HTTPSnoop மால்வேர்
மத்திய கிழக்கில் தொலைத்தொடர்பு சேவை வழங்குனர்களை குறிவைக்கும் சைபர் தாக்குதல்களின் அலையானது HTTPSnoop மற்றும் PipeSnoop எனப்படும் புதிய மால்வேர் விகாரங்களின் வரிசைப்படுத்தலுடன் இணைக்கப்பட்டுள்ளது. இந்த அச்சுறுத்தும் கருவிகள், சமரசம் செய்யப்பட்ட சாதனங்கள் மீது ரிமோட் கண்ட்ரோலைப் பெற அச்சுறுத்தல் நடிகர்களுக்கு உதவுகிறது.
HTTPSnoop தீம்பொருள் Windows HTTP கர்னல் இயக்கிகள் மற்றும் சாதனங்களை HTTP(S) URLகள் வழியாக பாதிக்கப்பட்ட எண்ட்பாயிண்ட்களில் குறிப்பிட்ட உள்ளடக்கத்தைச் செயல்படுத்த உதவுகிறது. மறுபுறம், பைப்ஸ்னூப் பெயரிடப்பட்ட குழாய் மூலம் தன்னிச்சையான ஷெல்கோடுகளைப் பெறவும் செயல்படுத்தவும் வடிவமைக்கப்பட்டுள்ளது.
இந்தத் தாக்குதல் பிரச்சாரத்தை வெற்றிகரமாகக் கண்டறிந்த இணையப் பாதுகாப்பு ஆய்வாளர்கள் வெளியிட்ட அறிக்கையின்படி, HTTPSnoop மற்றும் PipeSnoop இரண்டும் ஒரே ஊடுருவல் குழுவிற்குக் காரணம், 'ShroudedSnooper' என அடையாளம் காணப்பட்டது. இருப்பினும், இரண்டு அச்சுறுத்தல்களும் அவற்றின் ஊடுருவலின் அளவின் அடிப்படையில் வேறுபட்ட செயல்பாட்டு நோக்கங்களுக்காக சேவை செய்கின்றன.
HTTPSnoop மால்வேர் தாக்குபவர்களுக்கு சிறப்புச் செயல்களைச் செய்கிறது
HTTPSnoop பாதிக்கப்பட்ட சாதனத்தில் HTTP(S) டிராஃபிக்கைக் கண்காணிக்க குறைந்த-நிலை Windows APIகளைப் பயன்படுத்துகிறது, குறிப்பாக முன் வரையறுக்கப்பட்ட URLகளை குறிவைக்கிறது. இந்த URLகளைக் கண்டறிந்ததும், தீம்பொருள் அவற்றிலிருந்து உள்வரும் base64-குறியீடு செய்யப்பட்ட தரவை டிகோட் செய்து, சமரசம் செய்யப்பட்ட ஹோஸ்டில் ஷெல்கோடாகச் செயல்படுத்துகிறது.
DLL கடத்தல் மூலம் இலக்கு அமைப்பில் செயல்படுத்தப்பட்ட இந்த பாதுகாப்பற்ற உள்வைப்பு, இரண்டு முக்கிய கூறுகளை உள்ளடக்கியது: முதலில், நிலை 2 ஷெல்கோடு, கர்னல் அழைப்புகள் மூலம் பின்கதவு வலை சேவையகத்தை அமைப்பதற்கு பொறுப்பாகும், இரண்டாவது அதன் கட்டமைப்பு.
HTTPSnoop ஒரு கேட்கும் வளையத்தை நிறுவுகிறது, உள்வரும் HTTP கோரிக்கைகளுக்காக பொறுமையாக காத்திருக்கிறது, மேலும் அவை வந்தவுடன் சரியான தரவை திறம்பட செயலாக்குகிறது. உள்வரும் தரவு செல்லுபடியாகாத சந்தர்ப்பங்களில், மால்வேர் HTTP 302 திசைதிருப்பலை வழங்கும்.
பெறப்பட்ட ஷெல்கோடு மறைகுறியாக்கப்பட்டவுடன், அது உடனடியாகச் செயல்படுத்தப்படுகிறது, மேலும் செயல்படுத்தும் முடிவுகள், base64-குறியீடு செய்யப்பட்ட XOR-குறியீடு செய்யப்பட்ட தரவுத் தொகுதிகள் வடிவில் தாக்குபவர்களுக்கு அனுப்பப்படும்.
கூடுதலாக, இந்த உள்வைப்பு, சர்வரில் முன்னர் உள்ளமைக்கப்பட்ட URLகளுடன் முரண்பாடுகளைத் தவிர்க்க முன்னெச்சரிக்கை நடவடிக்கைகளை எடுக்கிறது, கவனக்குறைவான மோதல்கள் இல்லாமல் சுமூகமான செயல்பாட்டை உறுதி செய்கிறது.
வல்லுநர்கள் பல HTTPSnoop மால்வேர் வகைகளை கண்டுபிடித்துள்ளனர்
HTTPSnoop இன் மூன்று வேறுபட்ட வகைகள் உள்ளன, ஒவ்வொன்றும் தனிப்பட்ட URL கேட்கும் முறைகளைப் பயன்படுத்துகின்றன. முதல் மாறுபாடு பொது HTTP URL அடிப்படையிலான கோரிக்கைகளை கண்காணிக்கிறது, இரண்டாவது மாறுபாடு Microsoft Exchange Web Service ஐப் பிரதிபலிக்கும் URL களில் கவனம் செலுத்துகிறது. மூன்றாவது மாறுபாடு, இதற்கிடையில், OfficeCore இன் LBS/OfficeTrack மற்றும் தொலைபேசி பயன்பாடுகளைப் பின்பற்றும் URLகளை குறிவைக்கிறது.
இந்த மாறுபாடுகள் ஏப்ரல் 2023 இல் கண்டுபிடிக்கப்பட்டன, குறிப்பாக, மிகச் சமீபத்தியது அதன் திருட்டுத்தனமான திறன்களை மேம்படுத்தும் வகையில் கண்காணிக்கும் URLகளின் எண்ணிக்கையைக் குறைக்கிறது.
Microsoft Exchange Web Services மற்றும் OfficeTrack ஆகியவற்றுடன் தொடர்புடைய முறையான URL வடிவங்களைப் பின்பற்றுவதன் மூலம், இந்த மோசடியான கோரிக்கைகள் தீங்கற்ற போக்குவரத்தை ஒத்திருக்கின்றன, இது முறையான கோரிக்கைகளிலிருந்து அவற்றை வேறுபடுத்துவது மிகவும் சவாலானது.
தீம்பொருளின் எப்போதும் உருவாகி வரும் நிலப்பரப்பு நமது டிஜிட்டல் யுகத்தில் ஒரு வலிமையான மற்றும் தொடர்ச்சியான அச்சுறுத்தலை ஏற்படுத்துகிறது. தீம்பொருள் ஒரு தொல்லை மட்டுமல்ல, தனிநபர்கள், நிறுவனங்கள் மற்றும் நாடுகளுக்கு கூட அழிவை ஏற்படுத்தும் வல்லமை வாய்ந்த எதிரியாகும். இந்த இடைவிடாத அச்சுறுத்தலுக்கு எதிராக விழிப்புணர்வு, கல்வி மற்றும் வலுவான இணைய பாதுகாப்பு நடவடிக்கைகள் ஆகியவை எங்களின் சிறந்த பாதுகாப்பு ஆகும். தகவலறிந்து இருப்பது மற்றும் ஆன்லைன் பாதுகாப்பில் சிறந்த நடைமுறைகளைப் பின்பற்றுவது ஒரு தேர்வு மட்டுமல்ல; நமது டிஜிட்டல் வாழ்க்கையைப் பாதுகாப்பதிலும், ஒன்றோடொன்று இணைக்கப்பட்ட உலகத்தின் ஒருமைப்பாட்டைப் பாதுகாப்பதிலும் இது அவசியம்.
