Computer Security தாக்குதலுக்கு உள்ளான அமெரிக்க விண்வெளித் துறை: புதிய பவர்...
யுஎஸ் ஈரோஸ்பேஸ் தொழில் பவர் டிராப் மால்வேர் தாக்குதல்

முன்னர் அடையாளம் காணப்படாத சைபர் அச்சுறுத்தல் நடிகர், பவர் டிராப் எனப்படும் புதிதாகக் கண்டுபிடிக்கப்பட்ட பவர்ஷெல் அடிப்படையிலான தீம்பொருளைப் பயன்படுத்துவதன் மூலம் அமெரிக்க விண்வெளித் துறையை நோக்கி அவர்களின் கவனத்தை செலுத்துகிறார். இந்த மேம்பட்ட தீம்பொருள் பல்வேறு ஏமாற்றும் தந்திரங்கள், குறியாக்க நுட்பங்கள் மற்றும் குறியாக்கத்தைக் கண்டறிவதைத் தவிர்க்கப் பயன்படுத்துகிறது. "PowerDrop" என்ற பெயர் Windows PowerShell கருவி மற்றும் "DROP" (DRP) சரத்தை அதன் திணிப்புக்கான குறியீட்டில் உள்ளடங்கியதன் மூலம் பெறப்பட்டது.

PowerDrop என்பது ஒரு பிந்தைய சுரண்டல் கருவியாகும், இது மாற்று முறைகள் மூலம் அங்கீகரிக்கப்படாத அணுகலைப் பெற்ற பிறகு சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளில் இருந்து முக்கியமான தகவலை சேகரிக்க வடிவமைக்கப்பட்டுள்ளது. கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பைத் தீர்க்க, தீம்பொருள் இணையக் கட்டுப்பாட்டு செய்தி நெறிமுறை (ICMP) எதிரொலி கோரிக்கை செய்திகளை பீக்கான்களாகப் பயன்படுத்துகிறது. C2 சேவையகம் பின்னர் மறைகுறியாக்கப்பட்ட கட்டளைகளுடன் டிகோட் செய்யப்பட்டு சமரசம் செய்யப்பட்ட ஹோஸ்டில் செயல்படுத்தப்படுகிறது. இதேபோல், ஒரு ICMP பிங் செய்தி இந்த வழிமுறைகளின் முடிவுகளை வெளியேற்றுவதை நோக்கமாகக் கொண்டுள்ளது.

குறிப்பிடத்தக்க வகையில், PowerDrop Windows Management Instrumentation (WMI) சேவையை பவர்ஷெல் கட்டளைகளை செயல்படுத்த உதவுகிறது, இது கண்டறிதலைத் தவிர்க்க "லிவிங்-ஆஃப்-தி-லேண்ட்" நுட்பங்களைப் பயன்படுத்துவதை அச்சுறுத்துகிறது. தீம்பொருளின் முக்கிய இயல்பு விதிவிலக்காக அதிநவீனமானதாக இல்லாவிட்டாலும், சந்தேகத்திற்கிடமான செயல்பாடுகளை மழுங்கடிக்கும் மற்றும் இறுதிப்புள்ளி பாதுகாப்பைத் தவிர்ப்பதற்கான அதன் திறன் மேம்பட்ட அச்சுறுத்தல் நடிகர்களின் ஈடுபாட்டைக் குறிக்கிறது.

திருட்டுத்தனமான மால்வேர் தாக்குதலின் தந்திரங்களை வெளிப்படுத்துதல்

சமீபத்தில் கண்டுபிடிக்கப்பட்ட தீம்பொருள், மேம்பட்ட இயந்திர கற்றல் கண்டறிதல் அமைப்பு மூலம் பாதுகாப்பு ஆராய்ச்சியாளர்களால் வெளிச்சத்திற்கு கொண்டு வரப்பட்டது - பவர்ஷெல் ஸ்கிரிப்ட் செயல்பாட்டின் உள்ளடக்கத்தை ஆராயும் சக்திவாய்ந்த தொழில்நுட்பம், இந்த மழுப்பலான அச்சுறுத்தலை அடையாளம் காண உதவுகிறது. இருப்பினும், இந்த முன்னேற்றம் இருந்தபோதிலும், சரியான தொற்று சங்கிலி மற்றும் PowerDrop இன் ஆரம்ப சமரசம் ஆகியவை மர்மத்தில் மறைக்கப்பட்டுள்ளன.

பவர் டிராப் ஸ்கிரிப்டை வரிசைப்படுத்த தாக்குபவர்களால் பயன்படுத்தப்படும் சாத்தியமான முறைகளை ஆய்வாளர்கள் ஊகிக்கின்றனர். பாதிப்புகளை சுரண்டுவது, பாதிக்கப்பட்டவர்களை குறிவைக்க ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்துவது அல்லது ஏமாற்றும் மென்பொருள் பதிவிறக்க தளங்களின் ஏமாற்றும் தந்திரத்தை நாடுவது ஆகியவை இதில் அடங்கும். PowerDrop அமைப்புகளில் ஊடுருவிய சரியான வழி இன்னும் தீர்மானிக்கப்படவில்லை. அதன் மறைவான இயல்பை மேம்படுத்த, ஸ்கிரிப்ட் Base64 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகிறது, இது பின்கதவு அல்லது தொலைநிலை அணுகல் ட்ரோஜனாக (RAT) செயல்பட அனுமதிக்கிறது. இந்த அதிநவீன நுட்பம், கண்டறிதலைத் தவிர்க்கவும், சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் நிலைத்திருக்கவும் PowerDrop ஐ செயல்படுத்துகிறது.

கணினி பதிவுகளை ஆராய்வது பவர் டிராப்பின் செயல்பாட்டின் முக்கிய நுண்ணறிவுகளை வெளிப்படுத்துகிறது. 'SystemPowerManager' என்ற தனித்துவமான பெயருடன், தீங்கிழைக்கும் ஸ்கிரிப்ட், முன்னர் பதிவுசெய்யப்பட்ட WMI நிகழ்வு வடிப்பான்கள் மற்றும் நுகர்வோரை திறம்பட பயன்படுத்தியது என்று பகுப்பாய்வு வெளிப்படுத்தியது. 'wmic.exe' கட்டளை-வரி கருவியைப் பயன்படுத்தி கணினியை சமரசம் செய்வதன் மூலம் தீம்பொருளே இந்த புத்திசாலித்தனமாக உருமறைப்பு பொறிமுறையை உருவாக்கியது.

PowerDrop இன் தனித்துவமான குணாதிசயங்களின் வெளிப்பாடு நவீன கால இணைய அச்சுறுத்தல்களின் நுட்பமான தன்மையை வெளிச்சம் போட்டுக் காட்டுகிறது. சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் கண்டறிதலைத் தவிர்க்கும் மற்றும் இரகசியமாகச் செயல்படும் திறனுடன், பவர் டிராப் டிஜிட்டல் நிலப்பரப்பில் தீங்கிழைக்கும் நடிகர்களின் நிலையான பரிணாமம் மற்றும் புத்திசாலித்தனத்தை எடுத்துக்காட்டுகிறது.

முன்னர் அடையாளம் காணப்படாத சைபர் அச்சுறுத்தல் நடிகர், பவர் டிராப் எனப்படும் புதிதாகக் கண்டுபிடிக்கப்பட்ட பவர்ஷெல் அடிப்படையிலான தீம்பொருளைப் பயன்படுத்துவதன் மூலம் அமெரிக்க விண்வெளித் துறையை நோக்கி அவர்களின் கவனத்தை செலுத்துகிறார். இந்த மேம்பட்ட தீம்பொருள் பல்வேறு ஏமாற்றும் தந்திரங்கள், குறியாக்க நுட்பங்கள் மற்றும் குறியாக்கத்தைக் கண்டறிவதைத் தவிர்க்கப் பயன்படுத்துகிறது. "PowerDrop" என்ற பெயர் Windows PowerShell கருவி மற்றும் "DROP" (DRP) சரத்தை திணிப்பிற்கான அதன் குறியீட்டில் ஒருங்கிணைத்ததன் மூலம் பெறப்பட்டது.

PowerDrop என்பது ஒரு பிந்தைய சுரண்டல் கருவியாகும், இது மாற்று முறைகள் மூலம் அங்கீகரிக்கப்படாத அணுகலைப் பெற்ற பிறகு சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளில் இருந்து முக்கியமான தகவலை சேகரிக்க வடிவமைக்கப்பட்டுள்ளது. கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பைத் தீர்க்க, தீம்பொருள் இணையக் கட்டுப்பாட்டு செய்தி நெறிமுறை (ICMP) எதிரொலி கோரிக்கை செய்திகளை பீக்கான்களாகப் பயன்படுத்துகிறது. C2 சேவையகம் பின்னர் மறைகுறியாக்கப்பட்ட கட்டளைகளுடன் டிகோட் செய்யப்பட்டு சமரசம் செய்யப்பட்ட ஹோஸ்டில் செயல்படுத்தப்படுகிறது. இதேபோல், ஒரு ICMP பிங் செய்தி இந்த வழிமுறைகளின் முடிவுகளை வெளியேற்றுவதை நோக்கமாகக் கொண்டுள்ளது.

குறிப்பிடத்தக்க வகையில், PowerDrop, Windows Management Instrumentation (WMI) சேவையைப் பயன்படுத்தி, PowerShell கட்டளைகளைச் செயல்படுத்துகிறது, இது அச்சுறுத்தல் நடிகரின் "Living-off-the-land" நுட்பங்களைப் பயன்படுத்தி கண்டறிதலைத் தவிர்க்கிறது. தீம்பொருளின் முக்கிய இயல்பு விதிவிலக்காக அதிநவீனமானதாக இல்லாவிட்டாலும், சந்தேகத்திற்கிடமான செயல்பாடுகளை மழுங்கடிக்கும் மற்றும் இறுதிப்புள்ளி பாதுகாப்பைத் தவிர்ப்பதற்கான அதன் திறன் மேம்பட்ட அச்சுறுத்தல் நடிகர்களின் ஈடுபாட்டைக் குறிக்கிறது.

திருட்டுத்தனமான மால்வேர் தாக்குதலின் தந்திரங்களை வெளிப்படுத்துதல்

சமீபத்தில் கண்டுபிடிக்கப்பட்ட தீம்பொருள், மேம்பட்ட இயந்திர கற்றல் கண்டறிதல் அமைப்பு மூலம் பாதுகாப்பு ஆராய்ச்சியாளர்களால் வெளிச்சத்திற்கு கொண்டு வரப்பட்டது - பவர்ஷெல் ஸ்கிரிப்ட் செயல்பாட்டின் உள்ளடக்கத்தை ஆராயும் சக்திவாய்ந்த தொழில்நுட்பம், இந்த மழுப்பலான அச்சுறுத்தலை அடையாளம் காண உதவுகிறது. இருப்பினும், இந்த முன்னேற்றம் இருந்தபோதிலும், சரியான தொற்று சங்கிலி மற்றும் PowerDrop இன் ஆரம்ப சமரசம் ஆகியவை மர்மத்தில் மறைக்கப்பட்டுள்ளன.

பவர் டிராப் ஸ்கிரிப்டை வரிசைப்படுத்த தாக்குபவர்களால் பயன்படுத்தப்படும் சாத்தியமான முறைகளை ஆய்வாளர்கள் ஊகிக்கின்றனர். பாதிப்புகளை சுரண்டுவது, பாதிக்கப்பட்டவர்களை குறிவைக்க ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்துவது அல்லது ஏமாற்றும் மென்பொருள் பதிவிறக்க தளங்களின் ஏமாற்றும் தந்திரத்தை நாடுவது ஆகியவை இதில் அடங்கும். PowerDrop அமைப்புகளில் ஊடுருவிய சரியான வழி இன்னும் தீர்மானிக்கப்படவில்லை. அதன் மறைவான இயல்பை மேம்படுத்த, ஸ்கிரிப்ட் Base64 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகிறது, இது பின்கதவு அல்லது தொலைநிலை அணுகல் ட்ரோஜனாக (RAT) செயல்பட அனுமதிக்கிறது. இந்த அதிநவீன நுட்பம், கண்டறிதலைத் தவிர்க்கவும், சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் நிலைத்திருக்கவும் PowerDrop ஐ செயல்படுத்துகிறது.

கணினி பதிவுகளை ஆராய்வது பவர் டிராப்பின் செயல்பாட்டின் முக்கிய நுண்ணறிவுகளை வெளிப்படுத்துகிறது. 'SystemPowerManager' என்ற தனித்துவமான பெயருடன், தீங்கிழைக்கும் ஸ்கிரிப்ட், முன்னர் பதிவுசெய்யப்பட்ட WMI நிகழ்வு வடிப்பான்கள் மற்றும் நுகர்வோரை திறம்பட பயன்படுத்தியது என்று பகுப்பாய்வு வெளிப்படுத்தியது. 'wmic.exe' கட்டளை-வரி கருவியைப் பயன்படுத்தி கணினியை சமரசம் செய்வதன் மூலம் தீம்பொருளே இந்த புத்திசாலித்தனமாக உருமறைப்பு பொறிமுறையை உருவாக்கியது.

PowerDrop இன் தனித்துவமான குணாதிசயங்களின் வெளிப்பாடு நவீன கால இணைய அச்சுறுத்தல்களின் நுட்பமான தன்மையை வெளிச்சம் போட்டுக் காட்டுகிறது. சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் கண்டறிதலைத் தவிர்க்கும் மற்றும் இரகசியமாகச் செயல்படும் திறனுடன், பவர் டிராப் தீங்கிழைக்கும் நடிகர்களின் நிலையான பரிணாமத்தையும் டிஜிட்டல் நிலப்பரப்பில் புத்தி கூர்மையையும் எடுத்துக்காட்டுகிறது.

தாக்குதலுக்கு உள்ளான அமெரிக்க விண்வெளித் துறை: புதிய பவர் டிராப் மால்வேரின் அறிமுகம் ஸ்கிரீன்ஷாட்கள்

ஏற்றுகிறது...