ព័ត៌មាន

ក្រុមហេគឃ័រប្រើប្រាស់បច្ចេកទេសថ្មី Code Injection Technique ក្នុងការគេចផុតពីការស្រាវជ្រាវ

ខណៈពេលដែលកំពុងតែមានការវិភាគយ៉ាងស៊ីជម្រៅទៅលើគំរូនៃមេរោគជាច្រើននោះ ក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Cyberbit រកឃើញនូវបច្ចេកទេស code injection technique ថ្មីដែលត្រូវគេដាក់ឈ្មោះហៅថា Early Bird ដែលប្រើប្រាស់យ៉ាងហោចណាស់នូវមេរោគចំនួន 3 សម្រាប់ជួយអ្នកវាយប្រហារគេចផុតពីការស្រាវជ្រាវនោះ។

image

Early Bird គឺជាបច្ចេកទេសដ៏សាមញ្ញដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចធ្វើការប្រើប្រាស់នូវ malicious code ដែលគេចផុតពីការស្រាវជ្រាវរបស់ Windows hook engines ដែលប្រើប្រាស់នៅក្នុងកម្មវិធីកម្ចាត់មេរោគជាច្រើននោះ។

បច្ចេកទេស Early Bird code injection technique ផ្ទុកនូវកូដមេរោគ ហើយវាអាចដំណើរការបានដោយកម្មវិធីកម្ចាត់មេរោគមិនអាចរកឃើញនោះទេ។ បច្ចេកទេសនេះគឺស្រដៀងគ្នាទៅនឹង AtomBombing code injection technique ដែលមិនងាយស្រួលក្នុងការចាប់បាននោះទេ ហើយមេរោគនេះក៏គេចផុតពីការចាប់របស់ anti-malware tools ផងដែរ។

វិធីសាស្រ្ត Early Bird code injection method ផ្អែកទៅលើ APC (Asynchronous Procedure Calls) function នៅក្នុង Windows ដែលអនុញ្ញាតឱ្យកម្មវិធីជាច្រើនប្រតិបត្តិនូវកូដបាន។ តាមការបញ្ជាក់របស់អ្នកស្រាវជ្រាវ យ៉ាងហោចណាស់មេរោគចំនួន 3 ដែលត្រូវប្រើប្រាស់នៅក្នុង Early Bird code injection នេះ។

  • មេរោគ “TurnedUp” backdoor អភិវឌ្ឍដោយក្រុមហេគ (APT33) របស់ជនជាតិអ៊ឺរ៉ង់

  • មេរោគ “Carberp” banking malware

  • មេរោគ “DorkBot” malware

នៅក្នុងការរកឃើញដំបូងបំផុតដោយ FireEye នៅក្នុងខែកញ្ញាឆ្នាំ 2017 នោះ មេរោគ TurnedUp គឺជាបច្ចេកទេស Backdoor សម្រាប់ប្រមូលទិន្នន័យចេញពីប្រព័ន្ធគោលដៅ ការថតរូបភាព screenshots រួមទាំងការប្រមូលទិន្នន័យប្រព័ន្ធទាំងមូលផងដែរ។

 image

ត្រឡប់ទៅកាន់ឆ្នាំ 2012 វិញ DorBot គឺជាប្រភេទមេរោគ botnet malware ដែលចែកចាយតាមរយៈតំណរ Links នៅលើបណ្តាញសង្គម ការប្រើប្រាស់នៅក្នុងកម្មវិធី messaging apps សម្រាប់ការលួចនូវទិន្នន័យរបស់អ្នកប្រើប្រាស់នៅលើសេវាកម្មអនឡាញរួមមានសេវាកម្មធនាគារតាមរយៈការវាយប្រហារ denial-of-service (DDoS) attacks ការផ្ញើរនូវ Spam និងការចែកចាយមេរោគ Malware ទៅកាន់កុំព្យូទ័ររបស់ជនរងគ្រោះតែម្តង៕