ព័ត៌មាន

ក្រុមហ៊ុន Microsoft រកឃើញនូវមេរោគថ្មី Malware “Astaroth” ដេលអាចហេគចូលទៅកាន់ Windows របស់អ្នកបាន

Sunday, ទី22 September, ឆ្នាំ2019 12:09 pm 0

យុទ្ធនាការមេរោគដែលគ្មានកំណត់ត្រាដែលត្រូវបានគេហៅថា Astaroth ត្រូវបានគេប្រទះឃើញជាមួយនឹងវិធីសាស្ត្រ “lived off the land” ដើម្បីវាយប្រហារអ្នកប្រើប្រាស់ Windows ដោយប្រើបច្ចេកទេសការគំរាមកំហែងជាប់លាប់ដើម្បីគេចពីការរកឃើញ។Microsoft បានរកឃើញមេរោគនេះដោយប្រើក្បួនដោះស្រាយការរកឃើញភាពមិនប្រក្រតី និងការសង្កេតនៃការកើនឡើងភ្លាមៗនៅក្នុងការប្រើរបស់ឧបករណ៍ Windows Management Instrumentation Command-line (WMIC)​ ដើម្បីដំណើរការស្គ្រីបព្យាបាទ។

 មេរោគដែលគ្មានឯកសារគឺជាប្រភេទនៃបច្ចេកទេសព្យាបាទដែលប្រើឧបករណ៍ប្រព័ន្ធដែលមានស្រាប់ហើយវាក៏រស់នៅក្នុងការចងចាំរបស់ម៉ាស៊ីនដែរដោយមិនបន្សល់ទុកនូវស្លាកស្នាមអ្វីឡើយបន្ទាប់ពីការប្រតិបត្តិរបស់វា។ គោលបំណងរបស់វាគឺចង់រស់នៅក្នុងតំបន់ប្រព័ន្ធដែលងាយនឹងបង្កជាហេតុដូចជា ប្រព័ន្ធចុះឈ្មោះ ដំណើរការក្នុងអង្គចងចាំ និងតំបន់សេវាកម្ម។Andrea Lelli មកពី Microsoft Defender ATP Research បានរកឃើញថាមេរោគគ្មានឯកសារ Astaroth រស់នៅក្នុងអង្គចងចាំដើម្បីលួចទិន្នន័យរសើបដូចជាព័ត៌មានបញ្ជាក់ ការវាយបញ្ចូលគ្រាប់ចុចនិងទិន្នន័យផ្សេងទៀតដែលអាចបញ្ជាក់ទិន្នន័យនិងចែករំលែកវាទៅអ្នកវាយប្រហារពីចម្ងាយ។

ជាទូទៅ មេរោគគ្មានឯកសារកំពុងដំណើរការស្គ្រីបសាមញ្ញនិងលេខកូដសែលសរសេរដោយផ្ទាល់ក្នុងអង្គចងចាំដោយប្រើឧបករណ៍គ្រប់គ្រងប្រព័ន្ធស្របច្បាប់ដោយមិនគិតពីប្រព័ន្ធប្រតិបត្តិការដើម្បីចៀសវាងការរកឃើញនិងប្រើឧបករណ៍ទាំងនោះដើម្បីដំណើរការទៅមុខសម្រាប់ការវាយប្រហារបន្តទៀតហៅថា “lived off the land” ដែលពិបាកខ្លាំងណាស់ក្នុងការរកឃើញដោយប្រើកម្មវិធីសុវត្ថិភាពប្រពៃណី។ក្នុងករណីនេះ ការវាយប្រហារដំឡើង Astaroth ដោយសម្ងាត់ទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ ហើយវាធ្វើដំណើរឆ្លងកាត់បណ្តាញដើម្បីលួចទិន្នន័យពីប្រព័ន្ធផ្សេងទៀតនៅក្នុងបណ្តាញ។

ដំណើរការឆ្លងមេរោគ Astaroth

អ្នកវាយប្រហារផ្ញើសារអេឡិចត្រូនិចឆបោកទៅប្រព័ន្ធគោលដៅជាមួយឯកសារ LNK។ នៅពេលជនរងគ្រោះចុចពីរដងលើវា ឯកសារ LNK ចាប់ផ្តើមប្រតិបត្តិឧបករណ៍ WMIC នៅទីបំផុតវាទាញយកនិងប្រតិបត្តិកូដ JavaScript ។កូដ Javascript បំពានឧបករណ៍ Bitsadmin ដើម្បីទាញយកបន្ទុកដែលត្រូវបាន Base64-encoded និងឌិកូដដោយប្រើឧបករណ៍ Certutil ។ឧបករណ៍មួយទៀតដែលមានឈ្មោះថា Regsvr៣២ បន្ទាប់មកត្រូវបានប្រើដើម្បីផ្ទុក DLLs ឌិកូដមួយដែលជាការឌិគ្រីបនិងផ្ទុកឯកសារផ្សេងទៀតរហូតដល់ការទូទាត់ចុងក្រោយ Astaroth ត្រូវបានបញ្ចូលទៅក្នុងដំណើរការនៃការប្រើ Userinit។ 

យោងតាមរបាយការណ៍របស់ Microsoft​ “ខ្សែសង្វាក់វាយប្រហារខាងលើបង្ហាញតែដំណាក់កាលដំបូងនិងដំណើរការប្រតិបត្តិប៉ុណ្ណោះ។ នៅក្នុងដំណាក់កាលទាំងនេះ អ្នកវាយប្រហារបានប្រើបច្ចេកទេសដែលគ្មានឯកសារដើម្បីព្យាយាមតំឡើងមេរោគនៅលើឧបករណ៍គោលដៅ។ Astaroth គឺជាអ្នកលួចព័ត៌មានដែលមានកេរ្តិ៍ឈ្មោះជាមួយនឹងសមត្ថភាពក្រោយការរំលោភបំពានជាច្រើនទៀតដែលមិនត្រូវបានពិភាក្សានៅក្នុងប្លក់នេះ។ ការការពារការវាយប្រហារក្នុងដំណាក់កាលទាំងនេះគឺសំខាន់ណាស់។“ការដែលគ្មានឯកសារមិនមែនមានន័យថាយើងមើលមិនឃើញទេ។ វាមិនមានន័យថាមិនអាចរកឃើញបានទេ។ ដោយប្រើបច្ចេកវិជ្ជាជឿនលឿន Microsoft Defender ATP បង្ហាញនូវការគំរាមកំហែងដែលគ្មានកំណត់ដូចជា Astaroth មុនពេលការវាយប្រហារទាំងនេះអាចបណ្តាលឱ្យមានការខូចខាតកាន់តែច្រើន” ។

image

image

Tags: