ក្រុមអ្នកស្រាវជ្រាវរកឃើញយុទ្ធនាការចែកចាយមេរោគ malware ថ្មីហៅថា ‘Process Ghosting’

0

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពអ៊ីនធឺរណិតរកឃើញនូវការវាយប្រហារថ្មីដែលមានឈ្មោះហៅថា “Process Ghosting” ដែលអាចដំណើរការកូដមេរោគនៅលើប្រព័ន្ធ​ Windows system បាន។ អ្នកស្រាវជ្រាវសុវត្ថិភាព Gabriel Landau របស់ក្រុមហ៊ុន Elastic Security និយាយថា “ជាមួយនឹងវិធីសាស្រ្តថ្មីនេះ អ្នកវាយប្រហារអាចធ្វើការសរសេរនូវមេរោគ malware មួយដែលពិបាកក្នុងការស្កេន ឬលុបចោលណាស់។ បច្ចេកទេសនេះមិនមានការពាក់ព័ន្ធទៅនឹង code injection, Process Hollowing ឬ Transactional NTFS (TxF) នោះទេ។”

Process Ghosting នេះគឺជាវិធីសាស្រ្ត endpoint bypass ដូចទៅនឹងដំណើរការ Process Doppelgänging ឬ Process Herpaderping ដែលអាចធ្វើការប្រតិបត្តិទៅលើកូដមេរោគបានថែមទៀត។ Process Doppelgänging គឺមានការពាក់ព័ន្ធទៅនឹងដាក់ដាក់កូដមេរោគនៅលើសេវាកម្មណាមួយនៅក្នុងប្រព័ន្ធរបស់កុំព្យូទ័រ ខណៈពេលដែល Process Herpaderping ពាក់ព័ន្ធទៅនឹងការដំណើរការនៅលើ Disk បន្ទាប់ពីរូបភាពត្រូវបាន map ទៅលើម៉េមូរីរួច។

Process Ghosting ពិតជាមានសមត្ថភាពក្នុងការដំណើរការនូវ Doppelgänging និង Herpaderping បានពិតមែន។ នៅក្នុងការបង្ហាញនៅក្នុង proof-of-concept (PoC) នោះ ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា Windows Defender មានសមត្ថភាពក្នុងការរកឃើញ ប៉ុន្តែមិនអាចធ្វើអ្វីបាននោះទេដោយសារតែមេរោគនេះស្ថិតនៅក្នុង delete-pending state ។ គួរបញ្ជាក់ផងដែរថា ក្រុមហ៊ុន Microsoft ក៏បានធ្វើការអាប់ដេតទៅលើ version នៃ Sysinternals Suite របស់ខ្លួនដើម្បីពង្រឹងទៅលើ System Monitor ឬ Sysmon utility ក្នុងការរកអោយឃើញនូវការវាយប្រហារ Process Herpaderping និង Process Hollowing នេះ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here