ព័ត៌មាន

sLoad 2.0 – មេរោគ malware ដែលផ្អែកនៅលើ PowerShell កំពុងតែឆ្លងនៅលើ Windows Systems

ក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Microsoft រកឃើញមេរោគក្នុង PowerShell មានឈ្មោះថា sLoad២.០ ជំនាន់ថ្មីមួយ ដែលប្រើ Background Intelligent Transfer Service (BITS) សម្រាប់សកម្មភាពព្យាបាទវាយប្រហារលើប្រព័ន្ធ Windows។ ក្រុមហ៊ុន Microsoft ហៅកំណែថ្មីនេះថា “ Starslord” ដោយផ្អែកលើលេខកូដមេរោគ ហើយកំណែថ្មី Sload ២.០ ភ្ជាប់មកជាមួយល្បិច អាចប្រឆាំងនឹងការវិភាគដែលវាជួយអ្នកវាយប្រហារបំបែកម៉ាស៊ីនវិភាគមេរោគ និងម៉ាស៊ីនគោលដៅជាក់ស្តែង។

image

ក្រុមអ្នកស្រាវជ្រាវជឿជាក់ថា កំណែថ្មីនៃយុទ្ធនាការ Sload មានលក្ខណៈស្រដៀងនឹងកំណែមុន ហើយអ្នកនិពន្ធមេរោគបន្ថែមបច្ចុប្បន្នភាពមួយចំនួន។ នៅក្នុងការធ្វើបច្ចុប្បន្នភាពថ្មី  អ្នកវាយប្រហារបន្ថែមបញ្ជីនៃម៉ាស៊ីនមេបញ្ជានិងម៉ាស៊ីន(C២) និងបញ្ចូលរូបថតអេក្រង់។ 

ដំណើរការនៃការចម្លងមេរោគ Sload ២.០

អ្នកវាយប្រហារបើកដំណើរការមេរោគTrojan ដំបូងតាមរយៈយុទ្ធនាការអ៊ីម៉ែលសារឥតការជាមួយនឹងឯកសារភ្ជាប់ដែលគំនិតអាក្រក់ ដែលមានស្គ្រីប WSF និងឯកសារ GIF ។  Windows Script File(WSF) គឺជាប្រភេទហ្វាល ដែល Microsoft Windows Script Host​ប្រើប្រាស់។ វាអនុញ្ញាតិឱ្យមានដំណើរការ Jscript ភាសា និង VBScript ជាមួយនឹងហ្វាលមួយ ឬភាសាស្គ្រីបផ្សេងទៀតដូចជា Perl, Object REXX, Python, ឬ Kixtart បើសិនជាអ្នកប្រើប្រាស់តម្លើងវា។ ស្គ្រីប WSF សំដែងជា BITS និងចាប់ផ្តើមដំណើរការទាញស្គ្រីបជាមួយមុខងារបន្ថែម .jpg។

 image

<random>.ps1 ឌីគ្រីបជា main.ini ដើម្បីដំណើរការជាអ្នកចម្លង ដូជជាគ្រប់គ្រងទិន្ន័យ  ទាញយក payload បន្ថែមទៀត និងតាមដានការតាមដាន និងប្រព័ន្ធវិភាគផ្សេងទៀត។  ដើម្បី    អនុវត្តវិធានការណ៍ប្រឆាំងនឹងការវិភាគ Starslord ភ្ជាប់មកជាមួយមុខងារដែលមានឈ្មោះថាcheckUniverse ដើម្បីកំណត់ថា ម៉ាស៊ីននោះជាម៉ាស៊ីនវិភាគ។ អ្នកវាយប្រហារក៏អាចតាមដាន និងប្រមូលផ្តុំផលផលប៉ះពាល់ម៉ាស៊ីនដោយផ្អែកលើដំណាក់កាលនៃការចម្លងមេរោគដោយប្រើ Starslord  ដែលអាចអនុញ្ញាតឱ្យមានផ្លូវឆ្លងពិសេស។ ខ្សែសង្វាក់នៃការវាយប្រហារពហុដំណាក់កាលរបស់ sLoad  តាមរយៈការប្រើប្រាស់ស្គ្រីបកម្រិតមធ្យម និង BITS ជាពិធីការជំនួស និងលក្ខណៈប៉ូលីមែរដែលបង្កើតមេរោគ ដែលជៀសផុតពីការរកឃើញ នេះបើយោងតាមការបញ្ចាក់របស់ Microsoft APT។