டீப்லோட் மால்வேர்
புதிதாக அடையாளம் காணப்பட்ட ஒரு தாக்குதல் முறையானது, பாதிப்பைத் தொடங்குவதற்காக கிளிக்ஃபிக்ஸ் (ClickFix) சமூகப் பொறியியல் நுட்பத்தைப் பயன்படுத்துகிறது. புனையப்பட்ட ஒரு கணினிச் சிக்கலைத் தீர்ப்பது போன்ற போர்வையில், தீங்கிழைக்கும் பவர்ஷெல் (PowerShell) கட்டளைகளை விண்டோஸ் ரன் (Run) உரையாடல் பெட்டியில் ஒட்டுவதன் மூலம், பாதிக்கப்பட்டவர்கள் அவற்றை இயக்குமாறு கையாளப்படுகிறார்கள். இந்த ஆரம்பக் கட்டமானது, mshta.exe என்ற முறையான விண்டோஸ் பயன்பாட்டைப் பயன்படுத்தி, தெளிவற்ற பவர்ஷெல் அடிப்படையிலான ஒரு லோடரைப் பெற்று இயக்குகிறது.
பொருளடக்கம்
ஏமாற்றுவதற்காக வடிவமைக்கப்பட்ட தெளிவின்மை
பவர்ஷெல் லோடர், அதிகப்படியான மற்றும் அர்த்தமற்ற மாறி ஒதுக்கீடுகள் மூலம் அதன் உண்மையான நோக்கத்தை மறைத்து, நிலையான பகுப்பாய்வை கணிசமாகச் சிக்கலாக்குகிறது. இந்த மறைப்பு அடுக்கைக் கட்டமைப்பதற்கும், அதன் நுட்பத்தை அதிகரிப்பதற்கும் செயற்கை நுண்ணறிவு கருவிகள் பயன்படுத்தப்பட்டிருக்கலாம் என்று சான்றுகள் தெரிவிக்கின்றன. இந்த அணுகுமுறை, தீம்பொருளானது செயல்பாட்டு ஒருமைப்பாட்டைப் பராமரிக்கும் அதே வேளையில், பாரம்பரிய கண்டறிதல் வழிமுறைகளைத் தவிர்க்க உதவுகிறது.
அமைப்பு உருமறைப்பு மூலம் மறைந்திருத்தல்
டீப்லோட், வழக்கமான விண்டோஸ் செயல்பாடுகளுடன் தடையின்றி ஒன்றிப்போகும் வகையில் பிரத்யேகமாக வடிவமைக்கப்பட்டுள்ளது. இதன் பேலோட், விண்டோஸ் லாக் ஸ்கிரீனை நிர்வகிக்கும் ஒரு முறையான செயல்முறையான LockAppHost.exe என்ற பெயரில் உள்ள ஒரு இயங்கு கோப்பிற்குள் மறைக்கப்பட்டுள்ளது. தனது இருப்பை மேலும் மறைப்பதற்காக, இந்த மால்வேர் பவர்ஷெல் கட்டளை வரலாற்றை முடக்கி, வழக்கமான பவர்ஷெல் கட்டளைகளைச் சார்ந்திருப்பதற்குப் பதிலாக, விண்டோஸின் உள்ளார்ந்த முக்கிய செயல்பாடுகளை நேரடியாக அழைக்கிறது. இந்த உத்தி, பவர்ஷெல் செயல்பாட்டைக் கண்காணிக்கும் கண்காணிப்பு அமைப்புகளிடமிருந்து தப்பிக்க இதற்கு உதவுகிறது.
கோப்பு இல்லாத நுட்பங்கள் மற்றும் டைனமிக் பேலோட் உருவாக்கம்
கண்டறிதலைக் குறைப்பதற்காக, DeepLoad வட்டில் நிலையான தடயங்களை விட்டுச் செல்வதைத் தவிர்க்கிறது. இது PowerShell-இன் Add-Type அம்சத்தைப் பயன்படுத்தி, C# குறியீட்டைத் தொகுத்து பயனரின் Temp கோப்பகத்தில் சேமிக்கப்படும் ஒரு தற்காலிக DLL கோப்பாக மாற்றி, ஒரு இரண்டாம் நிலைக் கூறினை இயங்குநிலையில் உருவாக்குகிறது. ஒவ்வொரு இயக்கமும் ஒரு தனித்துவமான பெயரிடப்பட்ட கோப்பை உருவாக்குகிறது, இதன் மூலம் அறியப்பட்ட கையொப்பங்களைச் சார்ந்திருக்கும் கோப்பு அடிப்படையிலான கண்டறிதல் முறைகளைத் திறம்படத் தவிர்க்கிறது.
இரகசிய மரணதண்டனைக்கான மேம்பட்ட ஊசி
ஒரு முக்கியத் தவிர்ப்பு உத்தியானது, ஒத்திசைவற்ற செயல்முறை அழைப்பு (APC) ஊடுருவலைப் பயன்படுத்துவதை உள்ளடக்கியுள்ளது. அந்தத் தீம்பொருள், ஒரு முறையான விண்டோஸ் செயல்முறையை இடைநிறுத்தப்பட்ட நிலையில் தொடங்கி, அதன் நினைவகத்தில் நேரடியாக ஷெல்கோடைச் செலுத்தி, பின்னர் மீண்டும் இயக்கத்தைத் தொடங்குகிறது. இந்த முறையானது, தீங்கிழைக்கும் உள்ளீட்டின் குறியீட்டை நீக்கிய பதிப்பை வட்டில் எழுதாமல், அது ஒரு நம்பகமான செயல்முறைக்குள் இயங்குவதை உறுதிசெய்கிறது. இது அதன் தடயவியல் தடயத்தைக் கணிசமாகக் குறைக்கிறது.
தொடர்ச்சியான நற்சான்றிதழ் திருட்டு வழிமுறைகள்
DeepLoad, செயல்படுத்தப்பட்ட உடனேயே பயனரின் முக்கியமான தரவுகளைப் பிரித்தெடுக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. அதன் திறன்களில் பின்வருவன அடங்கும்:
- பாதிக்கப்பட்ட கணினியிலிருந்து சேமிக்கப்பட்ட உலாவி கடவுச்சொற்களை நேரடியாகப் பெறுதல்
நீக்கக்கூடிய ஊடகங்கள் வழியாக பக்கவாட்டு பரவல்
இந்த மால்வேர், நீக்கக்கூடிய சேமிப்பக சாதனங்களைச் சுரண்டும் வகையில் வடிவமைக்கப்பட்ட பரவல் நுட்பங்களைக் கொண்டுள்ளது. USB டிரைவ்கள் அல்லது அதுபோன்ற ஊடகங்களைக் கண்டறிந்தவுடன், அது முறையான இன்ஸ்டாலர்கள் போல வேடமிட்ட தீங்கிழைக்கும் குறுக்குவழி கோப்புகளை நகலெடுக்கிறது. இந்தக் கோப்புகள் நம்பகமானவை போலத் தோற்றமளிக்கும் வகையில் பெயரிடப்பட்டுள்ளன, இது பயனர் தொடர்பு மற்றும் மேலும் தொற்று ஏற்படுவதற்கான வாய்ப்பை அதிகரிக்கிறது.
WMI துஷ்பிரயோகம் மூலம் ஏற்படும் அமைதியான மறுதொற்று
டீப்லோட், விண்டோஸ் மேலாண்மை கருவியாக்கத்தைப் (WMI) பயன்படுத்தி நிலைத்தன்மையை நிறுவுகிறது. இது, பயனர் தலையீடோ அல்லது தாக்குபவரின் ஈடுபாடோ தேவையின்றி, மூன்று நாட்கள் தாமதத்திற்குப் பிறகு மறுதொற்றைத் தூண்டும் நிகழ்வு சந்தாக்களை உருவாக்குகிறது. மேலும், இந்த நுட்பம் எதிர்பார்க்கப்படும் மூல-குழந்தை செயல்முறை உறவுகளை உடைப்பதன் மூலம், பாரம்பரிய கண்டறிதல் மாதிரிகளையும் சீர்குலைக்கிறது.
மூலோபாய நோக்கம்: முழுமையான கொலைச் சங்கிலி பாதுகாப்பு
DeepLoad-இன் ஒட்டுமொத்த வடிவமைப்பு, முழு சைபர் கில் செயின் முழுவதும் செயல்களைச் செயல்படுத்தும் திறன் கொண்ட ஒரு பல்நோக்கு மால்வேர் கட்டமைப்பைக் குறிக்கிறது. அதன் செயல்பாட்டு உத்தி பின்வருவனவற்றில் கவனம் செலுத்துகிறது:
- கண்டறியப்படுவதற்கான வாய்ப்புகளைக் குறைக்க, வட்டு சார்ந்த கலைப்பொருட்களைத் தவிர்த்தல்
- சட்டப்பூர்வமான விண்டோஸ் செயல்முறைகளுக்குள் தீங்கிழைக்கும் செயல்பாட்டைக் கலத்தல்
- தனது தடத்தை விரிவுபடுத்துவதற்காக அமைப்புகள் முழுவதும் வேகமாகப் பரவுகிறது
அளவிடக்கூடிய அச்சுறுத்தல் கட்டமைப்பின் குறிகாட்டிகள்
டீப்லோடுடன் தொடர்புடைய உள்கட்டமைப்பு மற்றும் கூறுநிலை வடிவமைப்பு, பகிரப்பட்ட அல்லது சேவை அடிப்படையிலான வரிசைப்படுத்தல் மாதிரிக்கான சாத்தியத்தைக் காட்டுகின்றன. இதன் பண்புகள், சேவையாகத் தீம்பொருள் (MaaS) வழங்கல்களுடன் ஒத்துப்போகும் அதே வேளையில், இந்த வகைப்பாட்டைத் திட்டவட்டமாக உறுதிப்படுத்த தற்போது போதுமான சான்றுகள் இல்லை.
