਕ ਉਹ ਸਹੀ ਪ੍ਰਮਾਣ ਪੱਤਰ ਨਹੀਂ ਲੱਭ ਲੈਂਦੇ।
- ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (ਆਰਡੀਪੀ) ਹਮਲੇ: ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਪੋਰੇਟ ਸਿਸਟਮਾਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਐਕਸਪੋਜ਼ਡ ਆਰਡੀਪੀ ਪੋਰਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ। ਉਹ ਨੈੱਟਵਰਕ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ RDP ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰ ਪਾਸਵਰਡਾਂ ਜਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ।
- ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ: ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀਆਂ ਅਣਜਾਣ ਸੌਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਹਵਾਲਾ ਦਿੰਦੀਆਂ ਹਨ ਜੋ ਵਿਕਾਸਕਰਤਾਵਾਂ ਨੂੰ ਪੈਚ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਖੋਜਦੇ ਹਨ। ਹਮਲਾਵਰ ਕਾਰਪੋਰੇਟ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਪੋਰੇਟ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਲਗਾਤਾਰ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਵਿਕਸਿਤ ਕਰਦੇ ਹਨ ਅਤੇ ਨਵੇਂ ਤਰੀਕੇ ਅਪਣਾਉਂਦੇ ਹਨ। ਨਤੀਜੇ ਵਜੋਂ, ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਹਨਾਂ ਘੁਸਪੈਠ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਤੋਂ ਬਚਾਉਣ ਲਈ, ਨਿਯਮਤ ਸੌਫਟਵੇਅਰ ਅੱਪਡੇਟ, ਕਰਮਚਾਰੀ ਸਿਖਲਾਈ, ਨੈੱਟਵਰਕ ਵਿਭਾਜਨ, ਘੁਸਪੈਠ ਖੋਜ ਪ੍ਰਣਾਲੀਆਂ, ਅਤੇ ਮਜ਼ਬੂਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸਮੇਤ ਵਿਆਪਕ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
