اسان جي سائبر سيڪيورٽي جي تحقيقاتي ٽيم تازو هڪ نيٽ ورڪ جي تحقيق ڪئي جيڪا تقريبن مڪمل طور تي هڪ وچولي ڪمپني ۾ ڪرپٽومائنگ وائرس سان متاثر ٿيل هئي. تجزيو
گڏ ڪيل مالويئر جا نمونا ڏيکاريا ويا ته هڪ نئين ترميم ملي وئي هئي
جهڙوڪ وائرس، سڏيو ويندو آهي ان جي موجودگي کي لڪائڻ جا مختلف طريقا استعمال ڪندي. ان کان علاوه، اهو دريافت ڪيو ويو ، جيڪو شايد مائننگ آپريٽرن سان لاڳاپيل هجي.
مطالعي جو جائزو
- Varonis ڪمپني cryptominers سان هڪ وڏي پيماني تي انفيڪشن جي نشاندهي ڪئي آهي: ڪمپني ۾ تقريبن سڀئي سرور ۽ ڪم اسٽيشنون اهڙي سافٽ ويئر سان متاثر ٿيا
- شروعاتي انفيڪشن کان وٺي هڪ سال اڳ کان، تبديلين ۽ متاثر ٿيل ڊوائيسز جو تعداد مسلسل وڌي رهيو آهي
- اسان دريافت ڪيو هڪ نئين قسم جو Monero cryptominer (نارمن) جيڪو مختلف طريقن کي استعمال ڪري ٿو ان کي لڪائڻ لاءِ سيڪيورٽي سافٽ ويئر پاران تجزيو ڪرڻ کان بچڻ لاءِ.
- گهڻو ڪري مالويئر مختلف قسمن DuckDNS (هڪ مفت متحرڪ DNS سروس) استعمال ڪيو ڪنٽرول سينٽر سان ڳنڍڻ لاءِ (C&C سرورز) ۽ ڪنفيگريشن پيٽرولر حاصل ڪرڻ يا نئين ڊيٽا موڪلڻ لاءِ
- نارمن ھڪڙو اعلي ڪارڪردگي Monero cryptocurrency Miner آھي جنھن تي ٻڌل آھي اوپن سورس مائنر - XMRig
- اسان وٽ اڃا تائين ناقابلِ ترديد ثبوت نه آهن جيڪي cryptominers سان ڳنڍيندڙ PHP شيل سان. بهرحال، يقين ڪرڻ جا سٺا سبب آهن ته اهي ساڳيا حملي آور کان اچي رهيا آهن. محقق اهڙي ڪنيڪشن جي موجودگي يا غير موجودگي لاء اضافي ثبوت گڏ ڪري رهيا آهن.
- هن آرٽيڪل ۾ توهان پاڻ کي واقف ڪري سگهو ٿا Varonis جي سفارشن سان ريموٽ ويب شيل ۽ cryptominers جي خلاف تحفظ جي حوالي سان
تحقيق
تحقيق ايندڙ پائلٽ منصوبي دوران شروع ٿي (Varonis Data Security Platform)، جنهن انٽرنيٽ جي درخواستن دوران (ويب پراکسي ذريعي) نيٽ ورڪ جي سطح تي ڪيترن ئي مشڪوڪ غير معمولي واقعن کي جلدي سڃاڻڻ ممڪن ڪيو، جيڪو فائل سسٽم تي غير معمولي عملن سان لاڳاپيل آهي.
گراهڪ فوري طور تي اشارو ڪيو ته ڊوائيسز اسان جي پليٽ فارم جي سڃاڻپ
انهن ئي استعمال ڪندڙن سان واسطو رکي ٿو جن تازو ئي ايپليڪيشن جي حادثن ۽ نيٽ ورڪ جي سست ٿيڻ جي رپورٽ ڪئي آهي.
اسان جي ٽيم دستي طور تي گراهڪ جي ماحول جو معائنو ڪيو، هڪ متاثر ٿيل اسٽيشن کان ٻئي ڏانهن منتقل ٿيڻ وارن وارنس پليٽ فارم پاران تيار ڪيل خبردارين جي مطابق. واقعي جي جوابي ٽيم هڪ خاص قاعدو ٺاهي ڇڏيو آهي ڪمپيوٽرن کي ڳولڻ لاء جيڪي فعال طور تي کان کني رهيا هئا، جن کي جلدي خطري کي ختم ڪرڻ ۾ مدد ڪئي. گڏ ڪيل مالويئر جا نمونا فرانزڪ ۽ ڊولپمينٽ ٽيمن کي موڪليا ويا، جن ٻڌايو ته نمونن جي وڌيڪ جانچ ضروري آهي.
متاثر ٿيل نوڊس دريافت ڪيا ويا انهن جي ڪالن جي ڪري DuckDNS, هڪ متحرڪ DNS سروس جيڪا ان جي استعمال ڪندڙن کي اجازت ڏئي ٿي ته اهي پنهنجون ڊومين جا نالا ٺاهي سگهن ۽ انهن کي تڪڙو نقشو ٺاهي IP پتي کي تبديل ڪرڻ لاءِ. جيئن مٿي بيان ڪيو ويو آهي، واقعي ۾ اڪثر مالويئر DuckDNS تائين رسائي حاصل ڪئي ڪنٽرول سينٽر (C&C) سان ڳنڍڻ لاءِ، جڏهن ته ٻيا ڪنفيگريشن پيٽرولر تائين رسائي حاصل ڪيا يا نئين ڊيٽا موڪلي.
لڳ ڀڳ سڀئي سرور ۽ ڪمپيوٽر مالويئر سان متاثر ٿيا. بنيادي طور تي استعمال ٿيل
cryptominers جي عام variants. ٻين مالويئر ۾ پاسورڊ ڊمپ ٽولز ۽ پي ايڇ پي شيل شامل هئا، جڏهن ته ڪيترائي اوزار ڪيترن سالن کان ڪم ڪري رهيا هئا.
اسان ڪسٽمر کي نتيجا مهيا ڪيا، مالويئر کي سندن ماحول مان هٽايو، ۽ وڌيڪ انفيڪشن کي روڪيو.
cryptominers جي سڀني دريافت ڪيل نمونن مان، ھڪڙو بيٺو ھو. اسان کيس نالو ڏنو Norman.
ملو! نارمن. Cryptominer
نارمن هڪ اعلي ڪارڪردگي Monero cryptocurrency Miner آهي XMRig ڪوڊ جي بنياد تي. ٻين مائنر نموني جي برعڪس، نارمن ٽيڪنالاجي استعمال ڪري ٿو ان کي لڪائڻ لاءِ حفاظتي سافٽ ويئر جي تجزيي کان پاسو ڪرڻ ۽ وڌيڪ پکيڙ کي روڪڻ لاءِ.
پهرين نظر ۾، هي مالويئر svchost.exe جي نالي هيٺ لڪائي هڪ باقاعده مائنر آهي. بهرحال، مطالعي مان معلوم ٿئي ٿو ته اهو ڳولڻ کان لڪائڻ ۽ شين کي هلائڻ لاء وڌيڪ دلچسپ طريقا استعمال ڪندو آهي.
هن مالويئر جي ٺهڻ واري عمل کي ٽن مرحلن ۾ ورهائي سگهجي ٿو:
- ڪارڪردگي؛
- عملدرآمد؛
- کان کني
قدم بہ قدم تجزيو
اسٽيج 1. عملدرآمد
پهريون مرحلو شروع ٿئي ٿو قابل عمل فائل svchost.exe سان.
مالويئر NSIS (Nullsoft Scriptable Install System) استعمال ڪندي مرتب ڪيو ويو آهي، جيڪو غير معمولي آهي. NSIS هڪ اوپن سورس سسٽم آهي جيڪو ونڊوز انسٽالر ٺاهڻ لاءِ استعمال ٿيندو آهي. SFX وانگر، هي سسٽم فائلن جو هڪ آرڪائيو ۽ اسڪرپٽ فائل ٺاهي ٿو جيڪو انسٽالر هلائڻ دوران عمل ڪيو ويندو آهي. اسڪرپٽ فائل پروگرام کي ٻڌائي ٿي ته ڪهڙيون فائلون هلائڻيون آهن ۽ آرڪائيو ۾ موجود ٻين فائلن سان لهه وچڙ ۾ اچي سگهن ٿيون.
نوٽ: هڪ قابل عمل فائل مان NSIS اسڪرپٽ فائل حاصل ڪرڻ لاءِ، توهان کي 7zip ورجن 9.38 استعمال ڪرڻ گهرجي، جيئن بعد وارا ورجن هن خصوصيت کي لاڳو نٿا ڪن.
NSIS محفوظ ڪيل مالويئر ۾ ھيٺيون فائلون شامل آھن:
- CallAnsiPlugin.dll, CLR.dll - ڪال ڪرڻ لاءِ NSIS ماڊلز .NET DLL افعال؛
- 5zmjbxUIOVQ58qPR.dll - مکيه پيل لوڊ DLL؛
- 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - پيل لوڊ فائلون؛
- Retreat.mp3، Cropped_controller_config_controller_i_lb.png صرف فائلون آهن جيڪي ڪنهن به طريقي سان وڌيڪ بدسلوڪي سرگرمي سان لاڳاپيل نه آهن.
NSIS اسڪرپٽ فائل مان حڪم جيڪو پيل لوڊ هلائي ٿو هيٺ ڏنل آهي.
مالويئر 5zmjbxUIOVQ58qPR.dll فنڪشن کي ڪال ڪندي عمل ڪيو ويندو آهي، جيڪو ٻين فائلن کي پيٽرولر طور وٺندو آهي.
اسٽيج 2. عمل درآمد
فائل 5zmjbxUIOVQ58qPR.dll مکيه پيلي لوڊ آهي، جيئن مٿي ڏنل NSIS اسڪرپٽ مان ڏسي سگھجي ٿو. ميٽاداٽا جو هڪ تڪڙو تجزيو ظاهر ڪيو ويو آهي ته DLL اصل ۾ Norman.dll سڏيو ويندو هو، تنهنڪري اسان اهو نالو رکيو.
DLL فائل .NET ۾ ڊولپ ڪئي وئي آهي ۽ ريورس انجنيئرنگ کان محفوظ آهي ٽريپل اوبڪسيشن ذريعي
استعمال ڪندي معروف تجارتي پراڊڪٽ Agile .NET Obfuscator.
عمل جي دوران، خود انجيڪشن جا ڪيترائي عمل ان جي پنهنجي عمل ۾ شامل آهن، انهي سان گڏ ٻين عملن ۾. OS بٽ جي کوٽائي تي مدار رکندي، مالويئر ٿيندو
سسٽم فولڊر ڏانهن مختلف رستا چونڊيو ۽ مختلف عمل شروع ڪريو.
سسٽم فولڊر جي رستي جي بنياد تي، مالويئر کي هلائڻ لاء مختلف پروسيس چونڊيندو.
انجيل پيل لوڊ جا ٻه مکيه ڪم آهن: هڪ cryptominer کي هلائڻ ۽ ڳولڻ کي روڪڻ.
جيڪڏهن OS 64-bit آهي
جڏهن اصل svchosts.exe فائل (NSIS فائل) تي عمل ڪيو ويندو آهي، اهو پنهنجو هڪ نئون عمل ٺاهي ٿو ۽ ان ۾ پيل لوڊ (1) داخل ڪري ٿو. جلدي کان پوء، اهو شروع ڪري ٿو notepad.exe يا explorer.exe، ۽ ان ۾ cryptominer injects (2).
ان کان پوء، اصل svchost.exe فائل نڪرندي آهي، ۽ نئين svchost.exe فائل هڪ پروگرام طور استعمال ڪيو ويندو آهي جيڪو منر جي عمل کي مانيٽر ڪري ٿو.
جيڪڏهن OS 32-bit آهي
جڏهن اصل svchosts.exe فائل (NSIS فائل) هلندي آهي، اهو پنهنجي عمل کي نقل ڪري ٿو ۽ ان ۾ پيل لوڊ داخل ڪري ٿو، بلڪل 64-bit ورجن وانگر.
انهي حالت ۾، مالويئر صارف جي explorer.exe عمل ۾ هڪ پيل لوڊ داخل ڪري ٿو. اتان کان، بدسلوڪي ڪوڊ هڪ نئين عمل کي شروع ڪري ٿو (wuapp.exe يا vchost.exe) ۽ ان ۾ هڪ مائنر کي انجڻ.
مالويئر حقيقت کي لڪائيندو آهي ته اهو پاڻ کي explorer.exe ۾ انجيڪشن ڪيو آهي اڳئين انجيڪشن ڪوڊ کي اوور رائٽ ڪندي wuapp.exe ۽ خالي قدرن جي رستي سان.
جيئن ته اهو معاملو آهي جڏهن 64-bit ماحول ۾ هلندو آهي، اصل svchost.exe عمل نڪرندو آهي، ۽ ٻيو هڪ استعمال ڪيو ويندو آهي بدسلوڪي ڪوڊ کي ٻيهر explorer.exe ۾ داخل ڪرڻ لاءِ جيڪڏهن اهو عمل صارف طرفان ختم ڪيو وڃي.
عملدرآمد الورورٿم جي آخر ۾، مالويئر هميشه هڪ cryptominer کي ان جائز عمل ۾ داخل ڪري ٿو جيڪو اهو شروع ڪري ٿو.
اهو ٺهيل آهي ته مائنر کي ختم ڪندي ڳولڻ کي روڪڻ لاءِ جڏهن صارف ٽاسڪ مئنيجر شروع ڪري.
مهرباني ڪري نوٽ ڪريو ته ٽاسڪ مئنيجر شروع ڪرڻ کان پوء، wuapp.exe عمل ختم ٿئي ٿو.
ٽاسڪ مئنيجر کي بند ڪرڻ کان پوء، مالويئر wuapp.exe عمل کي ٻيهر شروع ڪري ٿو
ڪم ڪندڙ ان کي ان ۾ داخل ڪري ٿو.
اسٽيج 3. منر
مٿي ذڪر ڪيل XMRig مائنر تي غور ڪريو.
مالويئر مائنر جي UPX نسخي کي نوٽ پيڊ، exe، explorer.exe ۾ داخل ڪري ٿو،
svchost.exe يا wuapp.exe، OS بٽ جي کوٽائي ۽ عمل جي الگورتھم جي اسٽيج تي منحصر ڪري ٿو.
مائنر ۾ پي اي هيڊر کي هٽايو ويو آهي ۽ هيٺ ڏنل اسڪرين شاٽ ۾ اسان ڏسي سگهون ٿا ته اهو UPX سان ماسڪ ٿيل آهي.
ڊمپ ٺاهڻ ۽ قابل عمل کي ٻيهر تعمير ڪرڻ کان پوء، اسان ان کي هلائڻ جي قابل هئا:
اهو ياد رکڻ گهرجي ته ٽارگيٽ XMR سائيٽ تائين رسائي کي رد ڪيو ويو آهي، جيڪو مؤثر طور تي هن منر کي غير جانبدار ڪري ٿو.
منر جي جوڙجڪ:
"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"پراسرار PHP شيل ڊيٽا C&C ڏانهن منتقل ڪري رهيو آهي
هن تحقيق دوران، اسان جي فارنڪس ٽيم هڪ XSL فائل دريافت ڪيو جنهن انهن جو ڌيان ڇڪايو. نموني جي اندرين تجزيي کان پوء، هڪ نئون PHP شيل دريافت ڪيو ويو جيڪو مسلسل ڪنٽرول سينٽر (C&C سرور) سان ڳنڍيندو آهي.
صارف جي ماحول ۾ ڪيترن ئي سرورن تي هڪ XSL فائل ملي وئي جيڪا sysWOW64 ڊاريڪٽري ۾ هڪ فولڊر مان سڃاتل ونڊوز ايگزيڪيوٽوبل (mscorsv.exe) پاران شروع ڪئي وئي هئي.
مالويئر فولڊر کي آٽو ريڪور سڏيو ويو ۽ شامل ڪيو ويو ڪيترائي فائلون:
- XSL فائل: xml.XSL
- نو DLL فائلون
قابل عمل فائلون:
- mscorsv.exe
- wmiprvse.exe
XSL فائل
XSL فائلون اسلوب شيٽون آھن، جيڪي سي ايس ايس ۾ استعمال ٿيل آھن، جيڪي بيان ڪن ٿيون ته ڪيئن XML دستاويز ڏيکاريو وڃي.
نوٽ پيڊ استعمال ڪندي، اسان اهو طئي ڪيو ته اهو نه هو، حقيقت ۾، هڪ XSL فائل، بلڪه PHP ڪوڊ Zend گارڊ طرفان ڇڪايو ويو. هن تجسس حقيقت جو مشورو ڏنو ته اهو هو
مالويئر جو پيل لوڊ ان جي عملدرآمد الگورتھم جي بنياد تي.
نو ڊي ايل ايل
XSL فائل جي شروعاتي تجزيي جي نتيجي ۾ اهو نڪتو ته اهڙي نمبر جي موجودگي
DLLs هڪ خاص معني آهي. مکيه فولڊر ۾ php.dll نالي هڪ DLL ۽ SSL ۽ MySQL سان لاڳاپيل ٽي ٻيون لائبريريون شامل آهن. ذيلي فولڊرن ۾، ماهرن کي چار PHP لائبريريون ۽ هڪ زينڊ گارڊ لائبريري ملي. اهي سڀئي جائز آهن، ۽ PHP تنصيب پيڪيج مان حاصل ڪيا ويا آهن يا خارجي dlls جي طور تي.
هن اسٽيج تي، اهو فرض ڪيو ويو ته مالويئر پي ايڇ پي جي بنياد تي ٺاهي وئي ۽ زينڊ گارڊ طرفان ڇڪايو ويو.
قابل عمل فائلون
هن فولڊر ۾ پڻ ٻه قابل عمل فائلون هيون: Mscorsv.exe ۽ Wmiprvse.exe.
mscorsv.exe فائل جي تجزيو ڪرڻ کان پوء، اسان اهو طئي ڪيو ته اهو Microsoft طرفان دستخط نه ڪيو ويو آهي، جيتوڻيڪ ان جي پيداوار جو نالو پيٽرولر "Microsoft" تي مقرر ڪيو ويو آهي. نيٽ فريم ورڪ".
پهرين ته اهو صرف عجيب لڳي، پر تجزيي ڪرڻ Wmiprvse.exe اسان کي صورتحال کي بهتر سمجهڻ جي اجازت ڏني.
Wmiprvse.exe فائل پڻ غير دستخط ٿيل هئي، پر PHP گروپ ڪاپي رائيٽ جي علامت ۽ PHP آئڪن تي مشتمل هئي. ان جي لائينن تي هڪ تڪڙو نظر پي ايڇ پي جي مدد کان حڪم نازل ڪيو. جڏهن -version سوئچ سان عمل ڪيو ويو، اهو دريافت ڪيو ويو ته اها هڪ قابل عمل فائل هئي جيڪا Zend گارڊ کي هلائڻ لاء ٺهيل هئي.
جڏهن mscorsv.exe ساڳئي طريقي سان شروع ڪيو ويو، ساڳئي ڊيٽا اسڪرين تي ڏيکاريل هئي. اسان انهن ٻن فائلن جي بائنري ڊيٽا جو مقابلو ڪيو ۽ ڏٺو ته اهي هڪجهڙا آهن، سواءِ ميٽاڊيٽا جي
ڪاپي رائيٽ ۽ ڪمپني جو نالو/پراڊڪٽ جو نالو.
ان جي بنياد تي، اهو نتيجو ڪيو ويو ته XSL فائل ۾ PHP ڪوڊ شامل آهي جيڪو Zend Guard executable فائل استعمال ڪندي، mscorsv.exe جي نالي سان لڪايو ويو.
XSL فائل کي پارس ڪرڻ
انٽرنيٽ سرچ استعمال ڪندي، ماهرن جلدي حاصل ڪيو Zend Guard deobfuscation tool ۽ xml.XSL فائل جي اصل شڪل کي بحال ڪيو:
اهو ظاهر ٿيو ته مالويئر پاڻ هڪ PHP شيل آهي جيڪو مسلسل ڪنٽرول سينٽر (C&C سرور) سان ڳنڍيل آهي.
ڪمانڊ ۽ آئوٽ ان کي موڪلي ٿو ۽ وصول ڪري ٿو انڪوڊ ٿيل آهن. جيئن ته اسان وٽ سورس ڪوڊ هو، اسان وٽ انڪريپشن ڪي ۽ ڪمانڊ ٻئي هئا.
ھي مالويئر ھيٺ ڏنل بلٽ ان ڪارڪردگي تي مشتمل آھي:
- Eval - عام طور تي ڪوڊ ۾ موجود متغير کي تبديل ڪرڻ لاء استعمال ڪيو ويو
- مقامي فائل رڪارڊنگ
- ڊيٽابيس سان ڪم ڪرڻ جا امڪان
- PSEXEC سان ڪم ڪرڻ جا امڪان
- پوشیدہ عملدرآمد
- نقشي سازي جا عمل ۽ خدمتون
هيٺ ڏنل متغير مان معلوم ٿئي ٿو ته مالويئر جا ڪيترائي نسخا آهن.
نموني گڏ ڪرڻ وقت، هيٺيان نسخا دريافت ڪيا ويا:
- 0.5f
- 0.4p
- 0.4o
سسٽم تي مالويئر جي مسلسل موجودگي کي يقيني بڻائڻ جو واحد ڪم اهو آهي ته جڏهن عمل ڪيو وڃي، اهو هڪ خدمت ٺاهي ٿو جيڪو پاڻ کي عمل ڪري ٿو، ۽ ان جو نالو
ورجن کان ورجن تائين تبديليون.
ماهرن انٽرنيٽ تي اهڙا نمونا ڳولڻ جي ڪوشش ڪئي ۽ مالويئر دريافت ڪيو
جيڪو، سندن خيال ۾، موجوده نموني جو اڳوڻو نسخو هو. فولڊر جا مواد ساڳيا هئا، پر XSL فائل مختلف هئي ۽ هڪ مختلف نسخو نمبر هو.
Parle-Vu مالويئر؟
مالويئر فرانس يا ڪنهن ٻئي فرانسيسي ڳالهائيندڙ ملڪ ۾ پيدا ٿي سگھي ٿو: SFX فائل ۾ فرانسيسي ۾ تبصرا هئا، انهي مان ظاهر ٿئي ٿو ته ليکڪ ان کي ٺاهڻ لاء WinRAR جو فرانسيسي نسخو استعمال ڪيو.
ان کان علاوه، ڪوڊ ۾ ڪي متغير ۽ افعال پڻ فرانسيسي ۾ نالا ڪيا ويا.
عملدرآمد جي نگراني ۽ نون حڪمن جو انتظار
ماهرن مالويئر ڪوڊ کي تبديل ڪيو ۽ محفوظ طور تي اڳ ۾ ئي تبديل ٿيل شروع ڪيو
ورشن حاصل ڪيل حڪمن بابت معلومات گڏ ڪرڻ لاء.
پهرين ڪميونيڪيشن سيشن جي آخر ۾، ماهرن ڏٺو ته مالويئر انڪوڊ ٿيل ڪمانڊ حاصل ڪيو بيس 64 استعمال ڪندي EVAL64 لانچ ڪيچ لاءِ دليل طور.
هي حڪم ڊيڪوڊ ڪيو ويو آهي ۽ عمل ڪيو ويو آهي. اهو ڪيترن ئي اندروني متغيرن کي تبديل ڪري ٿو (پڙهڻ ۽ لکڻ بفر سائيز)، جنهن کان پوء مالويئر ڪم جي چڪر ۾ داخل ٿئي ٿو حڪمن جي انتظار ۾.
هن وقت، ڪوبه نئون حڪم نه مليو آهي.
انٽرايڪٽو PHP شيل ۽ cryptominer: ڇا اهي لاڳاپيل آهن؟
Varonis ماهرن کي پڪ ناهي ته ڇا نارمن PHP شيل سان لاڳاپيل آهي، ڇو ته هن مفروضي لاء ۽ خلاف مضبوط دليل آهن:
انهن جو تعلق ڇو ٿي سگهي ٿو؟
- بدسلوڪي cryptomining سافٽ ويئر نمونن مان ڪو به آزاديء سان ٻين سسٽم تائين ڦهلائڻ جي صلاحيت نه هئي، جيتوڻيڪ اهي مختلف ڊوائيسز تي مختلف نيٽ ورڪ حصن ۾ مليا ويا. اهو ممڪن آهي ته حملي آور هر نوڊ کي الڳ الڳ متاثر ڪيو (شايد اهو ساڳيو حملو ویکٹر استعمال ڪندي جڏهن مريض زيرو کي متاثر ڪيو وڃي)، جيتوڻيڪ اهو وڌيڪ اثرائتو هوندو ته پي ايڇ پي شيل کي استعمال ڪرڻ لاءِ پوري نيٽ ورڪ ۾ پکڙجي جيڪو حملي جو نشانو هو.
- وڏي پيماني تي، ھدف ٿيل خودڪار مهمون ھڪڙي مخصوص تنظيم جي خلاف ھدايت ڪن ٿيون، اڪثر ڪري ٽيڪنيڪل نمونن يا سائبر سيڪيورٽي خطرن جي سڃاڻپ ڪندڙ نشانن کي ڇڏي ڏين ٿا. هن معاملي ۾، ڪجهه به نه مليو آهي.
- ٻئي نارمن ۽ پي ايڇ پي شيل استعمال ڪيو DuckDNS سروس.
انهن جو تعلق ڇو نه هجي؟
- cryptomining malware variants ۽ PHP شيل جي وچ ۾ ڪا به ٽيڪنيڪل هڪجهڙائي نه آهي. بدسلوڪي cryptominer C++ ۾ ٺاهي وئي آهي، ۽ شيل PHP ۾ آهي. انهي سان گڏ، ڪوڊ جي جوڙجڪ ۾ ڪا به هڪجهڙائي نه آهي، ۽ نيٽ ورڪ جي ڪم کي مختلف طور تي لاڳو ڪيو ويو آهي.
- ڊيٽا مٽائڻ لاءِ مالويئر مختلف قسمن ۽ PHP شيل جي وچ ۾ ڪوبه سڌو رابطو ناهي.
- اهي ڊولپر جي تبصرن، فائلن، ميٽا ڊيٽا، يا ڊجيٽل فنگر پرنٽس کي حصيداري نٿا ڪن.
ريموٽ شيل جي خلاف حفاظت لاء ٽي سفارشون
مالويئر، جنهن کي هلائڻ لاءِ ڪنٽرول سينٽر (C&C سرورز) کان حڪمن جي ضرورت آهي، باقاعده وائرس وانگر ناهي. هن جا ڪارناما ايتري قدر اڳڪٿي نه ٿا ڪري سگهجن ۽ هيڪر يا پينٽيسٽر جي ڪارناما کان وڌيڪ ملندڙ جلندڙ هوندا، جيڪي خودڪار اوزار يا اسڪرپٽ کان سواءِ ڪيا ويندا آهن. تنهن ڪري، انهن حملن کي ڳولڻ بغير مالويئر جي نشانين جي باقاعده اينٽي وائرس اسڪيننگ کان وڌيڪ مشڪل آهي.
ڪمپنين کي ريموٽ شيلز کان بچائڻ لاءِ هيٺيون ٽي سفارشون آهن:
- سڀني سافٽ ويئر کي اپڊيٽ رکو
حملي آور اڪثر ڪري سافٽ ويئر ۽ آپريٽنگ سسٽم ۾ ڪمزورين کي استعمال ڪندا آهن ته جيئن ڪنهن تنظيم جي نيٽ ورڪ ۾ پکڙجي وڃي ۽ دلچسپي جي ڊيٽا کي ڳولڻ لاءِ
چوري. بروقت پيچنگ خاص طور تي اهڙن خطرن جي خطري کي گھٽائي ٿي. - غير معمولي ڊيٽا جي رسائي جي واقعن جي نگراني ڪريو
گهڻو ڪري، حملو ڪندڙ تنظيم جي ڳجهي ڊيٽا کي حد کان ٻاهر کڻڻ جي ڪوشش ڪندا. هن ڊيٽا تائين غير معمولي رسائي جي واقعن جي نگراني ڪرڻ جي اجازت ڏيندو
سمجهوتو ڪندڙ استعمال ڪندڙن ۽ فولڊرن ۽ فائلن جو پورو سيٽ ڳوليو جيڪو اصل ۾ حملي آورن جي هٿن ۾ اچي سگهي ٿو، ۽ نه رڳو انهن سڀني صارفن لاءِ موجود ڊيٽا تي غور ڪريو. - نيٽورڪ ٽرئفڪ جي نگراني ڪريو
فائر وال ۽/يا پراڪسي سرور استعمال ڪرڻ سان مالويئر ڪنٽرول سينٽرز (سي اينڊ سي سرورز) سان بدسلوڪي ڪنيڪشنن کي ڳولي ۽ بلاڪ ڪري سگھجي ٿو، حملي ڪندڙن کي حڪمن تي عمل ڪرڻ کان روڪڻ ۽ ان کي وڌيڪ ڏکيو بنائڻ
دائري جي ڊيٽا.
گرين کان کني جي مسئلي بابت ڳڻتي آهي؟ حفاظت لاء ڇهه سفارشون:
- سڀني آپريٽنگ سسٽم کي اپڊيٽ رکو
وسيلن جي غلط استعمال ۽ مالويئر انفيڪشن کي روڪڻ لاءِ پيچ جو انتظام تمام ضروري آهي. - ڪنٽرول نيٽورڪ ٽرئفڪ ۽ ويب پراکسي
ائين ڪريو ڪجھ حملن کي ڳولڻ لاءِ، ۽ انھن مان ڪجھ کي روڪڻ لاءِ توھان ٽريفڪ کي بلاڪ ڪري سگھو ٿا مبني معلومات جي بنياد تي بدسلوڪي ڊومينز يا غير ضروري ڊيٽا ٽرانسميشن چينلز کي محدود ڪريو. - استعمال ڪريو ۽ برقرار رکون اينٽي وائرس حل ۽ آخري پوائنٽ سيڪيورٽي سسٽم (پر ڪنهن به طريقي سان پاڻ کي صرف تحفظ جي هن پرت کي استعمال ڪرڻ تائين محدود نه ڪريو).
آخر پوائنٽ پراڊڪٽس سڃاتل cryptominers کي ڳولي سگھن ٿا ۽ انفيڪشن کي روڪڻ کان اڳ اھي سسٽم جي ڪارڪردگي ۽ توانائي جي استعمال کي نقصان پھچائي سگھن ٿا. مھرباني ڪري آگاهه رهو ته نئين تبديليون يا دريافت کي روڪڻ جا نوان طريقا ختم پوائنٽ سيڪيورٽي کي ساڳي مالويئر جي نئين ورزن کي ڳولڻ ۾ ناڪام ٿيڻ سبب ٿي سگھي ٿو. - ڪمپيوٽر جي سي پي يو سرگرمي مانيٽر ڪريو
عام طور تي، crypto miners کان کني لاءِ ڪمپيوٽر جو مرڪزي پروسيسر استعمال ڪندا آهن. اهو ضروري آهي ته ڪارڪردگي ۾ گهٽتائي بابت ڪنهن به پيغام جو تجزيو ڪيو وڃي ("منهنجو ڪمپيوٽر سست ٿيڻ شروع ٿي ويو آهي."). - متحرڪ DNS خدمتن جي غير معمولي استعمال لاءِ DNS مانيٽر ڪريو (جهڙوڪ DuckDNS)
جيتوڻيڪ DuckDNS ۽ ٻيون متحرڪ DNS خدمتون موروثي طور تي سسٽم لاءِ نقصانڪار نه آهن، مالويئر پاران DuckDNS جي استعمال اسان جي تحقيقاتي ٽيمن لاءِ متاثر ٿيل ميزبانن کي ڳولڻ آسان بڻائي ڇڏيو.
- هڪ واقعا جوابي منصوبو ٺاهيو
پڪ ڪريو ته توهان وٽ ضروري طريقا موجود آهن اهڙن واقعن لاءِ پاڻمرادو پتو لڳائڻ، شامل ڪرڻ، ۽ گرين ڪرپٽو مائننگ جي خطري کي گھٽائڻ.
Varonis گراهڪن لاء نوٽ.
خطري جا ماڊل شامل آهن جيڪي cryptomining malware جي سڃاڻپ کي فعال ڪن ٿا. ڪسٽمر پڻ ٺاهي سگھن ٿا ڪسٽم قاعدن کي ھدف ڪرڻ لاءِ سافٽ ويئر ڳولڻ جي ڊومين جي بنياد تي جيڪي اميدوار آھن بليڪ لسٽنگ لاءِ. انهي کي يقيني بڻائڻ لاءِ ته توهان DatAlert جو جديد نسخو هلائي رهيا آهيو ۽ صحيح خطري جا ماڊل استعمال ڪري رهيا آهيو، پنهنجي سيلز نمائندي يا Varonis سپورٽ سان رابطو ڪريو.
جو ذريعو: www.habr.com