டெட்கிளிஃப் பின்கதவு
சைபர் செக்யூரிட்டி ஆய்வாளர்கள் சமீபத்தில் "டெட்கிளிஃப்" எனப்படும் மேம்பட்ட பின்கதவைக் கண்டுபிடித்தனர், இது முன்னர் ஆவணப்படுத்தப்படவில்லை. இந்த அதிநவீன தீம்பொருளானது "ஸ்டீல்த் பால்கன்" என்ற அச்சுறுத்தல் நடிகரால் அவர்களின் இணைய உளவு பிரச்சாரத்தின் ஒரு பகுதியாக பயன்படுத்தப்பட்டது.
Deadglyph ஐ வேறுபடுத்துவது இரண்டு ஒத்துழைக்கும் கூறுகளைக் கொண்ட அதன் வழக்கத்திற்கு மாறான கட்டிடக்கலை ஆகும். ஒன்று நேட்டிவ் x64 பைனரி, மற்றொன்று .NET அசெம்பிளி. இந்த விதிமுறையிலிருந்து விலகுவது குறிப்பிடத்தக்கது, ஏனெனில் பெரும்பாலான தீம்பொருள் பொதுவாக அதன் கூறுகளுக்கு ஒரு நிரலாக்க மொழியையே நம்பியிருக்கிறது. இந்த இரட்டை மொழி அணுகுமுறையை ஏற்றுக்கொள்வது, ஒவ்வொரு நிரலாக்க மொழியின் தனித்துவமான திறன்களைப் பயன்படுத்தி, இந்த இரண்டு கூறுகளுக்கும் தனித்தனி மேம்பாட்டு முயற்சிகளின் சாத்தியத்தை பரிந்துரைக்கிறது.
மேலும், வெவ்வேறு நிரலாக்க மொழிகளின் வேண்டுமென்றே பயன்பாடு பகுப்பாய்வு முயற்சிகளைத் தடுக்கும் ஒரு மூலோபாய தந்திரமாக செயல்படுகிறது என்று சந்தேகிக்கப்படுகிறது. இது மால்வேரைக் கண்டறிதல் மற்றும் தணிக்க இன்னும் ஒரு அடுக்கு சிக்கலானது உட்பட, பாதுகாப்பு ஆராய்ச்சியாளர்களுக்குச் செல்லவும், பிழைத்திருத்தவும் செய்வது மிகவும் சவாலானது.
பொருளடக்கம்
டெட்கிளிஃப் பேக்டோர் அசாதாரண குணாதிசயங்களைக் காட்டுகிறது
டெட்கிளிஃப் என்பது மத்திய கிழக்கில் வெளியிடப்படாத அரசு நிறுவனத்தில் பயன்படுத்தப்படும் ஸ்டீல்த் ஃபால்கனின் ஆயுதக் களஞ்சியத்தில் சமீபத்திய சேர்த்தலைக் குறிக்கிறது. வழக்கமான பின்கதவுகளிலிருந்து வேறுபடுத்தி, இந்த அச்சுறுத்தும் கருவி அச்சுறுத்தல் நடிகரால் கட்டுப்படுத்தப்படும் சேவையகத்திலிருந்து கட்டளைகளைப் பெறுகிறது. இந்த கட்டளைகள் துணை தொகுதிகள் வடிவில் வந்து, Deadglyph க்கு புதிய செயல்முறைகளைத் தொடங்குவதற்கும், கோப்புகளை அணுகுவதற்கும், சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து தரவை அறுவடை செய்வதற்கும் திறனை வழங்குகிறது.
உள்வைப்பு விநியோகத்தின் சரியான முறை ஒரு மர்மமாகவே உள்ளது. இருப்பினும், அதன் செயல்பாட்டிற்கான ஆரம்ப தூண்டுதல் ஷெல்கோட் ஏற்றி ஆகும், இது விண்டோஸ் பதிவேட்டில் இருந்து ஷெல்கோடை மீட்டெடுக்கிறது மற்றும் ஏற்றுகிறது. இது, "எக்ஸிகியூட்டர்" என்று அழைக்கப்படும் டெட்கிளிஃப்பின் நேட்டிவ் x64 கூறுகளை செயல்படுத்துவதைத் தொடங்குகிறது.
ஒரு டெட்கிளிஃப் தொற்று பாதிக்கப்பட்டவர்களுக்கு பேரழிவு விளைவுகளை ஏற்படுத்தும்
எக்ஸிகியூட்டர், செயல்படுத்தப்பட்டவுடன், "ஆர்கெஸ்ட்ரேட்டர்" எனப்படும் .NET கூறுகளை ஏற்றுவதற்குச் செல்கிறார். ஆர்கெஸ்ட்ரேட்டர் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது, மேலும் உத்தரவுகளுக்காக காத்திருக்கிறது. இந்த மால்வேர் ரேடாருக்குக் கீழே இருக்க தொடர்ச்சியான ஏய்ப்பு உத்திகளையும் பயன்படுத்துகிறது, சுய-நிறுவல் நீக்கும் திறனையும் கொண்டுள்ளது. சர்வரில் இருந்து பெறப்பட்ட கட்டளைகள் செயல்பாட்டிற்காக வரிசைப்படுத்தப்படுகின்றன, அவை மூன்று வெவ்வேறு வகைகளாக பிரிக்கப்படுகின்றன: ஆர்கெஸ்ட்ரேட்டர் பணிகள், நிறைவேற்றுபவர் பணிகள் மற்றும் பதிவேற்ற பணிகள்.
எக்ஸிகியூட்டர் பணிகள் பின்கதவின் மேலாண்மை மற்றும் கூடுதல் தொகுதிகளின் செயல்பாட்டின் மீது கட்டுப்பாட்டை வழங்குகின்றன. ஆர்கெஸ்ட்ரேட்டர் பணிகள், மறுபுறம், நெட்வொர்க் மற்றும் டைமர் தொகுதிகளின் உள்ளமைவை நிர்வகிக்கின்றன மற்றும் நிலுவையில் உள்ள பணிகளை ரத்து செய்யலாம்.
செயல்முறைகளை உருவாக்குதல், கோப்பு அணுகல் மற்றும் கணினி மெட்டாடேட்டாவை சேகரிப்பது உட்பட பல நிறைவேற்று பணிகள் அடையாளம் காணப்பட்டுள்ளன. டைமர் மாட்யூல் அவ்வப்போது C2 சேவையகத்தை நெட்வொர்க் மாட்யூலுடன் இணைந்து தொடர்பு கொள்கிறது, இது HTTPS POST கோரிக்கைகள் வழியாக C2 தொடர்பை எளிதாக்குகிறது. பணிகளைப் பதிவேற்றவும், அவற்றின் பெயர் குறிப்பிடுவது போல, கட்டளைகளின் முடிவுகள் மற்றும் ஏதேனும் எதிர்ப்பட்ட பிழைகளை அனுப்புவதற்கு பின்கதவை இயக்கவும்.
Deadglyph ஆனது கண்டறிதல் எதிர்ப்பு வழிமுறைகளின் ஒரு வரிசையைக் கொண்டுள்ளது, இதில் கணினி செயல்முறைகளின் தொடர்ச்சியான கண்காணிப்பு மற்றும் சீரற்ற பிணைய வடிவங்களை செயல்படுத்துதல் ஆகியவை அடங்கும். மேலும், கண்டறிவதற்கான வாய்ப்பைக் குறைக்க சில சூழ்நிலைகளில் சுய-நிறுவல் நீக்கும் திறனை இது கொண்டுள்ளது.
ஸ்டீல்த் பால்கன் சைபர் கிரைம் குழு ஒரு தசாப்தத்திற்கும் மேலாக செயல்பட்டு வருகிறது
FruityArmor என்றும் அழைக்கப்படும் Stealth Falcon, 2016 ஆம் ஆண்டில் மத்திய கிழக்கிற்குள் இலக்கு வைக்கப்பட்ட ஸ்பைவேர் தாக்குதல்களில் அதன் ஈடுபாட்டை ஆராய்ச்சியாளர்கள் கண்டறிந்தபோது, ஆரம்பத்தில் பொது கவனத்திற்கு வந்தது. இந்தத் தாக்குதல்கள் ஐக்கிய அரபு அமீரகத்தில் (UAE) உள்ள பத்திரிகையாளர்கள், ஆர்வலர்கள் மற்றும் எதிர்ப்பாளர்கள் மீது நடத்தப்பட்டன. அச்சுறுத்தல் நடிகர்கள் ஈட்டி-ஃபிஷிங் தந்திரங்களைக் கையாண்டனர். இந்த ஆவணங்கள் தன்னிச்சையான கட்டளைகளை செயல்படுத்தும் திறன் கொண்ட தனிப்பயன் உள்வைப்புக்கான விநியோக வழிமுறைகளாக செயல்பட்டன.
2019 ஆம் ஆண்டில் ஒரு அடுத்தடுத்த விசாரணையில், ப்ராஜெக்ட் ரேவன் என்ற பெயரில் ஒரு இரகசிய நடவடிக்கை வெளியானது, இதில் டார்க்மேட்டர் என்ற சைபர் பாதுகாப்பு நிறுவனத்தால் ஆட்சேர்ப்பு செய்யப்பட்ட முன்னாள் அமெரிக்க உளவுத்துறை நிபுணர்கள் குழு இடம்பெற்றது. அரபு முடியாட்சியை விமர்சிக்கும் நபர்கள் மீது கண்காணிப்பு நடத்துவதே அவர்களின் பணியாக இருந்தது. குறிப்பிடத்தக்க வகையில், ஸ்டீல்த் பால்கன் மற்றும் ப்ராஜெக்ட் ரேவன் இருவரும் ஒரே மாதிரியாகத் தோன்றுகிறார்கள், இது அவர்களின் பகிரப்பட்ட தந்திரோபாயங்கள் மற்றும் இலக்குகளால் நிரூபிக்கப்பட்டுள்ளது.
காலப்போக்கில், CVE-2018-8611 மற்றும் CVE-2019-0797 உள்ளிட்ட விண்டோஸில் பூஜ்ஜிய-நாள் பாதிப்புகளைப் பயன்படுத்துவதில் இந்தக் குழு இணைக்கப்பட்டுள்ளது. 2016 மற்றும் 2019 க்கு இடையில், இந்த உளவு குழு வேறு எந்த நிறுவனத்தையும் விட பூஜ்ஜிய நாள் பாதிப்புகளை அதிக அளவில் பயன்படுத்தியதாக தகவல் பாதுகாப்பு ஆராய்ச்சியாளர்கள் குறிப்பிட்டுள்ளனர்.
இதே காலகட்டத்தில், எதிரி Win32/StealthFalcon எனப்படும் பின்கதவைப் பயன்படுத்திக் காணப்பட்டார். இந்த அச்சுறுத்தல் Windows Background Intelligent Transfer Service (BITS)ஐ கட்டளை மற்றும் கட்டுப்பாடு (C2) தகவல்தொடர்புகளுக்கு பயன்படுத்தியது, இது தாக்குபவர்களுக்கு சமரசம் செய்யப்பட்ட இறுதிப்புள்ளிகளின் மீது முழுமையான கட்டுப்பாட்டை வழங்குகிறது.
