អ្នកជំនាញព្រមានពីការលួចរបស់ទ្វារក្រោយ PowerShell ក្លែងជាធ្វើបច្ចុប្បន្នភាពវីនដូ

0

បញ្ហាទ្វារក្រោយ PowerShell (backdoor) ពុំមានឯកសារបញ្ជាក់ និងមិនអាចរកឃើញ (FUD) ទាល់តែសោះ ពីការលួចបន្លំដោយក្លែងខ្លួនជាផ្នែកមួយនៃដំណើរការធ្វើបច្ចុប្បន្នភាពវីនដូ។ Tomer Bar ប្រធានផ្នែកស្រាវជ្រាវសុវត្ថិភាពនៅ SafeBreach បានថ្លែងនៅក្នុងរបាយការណ៍ថាៈ វិធីសាស្រ្តអភិវឌ្ឍខ្លួនដោយសម្ងាត់ និងពាក់ព័ន្ធការប្រើ C2 command ជាការងារ១ ដ៏ទំនើប ដែលហេគឃ័រមិនស្គាល់អត្តសញ្ញាណបានវាយប្រហារលើជនរងគ្រោះប្រមាណជា ១០០នាក់។ ពាក់ព័ន្ធនឹងហេគឃ័រមិនស្គាល់អត្តសញ្ញាណនោះ មានខ្សែច្រវាក់វាយប្រហារ ដែលប្រើ មេរោគជាអាវុធវាយលើឯកសារ Microsoft Word បើយោងតាមការបង្ហោះពីក្រុមហ៊ុន១ នៅ Jordan កាលពីខែសីហា ឆ្នាំ២០២២។

ពាក់ព័ន្ធនឹងឯកសារ ទិន្នន័យមេតា បានបង្ហាញថា ការឈ្លានពានគឺជាការវាយប្រហារបែប spear-phishing ដែលមានមូលដ្ឋាននៅ LinkedIn ដែលចុងក្រោយនាំឱ្យមានប្រតិបត្តិការ PowerShell script តាមរយៈចំណែកនៃកូដម៉ាក្រូ ដែលត្រូវបានបង្កប់។

The PoweShell scsript (Script1.ps1) ត្រូវបានបង្កើតឡើងដើម្បីភ្ជាប់ទៅបញ្ជាម៉ាស៊ីនមេ command-and-control (C2) និងទទួលយក command ដែលត្រូវបានដាក់បញ្ចូលទៅក្នុងម៉ាស៊ីនសម្របសម្រួល ដោយមធ្យោបាយនៃ PowerShell scsript (temp.ps1) ទី២។ ប៉ុន្តែ បញ្ហាផ្នែកសុវត្ថិភាពដែលឆ្លៀតឱកាសដោយហេគឃ័រ បានប្រើឧបករណ៍កំណត់អត្តសញ្ញាណបន្ថែម ដើម្បីកំណត់ជនរងគ្រោះនីមួយៗ (ឧទាហរណ៍ៈ ០, ១, ២ ។ល។) សម្រាប់ការបង្កើតឡើងវិញនូវ command C2 ដោយម៉ាស៊ីមមេ។

គួរកត់សម្គាល់ផងដែរថា command ខ្លះមានស្រង់ចេញនូវបញ្ជីដំណើរការ, រាប់ឯកសារនៅក្នុង folder ជាក់លាក់, ដាក់ដំណើរការ whaomi command, និងលុបឯកសារ នៅក្នុង folder អ្នកប្រើសាធារណៈ។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែតុលា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here