ವರೋನಿಸ್ ಕ್ರಿಪ್ಟೋಮೈನಿಂಗ್ ವೈರಸ್ ಅನ್ನು ಕಂಡುಹಿಡಿದರು: ನಮ್ಮ ತನಿಖೆ

ನಮ್ಮ ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ತನಿಖಾ ತಂಡವು ಇತ್ತೀಚೆಗೆ ಮಧ್ಯಮ ಗಾತ್ರದ ಕಂಪನಿಯಲ್ಲಿ ಕ್ರಿಪ್ಟೋಮೈನಿಂಗ್ ವೈರಸ್‌ನಿಂದ ಸಂಪೂರ್ಣವಾಗಿ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿರುವ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ತನಿಖೆ ಮಾಡಿದೆ. ವಿಶ್ಲೇಷಣೆ
ಸಂಗ್ರಹಿಸಿದ ಮಾಲ್ವೇರ್ ಮಾದರಿಗಳು ಹೊಸ ಮಾರ್ಪಾಡು ಕಂಡುಬಂದಿದೆ ಎಂದು ತೋರಿಸಿದೆ
ಅಂತಹ ವೈರಸ್ಗಳನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ನಾರ್ಮನ್, ಅದರ ಉಪಸ್ಥಿತಿಯನ್ನು ಮರೆಮಾಚುವ ವಿವಿಧ ವಿಧಾನಗಳನ್ನು ಬಳಸುವುದು. ಜೊತೆಗೆ, ಇದನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು ಸಂವಾದಾತ್ಮಕ ವೆಬ್ ಶೆಲ್, ಇದು ಗಣಿಗಾರಿಕೆ ನಿರ್ವಾಹಕರಿಗೆ ಸಂಬಂಧಿಸಿರಬಹುದು.

ಅಧ್ಯಯನದ ಅವಲೋಕನ

• ವರೋನಿಸ್ ಕಂಪನಿಯು ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳೊಂದಿಗೆ ದೊಡ್ಡ ಪ್ರಮಾಣದ ಸೋಂಕನ್ನು ಗುರುತಿಸಿದೆ: ಕಂಪನಿಯಲ್ಲಿನ ಬಹುತೇಕ ಎಲ್ಲಾ ಸರ್ವರ್‌ಗಳು ಮತ್ತು ಕಾರ್ಯಸ್ಥಳಗಳು ಅಂತಹ ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದ್ದವು
• ಒಂದು ವರ್ಷದ ಹಿಂದೆ ಆರಂಭಿಕ ಸೋಂಕಿನಿಂದ, ಮಾರ್ಪಾಡುಗಳು ಮತ್ತು ಸೋಂಕಿತ ಸಾಧನಗಳ ಸಂಖ್ಯೆಯು ಸ್ಥಿರವಾಗಿ ಹೆಚ್ಚಾಗಿದೆ
• ನಾವು ಹೊಸ ರೀತಿಯ Monero ಕ್ರಿಪ್ಟೋಮಿನರ್ (ನಾರ್ಮನ್) ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ, ಅದು ಪತ್ತೆ ಮಾಡುವುದನ್ನು ತಪ್ಪಿಸಲು ಭದ್ರತಾ ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ವಿಶ್ಲೇಷಣೆಯಿಂದ ಮರೆಮಾಡಲು ವಿವಿಧ ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತದೆ
• ಹೆಚ್ಚಿನ ಮಾಲ್‌ವೇರ್ ರೂಪಾಂತರಗಳು ಡಕ್‌ಡಿಎನ್‌ಎಸ್ (ಉಚಿತ ಡೈನಾಮಿಕ್ ಡಿಎನ್‌ಎಸ್ ಸೇವೆ) ಅನ್ನು ನಿಯಂತ್ರಣ ಕೇಂದ್ರಕ್ಕೆ (ಸಿ & ಸಿ ಸರ್ವರ್‌ಗಳು) ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ಪ್ಯಾರಾಮೀಟರ್‌ಗಳನ್ನು ಪಡೆಯಲು ಅಥವಾ ಹೊಸ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಬಳಸುತ್ತವೆ
• ನಾರ್ಮನ್ ಓಪನ್ ಸೋರ್ಸ್ ಮೈನರ್ - XMRig ಅನ್ನು ಆಧರಿಸಿ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯ Monero ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಮೈನರ್ಸ್ ಆಗಿದೆ
• ಸಂವಾದಾತ್ಮಕ PHP ಶೆಲ್‌ನೊಂದಿಗೆ ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸುವ ನಿರಾಕರಿಸಲಾಗದ ಪುರಾವೆಗಳು ನಮ್ಮಲ್ಲಿ ಇನ್ನೂ ಇಲ್ಲ. ಆದಾಗ್ಯೂ, ಅವರು ಅದೇ ಆಕ್ರಮಣಕಾರರಿಂದ ಬರುತ್ತಿದ್ದಾರೆ ಎಂದು ನಂಬಲು ಉತ್ತಮ ಕಾರಣಗಳಿವೆ. ಅಂತಹ ಸಂಪರ್ಕದ ಉಪಸ್ಥಿತಿ ಅಥವಾ ಅನುಪಸ್ಥಿತಿಗಾಗಿ ಸಂಶೋಧಕರು ಹೆಚ್ಚುವರಿ ಪುರಾವೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತಿದ್ದಾರೆ.
• ಈ ಲೇಖನದಲ್ಲಿ ರಿಮೋಟ್ ವೆಬ್ ಶೆಲ್‌ಗಳು ಮತ್ತು ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ವರೋನಿಸ್‌ನ ಶಿಫಾರಸುಗಳೊಂದಿಗೆ ನೀವೇ ಪರಿಚಿತರಾಗಬಹುದು

ತನಿಖೆ

ಮುಂದಿನ ಪ್ರಾಯೋಗಿಕ ಯೋಜನೆಯ ಸಮಯದಲ್ಲಿ ತನಿಖೆ ಪ್ರಾರಂಭವಾಯಿತು ವೇದಿಕೆಗಳು
ಸೈಬರ್ ಭದ್ರತೆ ವರೋನಿಸ್ (ವರೋನಿಸ್ ಡೇಟಾ ಸೆಕ್ಯುರಿಟಿ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್), ಇದು ಇಂಟರ್ನೆಟ್ ವಿನಂತಿಗಳ ಸಮಯದಲ್ಲಿ (ವೆಬ್ ಪ್ರಾಕ್ಸಿ ಮೂಲಕ) ನೆಟ್‌ವರ್ಕ್ ಮಟ್ಟದಲ್ಲಿ ಹಲವಾರು ಅನುಮಾನಾಸ್ಪದ ಅಸಂಗತ ಘಟನೆಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಗುರುತಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು, ಫೈಲ್ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿನ ಅಸಂಗತ ಕ್ರಿಯೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದೆ.
ನಮ್ಮ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಮೂಲಕ ಗುರುತಿಸಲಾದ ಸಾಧನಗಳನ್ನು ಗ್ರಾಹಕರು ತಕ್ಷಣವೇ ಸೂಚಿಸಿದರು
ಇತ್ತೀಚೆಗೆ ಅಪ್ಲಿಕೇಶನ್ ಕ್ರ್ಯಾಶ್‌ಗಳು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ನಿಧಾನಗತಿಯನ್ನು ವರದಿ ಮಾಡಿದ ಅದೇ ಬಳಕೆದಾರರಿಗೆ ಸೇರಿದೆ.

ನಮ್ಮ ತಂಡವು ಗ್ರಾಹಕರ ಪರಿಸರವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಪರಿಶೀಲಿಸಿದೆ, ವರೋನಿಸ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ನಿಂದ ರಚಿಸಲಾದ ಎಚ್ಚರಿಕೆಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಒಂದು ಸೋಂಕಿತ ನಿಲ್ದಾಣದಿಂದ ಇನ್ನೊಂದಕ್ಕೆ ಚಲಿಸುತ್ತದೆ. ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ತಂಡವು ವಿಶೇಷ ನಿಯಮವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದೆ ಡೇಟಾ ಅಲರ್ಟ್ ಮಾಡ್ಯೂಲ್ ಸಕ್ರಿಯವಾಗಿ ಗಣಿಗಾರಿಕೆ ನಡೆಸುತ್ತಿದ್ದ ಕಂಪ್ಯೂಟರ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು, ಇದು ಬೆದರಿಕೆಯನ್ನು ತ್ವರಿತವಾಗಿ ತೊಡೆದುಹಾಕಲು ಸಹಾಯ ಮಾಡಿತು. ಸಂಗ್ರಹಿಸಿದ ಮಾಲ್ವೇರ್ನ ಮಾದರಿಗಳನ್ನು ವಿಧಿವಿಜ್ಞಾನ ಮತ್ತು ಅಭಿವೃದ್ಧಿ ತಂಡಗಳಿಗೆ ಕಳುಹಿಸಲಾಗಿದೆ, ಅವರು ಮಾದರಿಗಳ ಹೆಚ್ಚಿನ ಪರೀಕ್ಷೆ ಅಗತ್ಯ ಎಂದು ಸಲಹೆ ನೀಡಿದರು.
ಅವರು ಮಾಡಿದ ಕರೆಗಳಿಂದ ಸೋಂಕಿತ ನೋಡ್‌ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು ಡಕ್ಡಿಎನ್ಎಸ್, ಡೈನಾಮಿಕ್ DNS ಸೇವೆಯು ಅದರ ಬಳಕೆದಾರರಿಗೆ ತಮ್ಮದೇ ಆದ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ರಚಿಸಲು ಮತ್ತು IP ವಿಳಾಸಗಳನ್ನು ಬದಲಾಯಿಸಲು ತ್ವರಿತವಾಗಿ ಮ್ಯಾಪ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಮೇಲೆ ತಿಳಿಸಿದಂತೆ, ಘಟನೆಯಲ್ಲಿನ ಹೆಚ್ಚಿನ ಮಾಲ್‌ವೇರ್ ನಿಯಂತ್ರಣ ಕೇಂದ್ರಕ್ಕೆ (C&C) ಸಂಪರ್ಕಿಸಲು DuckDNS ಅನ್ನು ಪ್ರವೇಶಿಸಿತು, ಆದರೆ ಇತರರು ಕಾನ್ಫಿಗರೇಶನ್ ಪ್ಯಾರಾಮೀಟರ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸಿದರು ಅಥವಾ ಹೊಸ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಿದರು.

ಬಹುತೇಕ ಎಲ್ಲಾ ಸರ್ವರ್‌ಗಳು ಮತ್ತು ಕಂಪ್ಯೂಟರ್‌ಗಳು ಮಾಲ್‌ವೇರ್‌ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದ್ದವು. ಮುಖ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ
ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳ ಸಾಮಾನ್ಯ ರೂಪಾಂತರಗಳು. ಇತರ ಮಾಲ್‌ವೇರ್‌ಗಳು ಪಾಸ್‌ವರ್ಡ್ ಡಂಪ್ ಉಪಕರಣಗಳು ಮತ್ತು PHP ಶೆಲ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಆದರೆ ಹಲವಾರು ಉಪಕರಣಗಳು ಹಲವಾರು ವರ್ಷಗಳಿಂದ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿವೆ.

ನಾವು ಗ್ರಾಹಕರಿಗೆ ಫಲಿತಾಂಶಗಳನ್ನು ಒದಗಿಸಿದ್ದೇವೆ, ಅವರ ಪರಿಸರದಿಂದ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ತೆಗೆದುಹಾಕಿದ್ದೇವೆ ಮತ್ತು ಮತ್ತಷ್ಟು ಸೋಂಕುಗಳನ್ನು ನಿಲ್ಲಿಸಿದ್ದೇವೆ.

ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳ ಎಲ್ಲಾ ಪತ್ತೆಯಾದ ಮಾದರಿಗಳಲ್ಲಿ, ಒಂದು ಎದ್ದು ಕಾಣುತ್ತದೆ. ನಾವು ಅವನನ್ನು ಹೆಸರಿಸಿದೆವು ನಾರ್ಮನ್.

ನಮ್ಮನ್ನು ಭೇಟಿಯಾಗಿ! ನಾರ್ಮನ್. ಕ್ರಿಪ್ಟೋಮಿನರ್

ನಾರ್ಮನ್ XMRig ಕೋಡ್ ಆಧಾರಿತ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯ Monero ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಮೈನರ್ಸ್ ಆಗಿದೆ. ಪತ್ತೆಯಾದ ಇತರ ಮೈನರ್ ಮಾದರಿಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿ, ನಾರ್ಮನ್ ಅದನ್ನು ಪತ್ತೆಹಚ್ಚುವುದನ್ನು ತಪ್ಪಿಸಲು ಮತ್ತು ಮತ್ತಷ್ಟು ಹರಡುವಿಕೆಯನ್ನು ತಡೆಗಟ್ಟಲು ಭದ್ರತಾ ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ವಿಶ್ಲೇಷಣೆಯಿಂದ ಮರೆಮಾಡಲು ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತಾನೆ.

ಮೊದಲ ನೋಟದಲ್ಲಿ, ಈ ಮಾಲ್ವೇರ್ svchost.exe ಹೆಸರಿನಲ್ಲಿ ಅಡಗಿರುವ ಸಾಮಾನ್ಯ ಮೈನರ್ಸ್ ಆಗಿದೆ. ಆದಾಗ್ಯೂ, ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ಮರೆಮಾಡಲು ಮತ್ತು ವಿಷಯಗಳನ್ನು ಚಾಲನೆಯಲ್ಲಿಡಲು ಇದು ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕ ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತದೆ ಎಂದು ಅಧ್ಯಯನವು ಕಂಡುಹಿಡಿದಿದೆ.

ಈ ಮಾಲ್‌ವೇರ್‌ನ ನಿಯೋಜನೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೂರು ಹಂತಗಳಾಗಿ ವಿಂಗಡಿಸಬಹುದು:

• ಕಾರ್ಯಕ್ಷಮತೆ;
• ಅನುಷ್ಠಾನ;
• ಗಣಿಗಾರಿಕೆ.

ಹಂತ ಹಂತದ ವಿಶ್ಲೇಷಣೆ

ಹಂತ 1. ಮರಣದಂಡನೆ

ಮೊದಲ ಹಂತವು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ svchost.exe ನೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.

ಮಾಲ್‌ವೇರ್ ಅನ್ನು NSIS (ನಲ್‌ಸಾಫ್ಟ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಟೇಬಲ್ ಇನ್‌ಸ್ಟಾಲ್ ಸಿಸ್ಟಮ್) ಬಳಸಿ ಸಂಕಲಿಸಲಾಗಿದೆ, ಇದು ಅಸಾಮಾನ್ಯವಾಗಿದೆ. NSIS ಎಂಬುದು ಸ್ಥಾಪಕಗಳನ್ನು ರಚಿಸಲು ಬಳಸಲಾಗುವ ಓಪನ್-ಸೋರ್ಸ್ ಸಿಸ್ಟಮ್ ಆಗಿದೆ. WindowsSFX ನಂತೆ, ಈ ವ್ಯವಸ್ಥೆಯು ಫೈಲ್ ಆರ್ಕೈವ್ ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್ ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಅದು ಇನ್‌ಸ್ಟಾಲರ್‌ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯ ಸಮಯದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತದೆ. ಸ್ಕ್ರಿಪ್ಟ್ ಫೈಲ್ ಪ್ರೋಗ್ರಾಂಗೆ ಯಾವ ಫೈಲ್‌ಗಳನ್ನು ಚಲಾಯಿಸಬೇಕು ಮತ್ತು ಆರ್ಕೈವ್‌ನಲ್ಲಿರುವ ಇತರ ಫೈಲ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಬಹುದು ಎಂಬುದನ್ನು ತಿಳಿಸುತ್ತದೆ.

ಗಮನಿಸಿ: ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನಿಂದ NSIS ಸ್ಕ್ರಿಪ್ಟ್ ಫೈಲ್ ಅನ್ನು ಪಡೆಯಲು, ನೀವು 7zip ಆವೃತ್ತಿ 9.38 ಅನ್ನು ಬಳಸಬೇಕು, ಏಕೆಂದರೆ ನಂತರದ ಆವೃತ್ತಿಗಳು ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದಿಲ್ಲ.

NSIS ಆರ್ಕೈವ್ ಮಾಡಲಾದ ಮಾಲ್‌ವೇರ್ ಈ ಕೆಳಗಿನ ಫೈಲ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:

• CallAnsiPlugin.dll, CLR.dll - .NET DLL ಕಾರ್ಯಗಳಿಗೆ ಕರೆ ಮಾಡಲು NSIS ಮಾಡ್ಯೂಲ್‌ಗಳು;
• 5zmjbxUIOVQ58qPR.dll - ಮುಖ್ಯ ಪೇಲೋಡ್ DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - ಪೇಲೋಡ್ ಫೈಲ್‌ಗಳು;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png ಕೇವಲ ಫೈಲ್‌ಗಳು ಮುಂದಿನ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಗೆ ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ಸಂಬಂಧಿಸಿಲ್ಲ.

ಪೇಲೋಡ್ ಅನ್ನು ರನ್ ಮಾಡುವ NSIS ಸ್ಕ್ರಿಪ್ಟ್ ಫೈಲ್‌ನಿಂದ ಆಜ್ಞೆಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.

ಮಾಲ್‌ವೇರ್ ಅನ್ನು 5zmjbxUIOVQ58qPR.dll ಕಾರ್ಯಕ್ಕೆ ಕರೆ ಮಾಡುವ ಮೂಲಕ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಇತರ ಫೈಲ್‌ಗಳನ್ನು ನಿಯತಾಂಕಗಳಾಗಿ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ.

ಹಂತ 2. ಅನುಷ್ಠಾನ

ಮೇಲಿನ NSIS ಸ್ಕ್ರಿಪ್ಟ್‌ನಿಂದ ನೋಡಬಹುದಾದಂತೆ 5zmjbxUIOVQ58qPR.dll ಫೈಲ್ ಮುಖ್ಯ ಪೇಲೋಡ್ ಆಗಿದೆ. ಮೆಟಾಡೇಟಾದ ತ್ವರಿತ ವಿಶ್ಲೇಷಣೆಯು DLL ಅನ್ನು ಮೂಲತಃ Norman.dll ಎಂದು ಕರೆಯಲಾಗುತ್ತಿತ್ತು, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು ಹೆಸರಿಸಿದ್ದೇವೆ.

DLL ಫೈಲ್ ಅನ್ನು .NET ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಟ್ರಿಪಲ್ ಅಸ್ಪಷ್ಟತೆಯ ಮೂಲಕ ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್‌ನಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ
ಸುಪ್ರಸಿದ್ಧ ವಾಣಿಜ್ಯ ಉತ್ಪನ್ನ ಅಗೈಲ್ .NET Obfuscator ಅನ್ನು ಬಳಸುವುದು.

ಮರಣದಂಡನೆಯ ಸಮಯದಲ್ಲಿ, ಸ್ವಯಂ-ಇಂಜೆಕ್ಷನ್ನ ಅನೇಕ ಕಾರ್ಯಾಚರಣೆಗಳು ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ, ಹಾಗೆಯೇ ಇತರ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ತೊಡಗಿಕೊಂಡಿವೆ. OS ಬಿಟ್ ಆಳವನ್ನು ಅವಲಂಬಿಸಿ, ಮಾಲ್ವೇರ್ ಮಾಡುತ್ತದೆ
ಸಿಸ್ಟಮ್ ಫೋಲ್ಡರ್‌ಗಳಿಗೆ ವಿಭಿನ್ನ ಮಾರ್ಗಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ವಿಭಿನ್ನ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಿ.

ಸಿಸ್ಟಮ್ ಫೋಲ್ಡರ್ ಮಾರ್ಗವನ್ನು ಆಧರಿಸಿ, ಮಾಲ್‌ವೇರ್ ಚಲಾಯಿಸಲು ವಿಭಿನ್ನ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ.

ಚುಚ್ಚುಮದ್ದಿನ ಪೇಲೋಡ್ ಎರಡು ಮುಖ್ಯ ಕಾರ್ಯಗಳನ್ನು ಹೊಂದಿದೆ: ಕ್ರಿಪ್ಟೋಮಿನರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು ಮತ್ತು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಡೆಯುವುದು.

ಓಎಸ್ 64-ಬಿಟ್ ಆಗಿದ್ದರೆ

ಮೂಲ svchosts.exe ಫೈಲ್ (NSIS ಫೈಲ್) ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ, ಅದು ತನ್ನದೇ ಆದ ಹೊಸ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಅದರೊಳಗೆ ಪೇಲೋಡ್ (1) ಅನ್ನು ಚುಚ್ಚುತ್ತದೆ. ಶೀಘ್ರದಲ್ಲೇ, ಇದು notepad.exe ಅಥವಾ explorer.exe ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಮಿನರ್ ಅನ್ನು ಅದರೊಳಗೆ ಚುಚ್ಚುತ್ತದೆ (2).

ಇದರ ನಂತರ, ಮೂಲ svchost.exe ಫೈಲ್ ನಿರ್ಗಮಿಸುತ್ತದೆ, ಮತ್ತು ಹೊಸ svchost.exe ಫೈಲ್ ಅನ್ನು ಮೈನರ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಪ್ರೋಗ್ರಾಂ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ.

ಓಎಸ್ 32-ಬಿಟ್ ಆಗಿದ್ದರೆ

ಮೂಲ svchosts.exe ಫೈಲ್ (NSIS ಫೈಲ್) ರನ್ ಮಾಡಿದಾಗ, ಅದು ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ನಕಲು ಮಾಡುತ್ತದೆ ಮತ್ತು 64-ಬಿಟ್ ಆವೃತ್ತಿಯಂತೆ ಅದರೊಳಗೆ ಪೇಲೋಡ್ ಅನ್ನು ಚುಚ್ಚುತ್ತದೆ.

ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಮಾಲ್‌ವೇರ್ ಬಳಕೆದಾರರ explorer.exe ಪ್ರಕ್ರಿಯೆಗೆ ಪೇಲೋಡ್ ಅನ್ನು ಚುಚ್ಚುತ್ತದೆ. ಅಲ್ಲಿಂದ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಹೊಸ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ (wuapp.exe ಅಥವಾ vchost.exe) ಮತ್ತು ಅದರೊಳಗೆ ಮೈನರ್ಸ್ ಅನ್ನು ಚುಚ್ಚುತ್ತದೆ.

wuapp.exe ಮತ್ತು ಖಾಲಿ ಮೌಲ್ಯಗಳ ಮಾರ್ಗದೊಂದಿಗೆ ಈ ಹಿಂದೆ ಇಂಜೆಕ್ಟ್ ಮಾಡಲಾದ ಕೋಡ್ ಅನ್ನು ಓವರ್‌ರೈಟ್ ಮಾಡುವ ಮೂಲಕ ಮಾಲ್‌ವೇರ್ ಎಕ್ಸ್‌ಪ್ಲೋರರ್.ಎಕ್ಸ್‌ಗೆ ತನ್ನನ್ನು ತಾನು ಇಂಜೆಕ್ಟ್ ಮಾಡಿದೆ ಎಂಬ ಅಂಶವನ್ನು ಮರೆಮಾಡುತ್ತದೆ.

64-ಬಿಟ್ ಪರಿಸರದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ಮೂಲ svchost.exe ಪ್ರಕ್ರಿಯೆಯು ನಿರ್ಗಮಿಸುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರರಿಂದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕೊನೆಗೊಳಿಸಿದರೆ explorer.exe ಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಮರು-ಇಂಜೆಕ್ಟ್ ಮಾಡಲು ಎರಡನೆಯದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅಲ್ಗಾರಿದಮ್‌ನ ಕೊನೆಯಲ್ಲಿ, ಮಾಲ್‌ವೇರ್ ಯಾವಾಗಲೂ ಕ್ರಿಪ್ಟೋಮಿನರ್ ಅನ್ನು ಅದು ಪ್ರಾರಂಭಿಸುವ ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗೆ ಚುಚ್ಚುತ್ತದೆ.

ಬಳಕೆದಾರರು ಟಾಸ್ಕ್ ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದಾಗ ಮೈನರ್ಸ್ ಅನ್ನು ಕೊನೆಗೊಳಿಸುವ ಮೂಲಕ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಡೆಗಟ್ಟಲು ಇದನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.

ಕಾರ್ಯ ನಿರ್ವಾಹಕವನ್ನು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, wuapp.exe ಪ್ರಕ್ರಿಯೆಯು ಕೊನೆಗೊಳ್ಳುತ್ತದೆ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ.

ಕಾರ್ಯ ನಿರ್ವಾಹಕವನ್ನು ಮುಚ್ಚಿದ ನಂತರ, ಮಾಲ್ವೇರ್ wuapp.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮತ್ತೆ ಮತ್ತೆ ಪ್ರಾರಂಭಿಸುತ್ತದೆ
ಗಣಿಗಾರನು ಅದನ್ನು ಚುಚ್ಚುತ್ತಾನೆ.

ಹಂತ 3. ಮೈನರ್

ಮೇಲೆ ತಿಳಿಸಿದ XMRig ಮೈನರ್ಸ್ ಅನ್ನು ಪರಿಗಣಿಸಿ.

ಮಾಲ್‌ವೇರ್ ಮೈನರ್ಸ್‌ನ ಮಾರುವೇಷದ UPX ಆವೃತ್ತಿಯನ್ನು ನೋಟ್‌ಪ್ಯಾಡ್, exe, explorer.exe, ಗೆ ಇಂಜೆಕ್ಟ್ ಮಾಡುತ್ತದೆ.
svchost.exe ಅಥವಾ wuapp.exe, OS ಬಿಟ್ ಆಳ ಮತ್ತು ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅಲ್ಗಾರಿದಮ್‌ನ ಹಂತವನ್ನು ಅವಲಂಬಿಸಿ.

ಮೈನರ್ಸ್‌ನಲ್ಲಿನ PE ಹೆಡರ್ ಅನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಮತ್ತು ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ನಲ್ಲಿ ಅದನ್ನು UPX ನೊಂದಿಗೆ ಮಾಸ್ಕ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ನಾವು ನೋಡಬಹುದು.

ಡಂಪ್ ಅನ್ನು ರಚಿಸಿದ ನಂತರ ಮತ್ತು ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅನ್ನು ಮರುನಿರ್ಮಾಣ ಮಾಡಿದ ನಂತರ, ನಾವು ಅದನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು:

ಗುರಿ XMR ಸೈಟ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಲಾಗಿದೆ ಎಂದು ಗಮನಿಸಬೇಕು, ಇದು ಈ ಮೈನರನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ತಟಸ್ಥಗೊಳಿಸುತ್ತದೆ.

ಮೈನರ್ ಕಾನ್ಫಿಗರೇಶನ್:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

ನಿಗೂಢ PHP ಶೆಲ್ C&C ಗೆ ಡೇಟಾವನ್ನು ರವಾನಿಸುತ್ತದೆ

ಈ ತನಿಖೆಯ ಸಮಯದಲ್ಲಿ, ನಮ್ಮ ಫೋರೆನ್ಸಿಕ್ಸ್ ತಂಡವು ಅವರ ಗಮನವನ್ನು ಸೆಳೆದ XSL ಫೈಲ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದೆ. ಮಾದರಿಯ ಆಳವಾದ ವಿಶ್ಲೇಷಣೆಯ ನಂತರ, ನಿಯಂತ್ರಣ ಕೇಂದ್ರಕ್ಕೆ (C&C ಸರ್ವರ್) ನಿರಂತರವಾಗಿ ಸಂಪರ್ಕಿಸುವ ಹೊಸ PHP ಶೆಲ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು.

ಗ್ರಾಹಕರ ಪರಿಸರದಲ್ಲಿ ಹಲವಾರು ಸರ್ವರ್‌ಗಳಲ್ಲಿ ಒಂದು XSL ಫೈಲ್ ಕಂಡುಬಂದಿದ್ದು, ಅದನ್ನು ತಿಳಿದಿರುವ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ. Windows (mscorsv.exe) sysWOW64 ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಫೋಲ್ಡರ್‌ನಿಂದ.

ಮಾಲ್ವೇರ್ ಫೋಲ್ಡರ್ ಅನ್ನು ಆಟೋರಿಕವರ್ ಎಂದು ಕರೆಯಲಾಯಿತು ಮತ್ತು ಒಳಗೊಂಡಿತ್ತು ಹಲವಾರು ಕಡತಗಳು:

• XSL ಫೈಲ್: xml.XSL
• ಒಂಬತ್ತು DLL ಫೈಲ್‌ಗಳು

ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳು:

• Mscorsv.exe
• Wmiprvse.exe

XSL ಫೈಲ್

XSL ಫೈಲ್‌ಗಳು XML ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಹೇಗೆ ಪ್ರದರ್ಶಿಸಬೇಕು ಎಂಬುದನ್ನು ವಿವರಿಸುವ CSS ನಲ್ಲಿ ಬಳಸಿದಂತೆಯೇ ಸ್ಟೈಲ್ ಶೀಟ್‌ಗಳಾಗಿವೆ.

ನೋಟ್‌ಪ್ಯಾಡ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ಇದು ವಾಸ್ತವವಾಗಿ XSL ಫೈಲ್ ಅಲ್ಲ, ಬದಲಿಗೆ ಜೆಂಡ್ ಗಾರ್ಡ್‌ನಿಂದ ಅಸ್ಪಷ್ಟವಾಗಿರುವ PHP ಕೋಡ್ ಎಂದು ನಾವು ನಿರ್ಧರಿಸಿದ್ದೇವೆ. ಈ ಕುತೂಹಲಕಾರಿ ಸಂಗತಿಯು ಅದನ್ನು ಸೂಚಿಸುತ್ತದೆ
ಅದರ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಆಧರಿಸಿ ಮಾಲ್‌ವೇರ್‌ನ ಪೇಲೋಡ್.

ಒಂಬತ್ತು DLL ಗಳು

XSL ಫೈಲ್‌ನ ಆರಂಭಿಕ ವಿಶ್ಲೇಷಣೆಯು ಅಂತಹ ಸಂಖ್ಯೆಯ ಉಪಸ್ಥಿತಿಯ ತೀರ್ಮಾನಕ್ಕೆ ಕಾರಣವಾಯಿತು
DLL ಗಳು ಒಂದು ನಿರ್ದಿಷ್ಟ ಅರ್ಥವನ್ನು ಹೊಂದಿವೆ. ಮುಖ್ಯ ಫೋಲ್ಡರ್ php.dll ಎಂಬ DLL ಮತ್ತು SSL ಮತ್ತು MySQL ಗೆ ಸಂಬಂಧಿಸಿದ ಮೂರು ಇತರ ಲೈಬ್ರರಿಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಉಪ ಫೋಲ್ಡರ್‌ಗಳಲ್ಲಿ, ತಜ್ಞರು ನಾಲ್ಕು PHP ಲೈಬ್ರರಿಗಳನ್ನು ಮತ್ತು ಒಂದು ಝೆಂಡ್ ಗಾರ್ಡ್ ಲೈಬ್ರರಿಯನ್ನು ಕಂಡುಕೊಂಡಿದ್ದಾರೆ. ಅವೆಲ್ಲವೂ ಕಾನೂನುಬದ್ಧವಾಗಿವೆ ಮತ್ತು PHP ಅನುಸ್ಥಾಪನಾ ಪ್ಯಾಕೇಜ್‌ನಿಂದ ಅಥವಾ ಬಾಹ್ಯ dll ಗಳಿಂದ ಪಡೆಯಲಾಗಿದೆ.

ಈ ಹಂತದಲ್ಲಿ, ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಪಿಎಚ್‌ಪಿ ಆಧರಿಸಿ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಝೆಂಡ್ ಗಾರ್ಡ್‌ನಿಂದ ಅಸ್ಪಷ್ಟಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ಭಾವಿಸಲಾಗಿದೆ.

ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳು

ಈ ಫೋಲ್ಡರ್‌ನಲ್ಲಿ ಎರಡು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳಿವೆ: Mscorsv.exe ಮತ್ತು Wmiprvse.exe.

mscorsv.exe ಫೈಲ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಿದ ನಂತರ, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸಹಿ ಮಾಡಿಲ್ಲ ಎಂದು ನಾವು ನಿರ್ಧರಿಸಿದ್ದೇವೆ, ಆದರೂ ಅದರ ಉತ್ಪನ್ನದ ಹೆಸರು ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು "ಮೈಕ್ರೋಸಾಫ್ಟ್" ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ. ನೆಟ್ ಫ್ರೇಮ್ವರ್ಕ್".
ಮೊದಲಿಗೆ ಇದು ವಿಚಿತ್ರವಾಗಿ ಕಾಣುತ್ತದೆ, ಆದರೆ Wmiprvse.exe ಅನ್ನು ವಿಶ್ಲೇಷಿಸುವುದರಿಂದ ಪರಿಸ್ಥಿತಿಯನ್ನು ಚೆನ್ನಾಗಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.

Wmiprvse.exe ಫೈಲ್ ಸಹ ಸಹಿ ಮಾಡಿಲ್ಲ, ಆದರೆ PHP ಗುಂಪಿನ ಹಕ್ಕುಸ್ವಾಮ್ಯ ಚಿಹ್ನೆ ಮತ್ತು PHP ಐಕಾನ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಅದರ ಸಾಲುಗಳ ತ್ವರಿತ ನೋಟವು PHP ಸಹಾಯದಿಂದ ಆಜ್ಞೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿತು. -ವರ್ಷನ್ ಸ್ವಿಚ್‌ನೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ, ಇದು ಝೆಂಡ್ ಗಾರ್ಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಎಂದು ಕಂಡುಹಿಡಿಯಲಾಯಿತು.

mscorsv.exe ಅನ್ನು ಇದೇ ರೀತಿಯಲ್ಲಿ ಪ್ರಾರಂಭಿಸಿದಾಗ, ಅದೇ ಡೇಟಾವನ್ನು ಪರದೆಯ ಮೇಲೆ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ. ನಾವು ಈ ಎರಡು ಫೈಲ್‌ಗಳ ಬೈನರಿ ಡೇಟಾವನ್ನು ಹೋಲಿಸಿದ್ದೇವೆ ಮತ್ತು ಮೆಟಾಡೇಟಾವನ್ನು ಹೊರತುಪಡಿಸಿ ಅವು ಒಂದೇ ಆಗಿರುವುದನ್ನು ನೋಡಿದ್ದೇವೆ
ಕೃತಿಸ್ವಾಮ್ಯ ಮತ್ತು ಕಂಪನಿಯ ಹೆಸರು/ಉತ್ಪನ್ನ ಹೆಸರು.

ಇದರ ಆಧಾರದ ಮೇಲೆ, XSL ಫೈಲ್ PHP ಕೋಡ್ ಅನ್ನು ಹೊಂದಿದ್ದು ಅದು Zend Guard ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, mscorsv.exe ಹೆಸರಿನಲ್ಲಿ ಮರೆಮಾಡಲಾಗಿದೆ.

XSL ಫೈಲ್ ಅನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲಾಗುತ್ತಿದೆ

ಇಂಟರ್ನೆಟ್ ಹುಡುಕಾಟವನ್ನು ಬಳಸಿಕೊಂಡು, ತಜ್ಞರು ತ್ವರಿತವಾಗಿ Zend Guard deobfuscation ಉಪಕರಣವನ್ನು ಪಡೆದರು ಮತ್ತು xml.XSL ಫೈಲ್‌ನ ಮೂಲ ನೋಟವನ್ನು ಮರುಸ್ಥಾಪಿಸಿದರು:

ಮಾಲ್ವೇರ್ ಸ್ವತಃ ಪಿಎಚ್ಪಿ ಶೆಲ್ ಆಗಿದ್ದು ಅದು ನಿಯಂತ್ರಣ ಕೇಂದ್ರಕ್ಕೆ (ಸಿ & ಸಿ ಸರ್ವರ್) ನಿರಂತರವಾಗಿ ಸಂಪರ್ಕ ಹೊಂದಿದೆ ಎಂದು ಅದು ಬದಲಾಯಿತು.

ಅದು ಕಳುಹಿಸುವ ಮತ್ತು ಸ್ವೀಕರಿಸುವ ಆಜ್ಞೆಗಳು ಮತ್ತು ಔಟ್‌ಪುಟ್ ಅನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ನಮ್ಮಲ್ಲಿ ಮೂಲ ಕೋಡ್ ಇರುವುದರಿಂದ, ನಾವು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀ ಮತ್ತು ಕಮಾಂಡ್‌ಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ.

ಈ ಮಾಲ್ವೇರ್ ಕೆಳಗಿನ ಅಂತರ್ನಿರ್ಮಿತ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದೆ:

• Eval - ಕೋಡ್‌ನಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ವೇರಿಯಬಲ್‌ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ
• ಸ್ಥಳೀಯ ಫೈಲ್ ರೆಕಾರ್ಡಿಂಗ್
• ಡೇಟಾಬೇಸ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸಾಧ್ಯತೆಗಳು
• PSEXEC ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸಾಧ್ಯತೆಗಳು
• ಹಿಡನ್ ಎಕ್ಸಿಕ್ಯೂಶನ್
• ಮ್ಯಾಪಿಂಗ್ ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಸೇವೆಗಳು

ಮಾಲ್ವೇರ್ ಬಹು ಆವೃತ್ತಿಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ಕೆಳಗಿನ ವೇರಿಯಬಲ್ ಸೂಚಿಸುತ್ತದೆ.

ಮಾದರಿಗಳನ್ನು ಸಂಗ್ರಹಿಸುವಾಗ, ಈ ಕೆಳಗಿನ ಆವೃತ್ತಿಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು:

• 0.5f
• 0.4p
• 0.4o

ಸಿಸ್ಟಂನಲ್ಲಿ ಮಾಲ್ವೇರ್ನ ನಿರಂತರ ಉಪಸ್ಥಿತಿಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವ ಏಕೈಕ ಕಾರ್ಯವೆಂದರೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದಾಗ, ಅದು ಸ್ವತಃ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸೇವೆಯನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಅದರ ಹೆಸರು
ಆವೃತ್ತಿಯಿಂದ ಆವೃತ್ತಿಗೆ ಬದಲಾಗುತ್ತದೆ.

ತಜ್ಞರು ಅಂತರ್ಜಾಲದಲ್ಲಿ ಇದೇ ಮಾದರಿಗಳನ್ನು ಹುಡುಕಲು ಪ್ರಯತ್ನಿಸಿದರು ಮತ್ತು ಮಾಲ್ವೇರ್ ಅನ್ನು ಕಂಡುಹಿಡಿದರು
ಇದು ಅವರ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಮಾದರಿಯ ಹಿಂದಿನ ಆವೃತ್ತಿಯಾಗಿದೆ. ಫೋಲ್ಡರ್‌ನ ವಿಷಯಗಳು ಹೋಲುತ್ತವೆ, ಆದರೆ XSL ಫೈಲ್ ವಿಭಿನ್ನವಾಗಿತ್ತು ಮತ್ತು ವಿಭಿನ್ನ ಆವೃತ್ತಿ ಸಂಖ್ಯೆಯನ್ನು ಹೊಂದಿತ್ತು.

ಪಾರ್ಲೆ-ವು ಮಾಲ್‌ವೇರ್?

ಮಾಲ್‌ವೇರ್ ಫ್ರಾನ್ಸ್ ಅಥವಾ ಇನ್ನೊಂದು ಫ್ರೆಂಚ್-ಮಾತನಾಡುವ ದೇಶದಲ್ಲಿ ಹುಟ್ಟಿಕೊಂಡಿರಬಹುದು: SFX ಫೈಲ್ ಫ್ರೆಂಚ್‌ನಲ್ಲಿ ಕಾಮೆಂಟ್‌ಗಳನ್ನು ಹೊಂದಿತ್ತು, ಲೇಖಕರು ಅದನ್ನು ರಚಿಸಲು WinRAR ನ ಫ್ರೆಂಚ್ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿದ್ದಾರೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.

ಇದಲ್ಲದೆ, ಕೋಡ್‌ನಲ್ಲಿನ ಕೆಲವು ಅಸ್ಥಿರಗಳು ಮತ್ತು ಕಾರ್ಯಗಳನ್ನು ಫ್ರೆಂಚ್‌ನಲ್ಲಿ ಹೆಸರಿಸಲಾಗಿದೆ.

ಮರಣದಂಡನೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು ಮತ್ತು ಹೊಸ ಆಜ್ಞೆಗಳಿಗಾಗಿ ಕಾಯುತ್ತಿದೆ

ತಜ್ಞರು ಮಾಲ್ವೇರ್ ಕೋಡ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಿದ್ದಾರೆ ಮತ್ತು ಈಗಾಗಲೇ ಮಾರ್ಪಡಿಸಿದವನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ಪ್ರಾರಂಭಿಸಿದ್ದಾರೆ
ಸ್ವೀಕರಿಸಿದ ಆಜ್ಞೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಆವೃತ್ತಿ.

ಮೊದಲ ಸಂವಹನ ಅವಧಿಯ ಕೊನೆಯಲ್ಲಿ, EVAL64 ಲಾಂಚ್ ಕೀಗಾಗಿ ವಾದವಾಗಿ Base64 ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್‌ಕೋಡ್ ಮಾಡಲಾದ ಆಜ್ಞೆಯನ್ನು ಮಾಲ್‌ವೇರ್ ಸ್ವೀಕರಿಸಿದೆ ಎಂದು ತಜ್ಞರು ನೋಡಿದರು.
ಈ ಆಜ್ಞೆಯನ್ನು ಡಿಕೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಇದು ಹಲವಾರು ಆಂತರಿಕ ಅಸ್ಥಿರಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ (ಬಫರ್ ಗಾತ್ರಗಳನ್ನು ಓದುವುದು ಮತ್ತು ಬರೆಯುವುದು), ಅದರ ನಂತರ ಮಾಲ್ವೇರ್ ಆಜ್ಞೆಗಳಿಗಾಗಿ ಕಾಯುತ್ತಿರುವ ಕೆಲಸದ ಚಕ್ರವನ್ನು ಪ್ರವೇಶಿಸುತ್ತದೆ.

ಈ ಸಮಯದಲ್ಲಿ, ಯಾವುದೇ ಹೊಸ ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿಲ್ಲ.

ಇಂಟರಾಕ್ಟಿವ್ PHP ಶೆಲ್ ಮತ್ತು ಕ್ರಿಪ್ಟೋಮಿನರ್: ಅವು ಸಂಬಂಧಿಸಿವೆ?

ವರೋನಿಸ್ ತಜ್ಞರು ನಾರ್ಮನ್ ಪಿಎಚ್‌ಪಿ ಶೆಲ್‌ನೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿದ್ದಾರೆಯೇ ಎಂದು ಖಚಿತವಾಗಿಲ್ಲ, ಏಕೆಂದರೆ ಈ ಊಹೆಯ ಪರವಾಗಿ ಮತ್ತು ವಿರುದ್ಧವಾಗಿ ಬಲವಾದ ವಾದಗಳಿವೆ:

ಅವರು ಏಕೆ ಸಂಬಂಧ ಹೊಂದಿರಬಹುದು?

• ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಪ್ಟೋಮೈನಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಮಾದರಿಗಳು ಸ್ವತಂತ್ರವಾಗಿ ಇತರ ಸಿಸ್ಟಮ್‌ಗಳಿಗೆ ಹರಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರಲಿಲ್ಲ, ಆದಾಗ್ಯೂ ಅವುಗಳು ವಿವಿಧ ನೆಟ್‌ವರ್ಕ್ ವಿಭಾಗಗಳಲ್ಲಿ ವಿವಿಧ ಸಾಧನಗಳಲ್ಲಿ ಕಂಡುಬಂದಿವೆ. ಆಕ್ರಮಣಕಾರರು ಪ್ರತಿ ನೋಡ್‌ಗೆ ಪ್ರತ್ಯೇಕವಾಗಿ ಸೋಂಕಿರುವ ಸಾಧ್ಯತೆಯಿದೆ (ಬಹುಶಃ ರೋಗಿಯ ಶೂನ್ಯವನ್ನು ಸೋಂಕಿಸುವಾಗ ಅದೇ ದಾಳಿಯ ವೆಕ್ಟರ್ ಅನ್ನು ಬಳಸುವುದು), ಆದಾಗ್ಯೂ ದಾಳಿಯ ಗುರಿಯಾದ ನೆಟ್ವರ್ಕ್‌ನಾದ್ಯಂತ ಹರಡಲು PHP ಶೆಲ್ ಅನ್ನು ಬಳಸುವುದು ಹೆಚ್ಚು ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ.
• ನಿರ್ದಿಷ್ಟ ಸಂಸ್ಥೆಯ ವಿರುದ್ಧ ನಿರ್ದೇಶಿಸಲಾದ ದೊಡ್ಡ-ಪ್ರಮಾಣದ, ಉದ್ದೇಶಿತ ಸ್ವಯಂಚಾಲಿತ ಕಾರ್ಯಾಚರಣೆಗಳು ಸಾಮಾನ್ಯವಾಗಿ ತಾಂತ್ರಿಕ ಕಲಾಕೃತಿಗಳನ್ನು ಅಥವಾ ಸೈಬರ್ ಸುರಕ್ಷತೆಯ ಬೆದರಿಕೆಗಳ ಗುರುತಿಸಬಹುದಾದ ಕುರುಹುಗಳನ್ನು ಬಿಟ್ಟುಬಿಡುತ್ತವೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಅಂತಹ ಏನೂ ಕಂಡುಬಂದಿಲ್ಲ.
• ನಾರ್ಮನ್ ಮತ್ತು PHP ಶೆಲ್ ಎರಡೂ DuckDNS ಸೇವೆಯನ್ನು ಬಳಸಿದವು.

ಅವರು ಏಕೆ ಸಂಬಂಧ ಹೊಂದಿಲ್ಲದಿರಬಹುದು?

• ಕ್ರಿಪ್ಟೋಮೈನಿಂಗ್ ಮಾಲ್ವೇರ್ ರೂಪಾಂತರಗಳು ಮತ್ತು PHP ಶೆಲ್ ನಡುವೆ ಯಾವುದೇ ತಾಂತ್ರಿಕ ಹೋಲಿಕೆಗಳಿಲ್ಲ. ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಪ್ಟೋಮಿನರ್ ಅನ್ನು C++ ನಲ್ಲಿ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಶೆಲ್ PHP ನಲ್ಲಿದೆ. ಅಲ್ಲದೆ, ಕೋಡ್ ರಚನೆಯಲ್ಲಿ ಯಾವುದೇ ಹೋಲಿಕೆಗಳಿಲ್ಲ, ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಕಾರ್ಯಗಳನ್ನು ವಿಭಿನ್ನವಾಗಿ ಅಳವಡಿಸಲಾಗಿದೆ.
• ಡೇಟಾ ವಿನಿಮಯಕ್ಕಾಗಿ ಮಾಲ್‌ವೇರ್ ರೂಪಾಂತರಗಳು ಮತ್ತು PHP ಶೆಲ್ ನಡುವೆ ಯಾವುದೇ ನೇರ ಸಂವಹನವಿಲ್ಲ.
• ಅವರು ಡೆವಲಪರ್ ಕಾಮೆಂಟ್‌ಗಳು, ಫೈಲ್‌ಗಳು, ಮೆಟಾಡೇಟಾ ಅಥವಾ ಡಿಜಿಟಲ್ ಫಿಂಗರ್‌ಪ್ರಿಂಟ್‌ಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುವುದಿಲ್ಲ.

ದೂರಸ್ಥ ಚಿಪ್ಪುಗಳ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಮೂರು ಶಿಫಾರಸುಗಳು

ಕಾರ್ಯನಿರ್ವಹಿಸಲು ನಿಯಂತ್ರಣ ಕೇಂದ್ರದಿಂದ (C&C ಸರ್ವರ್‌ಗಳು) ಆದೇಶಗಳ ಅಗತ್ಯವಿರುವ ಮಾಲ್‌ವೇರ್ ಸಾಮಾನ್ಯ ವೈರಸ್‌ಗಳಂತೆ ಅಲ್ಲ. ಅವನ ಕ್ರಿಯೆಗಳು ಅಷ್ಟು ಊಹಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ ಮತ್ತು ಸ್ವಯಂಚಾಲಿತ ಉಪಕರಣಗಳು ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಲ್ಲದೆ ನಿರ್ವಹಿಸಲಾದ ಹ್ಯಾಕರ್ ಅಥವಾ ಪೆಂಟೆಸ್ಟರ್‌ನ ಕ್ರಿಯೆಗಳಿಗೆ ಹೆಚ್ಚು ಹೋಲುತ್ತವೆ. ಆದ್ದರಿಂದ, ಮಾಲ್‌ವೇರ್ ಸಹಿಗಳಿಲ್ಲದೆ ಈ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು ಸಾಮಾನ್ಯ ಆಂಟಿವೈರಸ್ ಸ್ಕ್ಯಾನಿಂಗ್‌ಗಿಂತ ಹೆಚ್ಚು ಸವಾಲಿನ ಸಂಗತಿಯಾಗಿದೆ.

ರಿಮೋಟ್ ಶೆಲ್‌ಗಳಿಂದ ಕಂಪನಿಗಳನ್ನು ರಕ್ಷಿಸಲು ಮೂರು ಶಿಫಾರಸುಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ:

1. ಎಲ್ಲಾ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನವೀಕೃತವಾಗಿರಿಸಿ
   ದಾಳಿಕೋರರು ಸಾಮಾನ್ಯವಾಗಿ ಸಾಫ್ಟ್‌ವೇರ್ ಮತ್ತು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಸಂಸ್ಥೆಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಹರಡಲು ಮತ್ತು ಆಸಕ್ತಿಯ ಡೇಟಾವನ್ನು ಹುಡುಕಲು ಬಳಸುತ್ತಾರೆ
   ಕಳ್ಳತನ. ಸಕಾಲಿಕ ಪ್ಯಾಚಿಂಗ್ ಅಂತಹ ಬೆದರಿಕೆಗಳ ಅಪಾಯವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.
2. ಅಸಂಗತ ಡೇಟಾ ಪ್ರವೇಶ ಘಟನೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ
   ಹೆಚ್ಚಾಗಿ, ದಾಳಿಕೋರರು ಸಂಸ್ಥೆಯ ಗೌಪ್ಯ ಡೇಟಾವನ್ನು ಪರಿಧಿಯ ಆಚೆಗೆ ತೆಗೆದುಕೊಳ್ಳಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ಈ ಡೇಟಾಗೆ ಅಸಂಗತ ಪ್ರವೇಶ ಘಟನೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ
   ರಾಜಿ ಮಾಡಿಕೊಂಡ ಬಳಕೆದಾರರನ್ನು ಮತ್ತು ದಾಳಿಕೋರರ ಕೈಗೆ ನಿಜವಾಗಿಯೂ ಬೀಳಬಹುದಾದ ಸಂಪೂರ್ಣ ಫೋಲ್ಡರ್‌ಗಳು ಮತ್ತು ಫೈಲ್‌ಗಳನ್ನು ಪತ್ತೆ ಮಾಡಿ ಮತ್ತು ಈ ಬಳಕೆದಾರರಿಗೆ ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಮಾತ್ರ ಪರಿಗಣಿಸಬೇಡಿ.
3. ನೆಟ್ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ
   ಫೈರ್‌ವಾಲ್ ಮತ್ತು/ಅಥವಾ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಅನ್ನು ಬಳಸುವುದರಿಂದ ಮಾಲ್‌ವೇರ್ ನಿಯಂತ್ರಣ ಕೇಂದ್ರಗಳಿಗೆ (C&C ಸರ್ವರ್‌ಗಳು) ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪರ್ಕಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಬಹುದು ಮತ್ತು ನಿರ್ಬಂಧಿಸಬಹುದು, ಆಕ್ರಮಣಕಾರರನ್ನು ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸದಂತೆ ತಡೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ
   ಪರಿಧಿಯ ಡೇಟಾ.

ಬೂದು ಗಣಿಗಾರಿಕೆಯ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಕಾಳಜಿ ಇದೆಯೇ? ರಕ್ಷಣೆಗಾಗಿ ಆರು ಶಿಫಾರಸುಗಳು:

1. ಎಲ್ಲಾ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳನ್ನು ನವೀಕೃತವಾಗಿರಿಸಿಕೊಳ್ಳಿ
   ಸಂಪನ್ಮೂಲಗಳ ದುರುಪಯೋಗ ಮತ್ತು ಮಾಲ್‌ವೇರ್ ಸೋಂಕುಗಳನ್ನು ತಡೆಗಟ್ಟಲು ಪ್ಯಾಚ್ ನಿರ್ವಹಣೆ ಬಹಳ ಮುಖ್ಯ.
2. ನೆಟ್ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಮತ್ತು ವೆಬ್ ಪ್ರಾಕ್ಸಿಗಳನ್ನು ನಿಯಂತ್ರಿಸಿ
   ಕೆಲವು ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಇದನ್ನು ಮಾಡಿ, ಮತ್ತು ಅವುಗಳಲ್ಲಿ ಕೆಲವನ್ನು ತಡೆಗಟ್ಟಲು ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಡೊಮೇನ್‌ಗಳ ಕುರಿತು ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ ದಟ್ಟಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸಬಹುದು ಅಥವಾ ಅನಗತ್ಯ ಡೇಟಾ ಪ್ರಸರಣ ಚಾನಲ್‌ಗಳನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು.
3. ಆಂಟಿವೈರಸ್ ಪರಿಹಾರಗಳು ಮತ್ತು ಎಂಡ್‌ಪಾಯಿಂಟ್ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಬಳಸಿ ಮತ್ತು ನಿರ್ವಹಿಸಿ (ಆದರೆ ಈ ರಕ್ಷಣೆಯ ಪದರವನ್ನು ಬಳಸಲು ನಿಮ್ಮನ್ನು ಮಿತಿಗೊಳಿಸಬೇಡಿ).
   ಎಂಡ್‌ಪಾಯಿಂಟ್ ಉತ್ಪನ್ನಗಳು ಸುಪ್ರಸಿದ್ಧ ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಬಹುದು ಮತ್ತು ಸಿಸ್ಟಂ ಕಾರ್ಯಕ್ಷಮತೆ ಮತ್ತು ಶಕ್ತಿಯ ಬಳಕೆಗೆ ಹಾನಿಯಾಗುವ ಮೊದಲು ಸೋಂಕುಗಳನ್ನು ತಡೆಯಬಹುದು. ಹೊಸ ಮಾರ್ಪಾಡುಗಳು ಅಥವಾ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಡೆಗಟ್ಟುವ ಹೊಸ ವಿಧಾನಗಳು ಅದೇ ಮಾಲ್‌ವೇರ್‌ನ ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಎಂಡ್‌ಪಾಯಿಂಟ್ ಭದ್ರತೆಯು ವಿಫಲಗೊಳ್ಳಲು ಕಾರಣವಾಗಬಹುದು ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ.
4. ಕಂಪ್ಯೂಟರ್ CPU ಚಟುವಟಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ
   ವಿಶಿಷ್ಟವಾಗಿ, ಕ್ರಿಪ್ಟೋ ಗಣಿಗಾರರು ಗಣಿಗಾರಿಕೆಗಾಗಿ ಕಂಪ್ಯೂಟರ್‌ನ ಕೇಂದ್ರ ಸಂಸ್ಕಾರಕವನ್ನು ಬಳಸುತ್ತಾರೆ. ಕಾರ್ಯಕ್ಷಮತೆಯ ಇಳಿಕೆಯ ಬಗ್ಗೆ ಯಾವುದೇ ಸಂದೇಶಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಅವಶ್ಯಕ ("ನನ್ನ ಕಂಪ್ಯೂಟರ್ ನಿಧಾನಗೊಳ್ಳಲು ಪ್ರಾರಂಭಿಸಿದೆ.").
5. ಡೈನಾಮಿಕ್ DNS ಸೇವೆಗಳ ಅಸಾಮಾನ್ಯ ಬಳಕೆಗಾಗಿ DNS ಅನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ (DuckDNS ನಂತಹ)

   DuckDNS ಮತ್ತು ಇತರ ಡೈನಾಮಿಕ್ DNS ಸೇವೆಗಳು ಸಿಸ್ಟಮ್‌ಗೆ ಅಂತರ್ಗತವಾಗಿ ಹಾನಿಕಾರಕವಲ್ಲವಾದರೂ, ಮಾಲ್‌ವೇರ್‌ನಿಂದ DuckDNS ಬಳಕೆಯು ಸೋಂಕಿತ ಹೋಸ್ಟ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಮ್ಮ ತನಿಖಾ ತಂಡಗಳಿಗೆ ಸುಲಭವಾಯಿತು.

6. ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ಯೋಜನೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿ
   ಬೂದು ಕ್ರಿಪ್ಟೋ ಗಣಿಗಾರಿಕೆಯ ಬೆದರಿಕೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆಹಚ್ಚಲು, ಒಳಗೊಂಡಿರುವ ಮತ್ತು ತಗ್ಗಿಸಲು ಅಂತಹ ಘಟನೆಗಳಿಗೆ ಅಗತ್ಯವಾದ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ನೀವು ಹೊಂದಿದ್ದೀರಿ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.

Varonis ಗ್ರಾಹಕರಿಗೆ ಗಮನಿಸಿ.
ವರೋನಿಸ್ ಡೇಟಾ ಅಲರ್ಟ್ ಕ್ರಿಪ್ಟೋಮೈನಿಂಗ್ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಬೆದರಿಕೆ ಮಾದರಿಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಕಪ್ಪುಪಟ್ಟಿಗೆ ಅಭ್ಯರ್ಥಿಗಳಾಗಿರುವ ಡೊಮೇನ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ಸಾಫ್ಟ್‌ವೇರ್ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಗುರಿಯಾಗಿಸಲು ಗ್ರಾಹಕರು ಕಸ್ಟಮ್ ನಿಯಮಗಳನ್ನು ರಚಿಸಬಹುದು. ನೀವು DatAlert ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯನ್ನು ಚಲಾಯಿಸುತ್ತಿರುವಿರಿ ಮತ್ತು ಸರಿಯಾದ ಬೆದರಿಕೆ ಮಾದರಿಗಳನ್ನು ಬಳಸುತ್ತಿರುವುದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ನಿಮ್ಮ ಮಾರಾಟ ಪ್ರತಿನಿಧಿ ಅಥವಾ Varonis ಬೆಂಬಲವನ್ನು ಸಂಪರ್ಕಿಸಿ.

ಮೂಲ: www.habr.com