ಮಾರ್ಚ್ 2019 ರಲ್ಲಿ, ಸೈಬರ್ ಗುಂಪಿನ OceanLotus ನಿಂದ MacOS ಮಾಲ್ವೇರ್ನ ಹೊಸ ಮಾದರಿಯನ್ನು ಜನಪ್ರಿಯ ಆನ್ಲೈನ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸೇವೆಯಾದ VirusTotal ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ. ಬ್ಯಾಕ್ಡೋರ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ಮ್ಯಾಕೋಸ್ ಮಾಲ್ವೇರ್ನ ಹಿಂದಿನ ಆವೃತ್ತಿಯಂತೆಯೇ ಅದೇ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿದೆ, ಆದರೆ ಅದರ ರಚನೆಯು ಬದಲಾಗಿದೆ ಮತ್ತು ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಈ ಮಾದರಿಯೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಡ್ರಾಪರ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಮಗೆ ಸಾಧ್ಯವಾಗಲಿಲ್ಲ, ಆದ್ದರಿಂದ ನಮಗೆ ಇನ್ನೂ ಸೋಂಕಿನ ವೆಕ್ಟರ್ ತಿಳಿದಿಲ್ಲ.
ನಾವು ಇತ್ತೀಚೆಗೆ ಪ್ರಕಟಿಸಿದ್ದೇವೆ
ಅನಾಲಿಜ
ಮುಂದಿನ ಮೂರು ಭಾಗಗಳು SHA-1 ಹ್ಯಾಶ್ನೊಂದಿಗೆ ಮಾದರಿಯ ವಿಶ್ಲೇಷಣೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ E615632C9998E4D3E5ACD8851864ED09B02C77D2
. ಫೈಲ್ ಅನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ಬ್ಯಾಟರಿ ಬೆಳಕು, ESET ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳು ಇದನ್ನು OSX/OceanLotus.D ಎಂದು ಪತ್ತೆ ಮಾಡುತ್ತವೆ.
ವಿರೋಧಿ ಡೀಬಗ್ ಮಾಡುವಿಕೆ ಮತ್ತು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ರಕ್ಷಣೆ
ಎಲ್ಲಾ macOS OceanLotus ಬೈನರಿಗಳಂತೆ, ಮಾದರಿಯು UPX ನೊಂದಿಗೆ ಪ್ಯಾಕ್ ಮಾಡಲ್ಪಟ್ಟಿದೆ, ಆದರೆ ಹೆಚ್ಚಿನ ಪ್ಯಾಕೇಸರ್ ಗುರುತಿಸುವಿಕೆ ಉಪಕರಣಗಳು ಅದನ್ನು ಗುರುತಿಸುವುದಿಲ್ಲ. ಇದು ಬಹುಶಃ "UPX" ಸ್ಟ್ರಿಂಗ್ನ ಉಪಸ್ಥಿತಿಯ ಮೇಲೆ ಅವಲಂಬಿತವಾದ ಸಹಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಕಾರಣ, ಜೊತೆಗೆ, Mach-O ಸಹಿಗಳು ಕಡಿಮೆ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ಆಗಾಗ್ಗೆ ನವೀಕರಿಸಲಾಗುವುದಿಲ್ಲ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಸ್ಥಿರ ಪತ್ತೆಯನ್ನು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ. ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ ನಂತರ, ಪ್ರವೇಶ ಬಿಂದುವು ವಿಭಾಗದ ಆರಂಭದಲ್ಲಿದೆ __cfstring
ವಿಭಾಗದಲ್ಲಿ .TEXT
. ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಈ ವಿಭಾಗವು ಫ್ಲ್ಯಾಗ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದೆ.
ಚಿತ್ರ 1. MACH-O __cfstring ವಿಭಾಗದ ಗುಣಲಕ್ಷಣಗಳು
ಚಿತ್ರ 2 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ, ವಿಭಾಗದಲ್ಲಿನ ಕೋಡ್ ಸ್ಥಳಗಳು __cfstring
ಕೋಡ್ ಅನ್ನು ತಂತಿಗಳಾಗಿ ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಕೆಲವು ಡಿಸ್ಅಸೆಂಬಲ್ ಸಾಧನಗಳನ್ನು ಮೋಸಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಚಿತ್ರ 2. ಬ್ಯಾಕ್ಡೋರ್ ಕೋಡ್ ಅನ್ನು IDA ಯಿಂದ ಡೇಟಾದಂತೆ ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ
ಒಮ್ಮೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರ, ಬೈನರಿಯು ಆಂಟಿ-ಡೀಬಗರ್ ಆಗಿ ಥ್ರೆಡ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಇದರ ಏಕೈಕ ಉದ್ದೇಶವು ಡೀಬಗರ್ ಇರುವಿಕೆಯನ್ನು ನಿರಂತರವಾಗಿ ಪರಿಶೀಲಿಸುವುದು. ಈ ಹರಿವಿಗೆ:
- ಯಾವುದೇ ಡೀಬಗರ್ ಅನ್ನು ಅನ್ಹುಕ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಕರೆ ಮಾಡುತ್ತಿದೆ ptrace
с PT_DENY_ATTACH
ವಿನಂತಿಯ ನಿಯತಾಂಕವಾಗಿ
- ಕಾರ್ಯವನ್ನು ಕರೆಯುವ ಮೂಲಕ ಕೆಲವು ವಿಶೇಷ ಪೋರ್ಟ್ಗಳು ತೆರೆದಿವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ task_get_exception_ports
- ಧ್ವಜದ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಡೀಬಗರ್ ಸಂಪರ್ಕಗೊಂಡಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ P_TRACED
ಪ್ರಸ್ತುತ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ
ಚಿತ್ರ 3. sysctl ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಡೀಬಗರ್ ಸಂಪರ್ಕವನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ
ವಾಚ್ಡಾಗ್ ಡೀಬಗರ್ ಇರುವಿಕೆಯನ್ನು ಪತ್ತೆ ಮಾಡಿದರೆ, ಕಾರ್ಯವನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ exit
. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾದರಿಯು ಎರಡು ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಪರಿಸರವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
ತಿಳಿದಿರುವ ವರ್ಚುವಲೈಸೇಶನ್ ಸಿಸ್ಟಮ್ಗಳಿಂದ ಹಾರ್ಡ್-ಕೋಡೆಡ್ ಸ್ಟ್ರಿಂಗ್ಗಳ ಪಟ್ಟಿಯ ವಿರುದ್ಧ ಮಾದರಿಯು ಹಿಂತಿರುಗುವ ಮೌಲ್ಯವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ: ಅಕ್ಕಲು, vmware, ವರ್ಚುವಲ್ಬಾಕ್ಸ್ ಅಥವಾ ಸಮಾಂತರ. ಅಂತಿಮವಾಗಿ, ಮುಂದಿನ ಆಜ್ಞೆಯು ಯಂತ್ರವು ಈ ಕೆಳಗಿನ "MBP", "MBA", "MB", "MM", "IM", "MP" ಮತ್ತು "XS" ಗಳಲ್ಲಿ ಒಂದಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಇವು ಸಿಸ್ಟಂ ಮಾದರಿ ಸಂಕೇತಗಳಾಗಿವೆ, ಉದಾಹರಣೆಗೆ, "MBP" ಎಂದರೆ ಮ್ಯಾಕ್ಬುಕ್ ಪ್ರೊ, "MBA" ಎಂದರೆ ಮ್ಯಾಕ್ಬುಕ್ ಏರ್, ಇತ್ಯಾದಿ.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
ಮುಖ್ಯ ಸೇರ್ಪಡೆಗಳು
ಟ್ರೆಂಡ್ ಮೈಕ್ರೋನ ಸಂಶೋಧನೆಯ ನಂತರ ಹಿಂಬಾಗಿಲ ಆಜ್ಞೆಗಳು ಬದಲಾಗಿಲ್ಲವಾದರೂ, ನಾವು ಕೆಲವು ಇತರ ಮಾರ್ಪಾಡುಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ. ಈ ಮಾದರಿಯಲ್ಲಿ ಬಳಸಲಾದ C&C ಸರ್ವರ್ಗಳು ಸಾಕಷ್ಟು ಹೊಸದಾಗಿವೆ ಮತ್ತು 22.10.2018/XNUMX/XNUMX ರಂದು ರಚಿಸಲಾಗಿದೆ.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
ಸಂಪನ್ಮೂಲ URL ಗೆ ಬದಲಾಗಿದೆ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
C&C ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾದ ಮೊದಲ ಪ್ಯಾಕೆಟ್ ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿನ ಆಜ್ಞೆಗಳಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಂತೆ ಹೋಸ್ಟ್ ಯಂತ್ರದ ಕುರಿತು ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ಈ ಕಾನ್ಫಿಗರೇಶನ್ ಬದಲಾವಣೆಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾದರಿಯು ನೆಟ್ವರ್ಕ್ ಫಿಲ್ಟರಿಂಗ್ಗಾಗಿ ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವುದಿಲ್ಲ gFjMXBgyXWULmVVVzyxy
, ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡ್ ಮಾಡಲಾಗಿದೆ. ಪ್ರತಿ ಫೈಲ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಉಳಿಸಲಾಗಿದೆ /tmp/store
, ಮತ್ತು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಗ್ರಂಥಾಲಯವಾಗಿ ಲೋಡ್ ಮಾಡುವ ಪ್ರಯತ್ನವನ್ನು ಮಾಡಲಾಗುತ್ತದೆ dlopen
, ಹಿಂಬಾಗಿಲು ರಫ್ತು ಮಾಡಿದ ಕಾರ್ಯಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ Boriry
и ChadylonV
, ಇದು ಸರ್ವರ್ನೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಸಂವಹನಕ್ಕೆ ಸ್ಪಷ್ಟವಾಗಿ ಕಾರಣವಾಗಿದೆ. ಮಾದರಿಯ ಮೂಲ ಸ್ಥಳದಿಂದ ಡ್ರಾಪರ್ ಅಥವಾ ಇತರ ಫೈಲ್ಗಳನ್ನು ನಾವು ಹೊಂದಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾವು ಈ ಲೈಬ್ರರಿಯನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ಇದಲ್ಲದೆ, ಘಟಕವು ಎನ್ಕ್ರಿಪ್ಟ್ ಆಗಿರುವುದರಿಂದ, ಈ ತಂತಿಗಳನ್ನು ಆಧರಿಸಿದ YARA ನಿಯಮವು ಡಿಸ್ಕ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಫೈಲ್ಗೆ ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ.
ಮೇಲಿನ ಲೇಖನದಲ್ಲಿ ವಿವರಿಸಿದಂತೆ, ಅದು ರಚಿಸುತ್ತದೆ ಕ್ಲೈಂಟ್ ಐಡಿ. ಈ ID ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳಲ್ಲಿ ಒಂದರ ರಿಟರ್ನ್ ಮೌಲ್ಯದ MD5 ಹ್ಯಾಶ್ ಆಗಿದೆ:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(MAC ವಿಳಾಸವನ್ನು ಪಡೆಯಿರಿ)
- ಅಪರಿಚಿತ ತಂಡ ("x1ex72x0a
"), ಇದನ್ನು ಹಿಂದಿನ ಮಾದರಿಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ
ಹ್ಯಾಶಿಂಗ್ ಮಾಡುವ ಮೊದಲು, ರೂಟ್ ಸವಲತ್ತುಗಳನ್ನು ಸೂಚಿಸಲು ರಿಟರ್ನ್ ಮೌಲ್ಯಕ್ಕೆ "0" ಅಥವಾ "1" ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಈ ಕ್ಲೈಂಟ್ ಐಡಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, ಕೋಡ್ ಅನ್ನು ರೂಟ್ನಂತೆ ರನ್ ಮಾಡಿದರೆ ಅಥವಾ ~/ಲೈಬ್ರರಿ/ಸ್ಮಾರ್ಟ್ಕಾರ್ಡ್ಗಳು ಸೇವೆಗಳು/ತಂತ್ರಜ್ಞಾನ/ಪ್ಲಗ್ಇನ್ಗಳು/ಡ್ರೈವರ್ಗಳು/ಸ್ನಿಪ್ಪೆಟ್ಸ್.ಇಸಿಜಿಎಂಎಲ್ನಲ್ಲಿ ಎಲ್ಲಾ ಇತರ ಸಂದರ್ಭಗಳಲ್ಲಿ. ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಫೈಲ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಮರೆಮಾಡಲಾಗಿದೆ touch –t
ಯಾದೃಚ್ಛಿಕ ಮೌಲ್ಯದೊಂದಿಗೆ.
ಡಿಕೋಡಿಂಗ್ ತಂತಿಗಳು
ಹಿಂದಿನ ಆಯ್ಕೆಗಳಂತೆ, ತಂತಿಗಳನ್ನು AES-256-CBC ಬಳಸಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ (ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಕೀ: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡ್ ಮಾಡಲಾಗಿದೆ, ಮತ್ತು IV ಸೊನ್ನೆಗಳಿಂದ ತುಂಬಿದೆ) ಕಾರ್ಯದ ಮೂಲಕ
ಕಾರ್ಯದ ಮೂಲಮಾದರಿಯನ್ನು ತಿಳಿದುಕೊಳ್ಳುವುದು ಡೀಕ್ರಿಪ್ಟ್, ಸ್ಕ್ರಿಪ್ಟ್ ಈ ಕಾರ್ಯಕ್ಕೆ ಎಲ್ಲಾ ಅಡ್ಡ-ಉಲ್ಲೇಖಗಳನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತದೆ, ಎಲ್ಲಾ ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳು, ನಂತರ ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕ್ರಾಸ್-ರೆಫರೆನ್ಸ್ ವಿಳಾಸದಲ್ಲಿ ಕಾಮೆಂಟ್ನಲ್ಲಿ ಸರಳ ಪಠ್ಯವನ್ನು ಇರಿಸುತ್ತದೆ. ಸ್ಕ್ರಿಪ್ಟ್ ಸರಿಯಾಗಿ ಕೆಲಸ ಮಾಡಲು, ಅದನ್ನು ಬೇಸ್ 64 ಡಿಕೋಡಿಂಗ್ ಫಂಕ್ಷನ್ನಿಂದ ಬಳಸಲಾಗುವ ಕಸ್ಟಮ್ ವರ್ಣಮಾಲೆಗೆ ಹೊಂದಿಸಬೇಕು ಮತ್ತು ಕೀಲಿಯ ಉದ್ದವನ್ನು ಒಳಗೊಂಡಿರುವ ಜಾಗತಿಕ ವೇರಿಯಬಲ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬೇಕು (ಈ ಸಂದರ್ಭದಲ್ಲಿ ಒಂದು DWORD, ಚಿತ್ರ 4 ನೋಡಿ).
ಚಿತ್ರ 4. ಜಾಗತಿಕ ವೇರಿಯಬಲ್ ಕೀ_ಲೆನ್ನ ವ್ಯಾಖ್ಯಾನ
ಫಂಕ್ಷನ್ ವಿಂಡೋದಲ್ಲಿ, ನೀವು ಡೀಕ್ರಿಪ್ಶನ್ ಫಂಕ್ಷನ್ ಅನ್ನು ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು "ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳನ್ನು ಹೊರತೆಗೆಯಿರಿ ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿ" ಕ್ಲಿಕ್ ಮಾಡಿ. ಚಿತ್ರ 5 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಸ್ಕ್ರಿಪ್ಟ್ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಾಲುಗಳನ್ನು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಇರಿಸಬೇಕು.
ಚಿತ್ರ 5. ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಪಠ್ಯವನ್ನು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಇರಿಸಲಾಗಿದೆ
ಈ ರೀತಿಯಲ್ಲಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ತಂತಿಗಳನ್ನು IDA ವಿಂಡೋದಲ್ಲಿ ಅನುಕೂಲಕರವಾಗಿ ಒಟ್ಟಿಗೆ ಇರಿಸಲಾಗುತ್ತದೆ xrefs ಚಿತ್ರ 6 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಈ ಕಾರ್ಯಕ್ಕಾಗಿ.
ಚಿತ್ರ 6. f_decrypt ಕಾರ್ಯಕ್ಕೆ Xrefs
ಅಂತಿಮ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಇಲ್ಲಿ ಕಾಣಬಹುದು
ತೀರ್ಮಾನಕ್ಕೆ
ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, OceanLotus ತನ್ನ ಟೂಲ್ಕಿಟ್ ಅನ್ನು ನಿರಂತರವಾಗಿ ಸುಧಾರಿಸುತ್ತಿದೆ ಮತ್ತು ನವೀಕರಿಸುತ್ತಿದೆ. ಈ ಸಮಯದಲ್ಲಿ, ಸೈಬರ್ ಗುಂಪು ಮ್ಯಾಕ್ ಬಳಕೆದಾರರೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುಧಾರಿಸಿದೆ. ಕೋಡ್ ಹೆಚ್ಚು ಬದಲಾಗಿಲ್ಲ, ಆದರೆ ಅನೇಕ ಮ್ಯಾಕ್ ಬಳಕೆದಾರರು ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದರಿಂದ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ರಕ್ಷಿಸುವುದು ದ್ವಿತೀಯ ಪ್ರಾಮುಖ್ಯತೆಯನ್ನು ಹೊಂದಿದೆ.
ಸಂಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ ESET ಉತ್ಪನ್ನಗಳು ಈಗಾಗಲೇ ಈ ಫೈಲ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುತ್ತಿವೆ. C&C ಸಂವಹನಕ್ಕಾಗಿ ಬಳಸಲಾದ ನೆಟ್ವರ್ಕ್ ಲೈಬ್ರರಿಯು ಈಗ ಡಿಸ್ಕ್ನಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಆಗಿರುವುದರಿಂದ, ದಾಳಿಕೋರರು ಬಳಸುವ ನಿಖರವಾದ ನೆಟ್ವರ್ಕ್ ಪ್ರೋಟೋಕಾಲ್ ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ.
ರಾಜಿ ಸೂಚಕಗಳು
ರಾಜಿ ಸೂಚಕಗಳು ಮತ್ತು MITER ATT&CK ಗುಣಲಕ್ಷಣಗಳು ಸಹ ಇಲ್ಲಿ ಲಭ್ಯವಿದೆ
ಮೂಲ: www.habr.com