இரட்டை பேலோட் தீம்பொருள் பிரச்சாரம்
புதிதாகக் கண்டறியப்பட்ட ஒரு தீம்பொருள் தாக்குதல், ஒரே நேரத்தில் இரண்டு வெவ்வேறு அச்சுறுத்தல்களைப் பரப்பும் திறன் காரணமாக, இணையப் பாதுகாப்பு சமூகத்தில் குறிப்பிடத்தக்க கவனத்தை ஈர்த்து வருகிறது. Gh0st RAT மற்றும் CloverPlus ஆகிய இரண்டையும் ஒரே ஊடுருவப்பட்ட கணினியில் செலுத்துவதற்கு, தெளிவற்ற ஒரு லோடர் பயன்படுத்தப்படுகிறது.
இந்தக் கலவையானது அசாதாரணமானது மற்றும் மிகவும் உத்திப்பூர்வமானது. Gh0st RAT, பாதிக்கப்பட்ட கணினியின் மீது முழுமையான தொலைநிலைக் கட்டுப்பாட்டை வழங்குகிறது, அதே நேரத்தில் CloverPlus உலாவிச் செயல்பாடுகளைக் கையாளுதல், விளம்பரக் கூறுகளைச் செருகுதல் மற்றும் ஊடுருவும் பாப்-அப்கள் மூலம் வருவாய் ஈட்டுதல் ஆகியவற்றில் கவனம் செலுத்துகிறது. இந்த இரட்டைப் பயன்பாடு, அச்சுறுத்தல் செய்பவர்கள் தொடர்ச்சியான அங்கீகரிக்கப்படாத அணுகலைப் பராமரிக்கும் அதே வேளையில், நிகழ்நேரத்தில் அந்தப் பாதிப்பிலிருந்து வருவாய் ஈட்டவும் அனுமதிக்கிறது.
இந்தத் தாக்குதல் நடவடிக்கை, பல சுமைகளை ஒரே நேரத்தில் செலுத்தும் முறையை நோக்கிய ஒரு வளர்ந்து வரும் போக்கை எடுத்துக்காட்டுகிறது. இதன் மூலம், தாக்குதல் நடத்துபவர்கள் ஒரே ஒரு ஊடுருவலின் வழியாகத் தங்களது செயல்பாட்டுத் திறனையும் நிதி வருவாயையும் உச்சத்திற்குக் கொண்டு செல்கின்றனர்.
பொருளடக்கம்
குழப்ப உத்திகள்: பேலோடை மறைத்தல்
இந்தத் தாக்குதலின் மையத்தில் உள்ள லோடர், இரகசியமாகச் செயல்படுவதற்காக வடிவமைக்கப்பட்டுள்ளது. இது, வழக்கமான கண்டறியும் வழிமுறைகளைத் தவிர்ப்பதற்காக, மறைகுறியாக்க நுட்பங்களைப் பயன்படுத்தி, தனது வளப் பிரிவில் இரண்டு மறைகுறியாக்கப்பட்ட தரவுகளைப் பொதிந்துள்ளது.
AdWare.Win32.CloverPlus என அடையாளம் காணப்பட்டு, wiseman.exe என்ற இயங்கு கோப்புடன் தொடர்புடைய CloverPlus ஆட்வேர் தொகுதியுடன் இதன் செயலாக்கம் தொடங்குகிறது. இந்தக் கூறு, உலாவியின் தொடக்க அமைப்புகளை மாற்றியமைத்து, நீடித்த பாப்-அப் விளம்பரங்களைச் செருகுகிறது.
இதைத் தொடர்ந்து, லோடர் அதன் இயக்கப் பாதையை மதிப்பிடுகிறது. அது கணினியின் %temp% கோப்பகத்திலிருந்து இயங்கவில்லை என்றால், தொடர்வதற்கு முன் அங்கு அதன் ஒரு நகலை உருவாக்குகிறது. அடுத்த கட்டத்தில், தீம்பொருள் பைனரிக்குள் ஒரு மறைகுறியாக்கப்பட்ட வளமாக மறைக்கப்பட்டிருக்கும் Gh0st RAT கிளையன்ட் தொகுதியை மறைகுறியாக்கம் நீக்குவது அடங்கும்.
மறைகுறியாக்கம் நீக்கப்பட்டவுடன், அந்த தீம்பொருள் உள்ளடக்கத்திற்கு ஒரு தோராயமான கோப்புப் பெயரை ஒதுக்கி, அதை C:\ டிரைவின் மூலத்தில் அமைந்துள்ள தோராயமான பெயரிடப்பட்ட கோப்புறையில் சேமிக்கிறது, இது கண்டறிதலையும் பகுப்பாய்வையும் மேலும் சிக்கலாக்குகிறது.
நிலத்தை நம்பி வாழ்தல்: நம்பகமான கருவிகள், தீய நோக்கம்
மறைகுறியாக்கம் நீக்கப்பட்ட தரவைச் செயல்படுத்த, அந்தத் தீம்பொருள் முறையான விண்டோஸ் பயன்பாடான rundll32.exe-ஐப் பயன்படுத்துகிறது. இந்த அணுகுமுறை, நம்பகமான கணினிச் செயல்முறை என்ற போர்வையில் தீங்கிழைக்கும் குறியீட்டைச் செயல்படுத்த உதவுகிறது, இதன்மூலம் பாதுகாப்பு அமைப்புகளைத் தூண்டும் வாய்ப்பைக் கணிசமாகக் குறைக்கிறது.
செயல்படத் தொடங்கியவுடன், Gh0st RAT ஆனது MAC முகவரி மற்றும் வன்வட்டு வரிசை எண் போன்ற தனித்துவமான அடையாளங்காட்டிகளைச் சேகரிப்பதன் மூலம், பாதிக்கப்பட்ட கணினியின் விவரங்களை ஆராயத் தொடங்குகிறது. இந்த விவரங்கள், தாக்குபவரின் கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்பில் பாதிக்கப்பட்ட கணினியைப் பதிவு செய்யப் பயன்படுத்தப்படுகின்றன. இதன் மூலம், பாதிக்கப்பட்ட ஹோஸ்ட்களைத் துல்லியமாகக் கண்காணித்து நிர்வகிப்பது உறுதி செய்யப்படுகிறது.
நிலைத்தன்மை வழிமுறைகள்: நீண்ட கால அணுகலை உறுதி செய்தல்
கணினி மறுதொடக்கம் செய்யப்பட்ட பிறகும் அணுகலைத் தக்கவைப்பது இந்த பிரச்சாரத்தின் ஒரு முக்கிய நோக்கமாகும். Gh0st RAT, இயக்க முறைமையின் ஆழத்தில் பொதிந்துள்ள பல நுட்பங்கள் மூலம் இந்த நிலைத்தன்மையை அடைகிறது:
கணினி தொடங்கும் போது தானாகவே இயங்குவதை உறுதிசெய்ய, விண்டோஸ் ரன் ரெஜிஸ்ட்ரி கீயில் மாற்றம் செய்தல்.
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip இன் கீழ் உள்ள தொலைநிலை அணுகல் சேவைப் பாதையில் ஒரு தீங்கிழைக்கும் DLL பதிவு செய்யப்பட்டுள்ளது.
இந்த முறைகள், தொடர்புடைய சேவை தொடங்கப்படும்போதெல்லாம் தீம்பொருளுக்கு சிஸ்டம்-நிலை சிறப்புரிமைகளை வழங்கி, மேலும் பயனர் தலையீட்டின் தேவையை நீக்கி, நீண்டகாலக் கட்டுப்பாட்டை வலுப்படுத்துகின்றன.
கண்டறிதல் மற்றும் தற்காப்பு: சமரசத்தின் குறிகாட்டிகள்
இந்த பிரச்சாரத்தின் தாக்கம் தனிநபர்களுக்கும் நிறுவனங்களுக்கும் கணிசமானது. ஆட்வேர் கூறு உலாவியின் செயல்பாட்டை சீர்குலைத்து, தீங்கிழைக்கும் விளம்பரங்களுக்கான பாதிப்பை அதிகரிக்கும் அதே வேளையில், RAT கூறு தரவுத் திருட்டு, விசை அழுத்தப் பதிவு, பாதுகாப்பை மீறுதல் மற்றும் தொடர்ச்சியான சிறப்புரிமை பெற்ற அணுகல் ஆகியவற்றைச் சாத்தியமாக்குகிறது.
பாதுகாப்புக் குழுக்கள் விழிப்புடன் இருந்து, பாதுகாப்பு மீறப்பட்டதற்கான பின்வரும் அறிகுறிகளைக் கண்காணிக்க வேண்டும்:
- வழக்கத்திற்கு மாறான அல்லது சந்தேகத்திற்குரிய கோப்பகங்களிலிருந்து DLL-கள் அல்லது வழக்கத்திற்கு மாறான கோப்பு நீட்டிப்புகளை ஏற்றும் rundll32.exe-இன் செயல்பாடு.
- %temp% கோப்புறையிலிருந்து தொடங்கும் செயல்பாட்டு செயல்முறை
- ரெஜிஸ்ட்ரி ரன் கீகள் அல்லது ரிமோட் அக்சஸ் சேவை உள்ளமைவுகளில் அங்கீகரிக்கப்படாத மாற்றங்கள்
- சாண்ட்பாக்ஸ் கண்டறிதலைத் தவிர்ப்பதற்கு பிங் அடிப்படையிலான தாமதங்களைப் பயன்படுத்துதல்
- இயல்புக்கு மாறான DNS போக்குவரத்து முறைகள் மற்றும் கணினி ஹோஸ்ட் கோப்பில் ஏற்படும் எதிர்பாராத மாற்றங்கள்
இந்த அதிநவீன இரட்டை அச்சுறுத்தல் தீம்பொருள் தாக்குதலால் ஏற்படும் அபாயங்களைக் குறைப்பதற்கு, இந்த சமிக்ஞைகளை முன்கூட்டியே கண்காணிப்பதும், அவற்றுக்கு விரைவாகப் பதிலளிப்பதும் இன்றியமையாதவை.
