មេរោគ BlackByte កំណត់គោលដៅ Drivers ស្របច្បាប់ដើម្បីឆ្លងកាត់ផលិតផលសុវត្ថិភាព

0

ប្រតិបត្តិករ មេរោគ BlackByte កំពុងកេងប្រវ័ញ្ចកំហុសនៅក្នុងកម្មវិធីបញ្ជា Windows ដែលអនុញ្ញាតឱ្យពួកគេបិទកម្មវិធីបញ្ជាច្រើនជាង ១ ០០០កម្មវិធី។ តាមរយៈការប្រើប្រាស់វិធីសាស្ត្រ Bring Your Own Driver (BYOD) វាអាចអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងបិទផលិតផលសុវត្ថិភាពមួយចំនួន។

នៅក្នុងហេតុការណ៍វាយប្រហារថ្មីៗ មេរោគ BlackByte បំពានលើ Micro-Star’s MSI AfterBurner 4.6.2.15658 ដោយវាជាឧបករណ៍ធ្វើ Overclock កាតក្រាហ្វិក ដែលត្រូវបានប្រើយ៉ាងទូលំទូលាយ ដោយមានការប្រើ Drivers ចំនួន២ មានដូចជា RTCore64.sys និង RTCore32.sys។

ពួកគេបានកេងប្រវ័ញ្ចលើ driver ងាយរងគ្រោះដើម្បីលុប callback entries របស់ drivers ដែលប្រើដោយផលិតផល EDR ចេញពីអង្គចងចាំ kernel ដោយសរសេរបន្ថែមលើពួកវាដោយលេខសូន្យ។ លេខកូដត្រួតពិនិត្យ input-output ដែលមិនបានការពារនៅក្នុង RTCore64.sys អនុញ្ញាតឱ្យមានដំណើរការអាន និងសរសេរទៅកាន់អង្គចងចាំ kernel។ បច្ចេកទេស BYOD អនុញ្ញាតឱ្យអ្នកវាយប្រហារទម្លាក់កំណែ driver ដែលងាយរងគ្រោះនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ បន្ទាប់​មកធ្វើការ​បំពាន​វា​ដើម្បី​លុប​ callbacks ​នៃ​ការ​បង្កើត​ដំណើរការ​ពី​អង្គ​ចងចាំ kernel។

នៅក្នុងការវាយប្រហារទាំងនេះ ប្រតិបត្តិករ BlackByte បានប្រើយុទ្ធសាស្ត្រជាច្រើនដើម្បីការពារខ្លួនពីការវិភាគរបស់អ្នកស្រាវជ្រាវសន្តិសុខដូចជាបិទមុខងារ ETW (Event Tracing for Windows) Microsoft-Windows-Threat-Intelligence អនុវត្តការត្រួតពិនិត្យប្រឆាំងការវិភាគ និងទទួលបានសិទ្ធិខ្ពស់ជាង ប្រើកូដស្វែងរកសញ្ញានៃកម្មវិធីបំបាត់កំហុសដែលកំពុងដំណើរការនៅលើប្រព័ន្ធគោលដៅ ហើយប្រសិនបើរកឃើញ មេរោគនឹងត្រូវបានបញ្ចប់។ បន្ថែមលើសពីនេះ អ្នកគំរាមកំហែងថែមទាំងបានប្រើមេរោគ (malware) ពិនិត្យរកមើលវត្តមាននៃបញ្ជី DLLs ដែលត្រូវបានប្រើប្រាស់ដោយផលិតផលសុវត្ថិភាពដូចជា Comodo Internet Security, Avast, Windows DbgHelp Library និង Sandboxie ហើយនៅពេលដែលវារកឃើញ វាបញ្ចប់ដោយខ្លួនវាផ្ទាល់។

យ៉ាងណាមិញ អ្នកជំនាញបានណែនាំឱ្យអ្នកប្រើប្រាស់តាមដានភាពងាយរងគ្រោះទាំងអស់នៅក្នុងកម្មវិធីបញ្ជាដែលបានប្រើ ហើយរក្សាធ្វើបច្ចុប្បន្បភាពកម្មវិធីទាំងនោះដើម្បីបន្តការពារប្រព័ន្ធពីការគំរាមកំហែងបែបនេះ៕

ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន cyware ចុះផ្សាយថ្ងៃទី១១ ខែតុលា ឆ្នាំ២០២២

LEAVE A REPLY

Please enter your comment!
Please enter your name here