ព័ត៌មាន

Microsoft ព្រមានពីការវាយប្រហារនៃមេរោគ Astaroth Fileless Malware

Saturday, ទី27 July, ឆ្នាំ2019 17:07 pm 0

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខនៅក្រុមហ៊ុន Microsoft ចេញផ្សាយព័ត៌មានលម្អិតអំពីយុទ្ធនាការ រីករាលដាលថ្មីមួយដែលចែកចាយព័ត៌មានមិនល្អមួយនៃមេរោគ fileless malware ដែលត្រូវគេ រកឃើញជាគោលដៅសម្រាប់អ្នកប្រើប្រាស់អឺរ៉ុប និងប្រេស៊ីលកាលពីដើមឆ្នាំនេះ។ មានឈ្មោះថា Astaroth ដែលជាមេរោគ Trojan ដែលត្រូវបង្កើតឡើងចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2017 និងរចនាឡើងដើម្បីលួចយកព័ត៌មានរសើបរបស់អ្នកប្រើដូចជាព័ត៌មានសម្គាល់អត្តសញ្ញាណ keystrokes និង ទិន្នន័យផ្សេងទៀតរបស់ពួកគេដោយមិនចាំបាច់ទម្លាក់ឯកសារណាមួយនៅលើ disk ឬដំឡើងកម្មវិធីណាមួយនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។

ដំបូងគេរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវនៅ Cybereason ក្នុងខែកុម្ភៈឆ្នាំនេះ Astaroath រស់ នៅលើដីដោយការរត់ payload ដោយផ្ទាល់ទៅក្នុងការចងចាំនៃកុំព្យូទ័រគោលដៅ ឬដោយការប្រើ ឧបករណ៍ប្រព័ន្ធស្របច្បាប់ដូចជា WMIC, Certutil, Bitsadmin និង Regsvr32 ដើម្បីដំណើរការ ព្យាបាទកូដ។

ខណៈពេលកំពុងពិនិត្យមើលទិន្នន័យប្រព័ន្ធស្ទង់មតិ window លោក Andrea Lelli អ្នកស្រាវជ្រាវនៅ ក្រុមការងារការពារក្រុមហ៊ុន ATP របស់ក្រុមហ៊ុន Microsoft កាលពីពេលថ្មីៗនេះប្រទះឃើញការ កើនឡើងនៃការប្រើប្រាស់ឧបករណ៍គ្រប់គ្រងពាក្យបញ្ជា (WMIC) ដែលនាំអោយមានការបង្ហាញពីការ វាយប្រហារ fileless។ ការស៊ើបអង្កេតបន្ថែមទៀតបង្ហាញថាអ្នកវាយប្រហារនៅពីក្រោយយុទ្ធនាការនេះកំពុងចែកចាយ Astaroth malware តាមរយៈអ៊ីម៉ែលឆបោក ជាមួយនឹងតំណភ្ជាប់ដែលមានគំនិតអាក្រក់ទៅគេហទំព័រ បង្ហោះឯកសារផ្លូវកាត់ LNK shortcut file មួយ។

ការចុចលើឯកសារផ្លូវកាត់ដំណើរការកម្មវិធី WMIC ដែលមានភ្ជាប់ជាមួយ Windows ដែល download និងប្រតិបត្តិកូដ JavaScript ដែលរំលោភបំពាន បន្ថែមទៀតនូវឧបករណ៍ Bitsadmin ដើម្បីទាញយកឯកសារទាំងអស់ដែលមានគ្រោះថ្នាក់ផ្សេងទៀត ដែលពិតជាអនុវត្តភារកិច្ចដែលមានគ្រោះថ្នាក់នៃការលួចទិន្នន័យ និងផ្ទុកទិន្នន័យរបស់ជនរងគ្រោះ ខណៈពេលដែលក្លែងខ្លួនជាប្រព័ន្ធដំណើរការ។

អ្នកស្រាវជ្រាវរូបនេះនិយាយនៅក្នុងប្លុកមួយដែលចេញផ្សាយកាលពីថ្ងៃចន្ទថា “រាល់ការបង់ ប្រាក់ទាំងអស់គឺ Base64-encoded និង decoded ដោយប្រើ Certutil tool។ ពីរនាក់ក្នុងចំនោមពួកវា មានលទ្ធផលជាឯកសារ DLL ធម្មតា”។”ឧបករណ៍ Regsvr32 ត្រូវប្រើដើម្បីផ្ទុក decoded DLL ដែលនៅទីបំផុតនឹងឌិគ្រីប និងផ្ទុកឯកសារ ផ្សេងទៀតរហូតដល់ការគិតថ្លៃចុងក្រោយគឺ Astaroth ត្រូវចាក់បញ្ចូលទៅក្នុងដំណើរការ Userinit” ។

នេះមានន័យថាមេរោគមិនពឹងផ្អែកលើការទាញយកមេរោគ Trojan ណាដើម្បី download នៅលើ ប្រពន្ធ័គោលដៅឡើយ។ ផ្ទុយទៅវិញវាពឹងផ្អែកទាំងស្រុងលើឧបករណ៍ប្រព័ន្ធ system tool និង ពាក្យបញ្ជាក្នុងអំឡុងពេលខ្សែសង្វាក់វាយប្រហារទាំងមូលរបស់ខ្លួនដើម្បីក្លែងបន្លំជាសកម្មភាពធម្មតា។ បច្ចេកវិជ្ជានេះត្រូវគេហៅថា “ការរស់នៅក្រៅដី” ហើយអនុញ្ញាតឱ្យមេរោគនេះគេចពីការរក ឃើញពីដំណោះស្រាយសុវត្ថិភាពកំចាត់មេរោគចុងបំផុតដែលផ្អែកលើការវិភាគឯកសារ static។ ដំណាក់កាលចូលដំណើរការ និងដំណាក់កាលប្រតិបត្តិដំបូងដើម្បីដំឡើងកម្មវិធី Astaroth ដោយស្ងាត់ ៗ នៅលើឧបករណ៍គោលដៅត្រូវបង្ហាញនៅក្នុងខ្សែសង្វាក់នៃការវាយប្រហារខាងលើ។

នៅពេលដែលនៅលើប្រព័ន្ធគោលដៅ Astaroth ព្យាយាមលួចយកព័ត៌មានរសើបដូចជាលិខិត សម្គាល់ keystrokes និងទិន្នន័យផ្សេងទៀត ហើយផ្ញើវាទៅម៉ាស៊ីនមេពីចម្ងាយដែលគ្រប់គ្រងដោយ អ្នកវាយប្រហារ។ អ្នកវាយប្រហារនោះអាចប្រើទិន្នន័យលួចនេះដើម្បីព្យាយាមធ្វើ “ផ្លាស់ទីឆ្លងតាម បណ្តាញ network អនុវត្តចោរកម្មហិរញ្ញវត្ថុ ឬលក់ព័ត៌មានជនរងគ្រោះ underground”។ ក្រុមហ៊ុន Microsoft និយាយថាលក្ខណៈពិសេសនៃការការពារជំនាន់ក្រោយរបស់ ATP ការពាររបស់ខ្លួន អាចរកឃើញការវាយប្រហារមេរោគដោយគ្មានកំហុសបែបណានៅដំណាក់កាលនៃការឆ្លងមេរោគ នីមួយៗ ហើយដំណោះស្រាយសុវត្ថិភាពឯកសារផ្តោតសំខាន់ៗដទៃទៀតបរាជ័យក្នុងការការពារ អតិថិជនរបស់ពួកគេ។ លោក Andrea និយាយថា: “ការគ្មានឯកសារមិនមានន័យថាមិនអាច មើលឃើញទេ វាមិនមានន័យថាមិនអាចរកឃើញទេ វាមិនមានអ្វីដូចជាឧក្រិដ្ឋកម្មអ៊ីនធឺរណិត ល្អឥតខ្ចោះនោះទេ សូម្បីតែមេរោគ malware ដែលគ្មានឯកសារទុកភស្ដុតាងវែងឆ្ងាយ។ ដើម្បីដឹង បន្ថែមអំពីមេរោគ Astaroth អ្នកអាចទៅរកការប្រកាសកំណត់ហេតុបណ្ដាញ Cybereason ដែល ចេញផ្សាយនៅខែកុម្ភៈឆ្នាំនេះលម្អិតស៊ីជម្រៅអំពីដំណើរការនៃមេរោគ និងសមត្ថភាពរបស់វា។

image

image

Tags: