WinRAR SFX អាចដំណើរការបាននៅលើ PowerShell ដោយអ្នកគ្រប់គ្រងមិនអាចចាប់បាន

0

ក្រុមហេគឃ័រទើបតែបន្ថែមនូវមុខងារវាយប្រហារថ្មីតាមរយៈ WinRAR self-extracting archives ដែលអនុញ្ញាតអោយពួកគេអាចធ្វើការដាក់បញ្ចូលនូវមេរោគ backdoors បានទៅលើប្រព័ន្ធដែលជាគោលដៅរបស់ពួកគេ។ សម្រាប់Self-extracting archives (SFX) អាចបង្កើតនូវ  compression software ដូចជា WinRAR ឬ 7-Zip ដែលអាចចូលទៅក្នុងប្រព័ន្ធគោលដៅបាន។

អ្នកវិភាគរបស់ក្រុមហ៊ុន Crowdstrike បានប្រើប្រាស់នូវព័ត៌មានសម្ងាត់ដែលយកបានតាមរយៈ ‘utilman.exe’ និងបង្កើតនូវ password-protected SFX file ទៅលើប្រព័ន្ធ system នេះ។ Utilman អាចអនុញ្ញាតអោយហេគឃ័រអាច  bypass system authentication បានមុនពេលដែលអ្នកប្រើប្រាស់ធ្វើការ login ។

Password-protected SFX created with 7-Zip

Crowdstrike អះអាងថា​malicious SFX files ទាំងនេះអាចដំណើរបាន​ដោយកម្មវិធីចាប់មេរោគធម្មតាមិនអាចចាប់បាននោះទេ។ ជាធម្មតា SFX archive នេះដំនើរការនៅលើ​PowerShell ។ ក្រុមអ្នកស្រាវជ្រាវណែនាំអោយអ្នកប្រើប្រាស់មានការយកចិត្តទុកដាក់ខ្ពស់ទៅលើការប្រើប្រាស់នូវ SFX archives និងប្រើប្រាស់នូវកម្មវិធី software ដើម្បីឆែកមើលទៅលើ scripts ឬ  commands នៅពេលដែលមាន extraction កើតឡើង៕

ប្រភព៖ bleepingcomputer ចុះផ្សាយថ្ងៃទី 3 ខែមេសា ឆ្នាំ 2023

LEAVE A REPLY

Please enter your comment!
Please enter your name here