Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

Sophos ເປີດເຜີຍ ເຖິງວິທີການທີ່ມັນແວ WastedLocker ໃຊ້ຫຼີກເວັ້ນການກວດຈັບ

Sophos ຜູ້ຊ່ຽວຊານດ້ານການຮັກສາຄວາມປອດໄພທາງໄຊເບີ ໄດ້ອອກມາເປີດເຜີຍເຖິງວິທີການທີ່ມັນແວຮຽກຄ່າໄຖ່ທີ່ຊື່ວ່າ WastedLocker ໃຊ້ຫຼີກເວັ້ນການກວດຈັບຂອງບັນດາໂປຣແກຼມປ້ອງກັນ ໂດຍນຳໃຊ້ຄຸນສົມບັດປົກກະຕິຂອງ Windows ທີ່ມີຢູ່ແລ້ວ.

Article Images: wastedlocker_ransom.jpg

WastedLocker ຄືມັນແວຮຽກຄ່າໄຖ່ຕົວໜຶ່ງ ຊຶ່ງຫຼ້າສຸດກໍ່ໄດ້ຖືກນຳໄປໃຊ້ໂຈມຕີ Garmin ຈົນເຮັດໃຫ້ການບໍລິການຢຸດໄປຫຼາຍມື້, ຊຶ່ງຕອນນີ້ກໍ່ມີການເປີດເຜີຍລາຍລະອຽດຈາກ Sophos ວ່າມັນແວຕົວນີ້ສາມາດຫຼີກເວັ້ນການກວດຈັບໄດ້ດ້ວຍວິທີການໃດ.

ກ່ອນຈະເຂົ້າໃຈວິທີການໂຈມຕີ ເຮົາຕ້ອງຮູ້ເຖິງກົນລະຍຸດທີ່ໂປຣແກຼມປ້ອງກັນເຮັດກ່ອນ ຊຶ່ງແນວຄິດກໍ່ຄືໂປຣແກຼມປ້ອງກັນມັນແວ ຈະໄປຕິດຕາມການເອີ້ນໃຊ້ງານ System call ທີ່ກ່ຽວກັບ File Operation ກໍ່ຄື ຫາກວ່າມີການປະມວນຜົນທີ່ບໍ່ຮູ້ຈັກຖືກເປີດ, ຂຽນ ແລະ ປິດໄຟລ໌ຈຳນວນຫຼາຍ ຕົວປ້ອງກັນກໍ່ຈະປິດການປະມວນຜົນນັ້ນ ຊຶ່ງໝາຍຄວາມວ່າເຮົາອາດຈະສູນເສຍໄຟລ໌ບາງສ່ວນກ່ອນການປ້ອງກັນຈະເຮັດວຽກ ແຕ່ກໍ່ດີ  ກວ່າຈະຖືກໂຈມຕີໝົດທັງເຄື່ອງ.

ຢ່າງໃດກໍ່ຕາມ ເພື່ອເພີ່ມປະສິດຕິພາບໃນລະບົບປະຕິບັດການວິນໂດ ຈະມີການໃຊ້ງານ Cache Manager ຊຶ່ງແນວຄິດທົ່ວໄປກໍ່ຄືການຂຽນ ຫຼື ອ່ານ ຈາກໜ່ວຍຄວາມຈຳເຮັດໄດ້ໄວກວ່າຈາກແຜ່ນດິດ (Disk) ດ້ວຍສາເຫດນີ້ເອງແທນທີ່ WastedLocker ຈະໄປຈັດການໄຟລ໌ໂດຍກົງ ກໍ່ເລີຍເຂົ້າໄປຈັດການລະຫັດໄຟລ໌ໃນ Cache ແທນ ຊຶ່ງເມື່ອມີການອັບເດດຈຳນວນຫຼາຍ ລະບົບ Cache Manager ຊຶ່ງມີສິດໃນລະດັບ SYSTEM ກໍ່ຈະໄປຂຽນໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດທັບໃສ່ໄຟລ໌ກັບໃນລະບົບ (ການອັບເດດຈາກ Cache Manager ກັບໄປຫາແຜນດິດນັ້ນເອງ) ຊຶ່ງດ້ວຍສິດທີ່ຖືກຕ້ອງທາງເບື້ອງການປ້ອງກັນເລີຍປ່ອຍຜ່ານການເອີ້ນ System Call ນັ້ນເອງ.

ຖ້າຫາກວ່າຕ້ອງການສຶກສາລົງເລິກເພີ່ມຕື່ມ ສາມາດຕິດຕາມໄດ້ຈາກ Blog ຂອງ Sophos ໄດ້.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/

Porher 22 October 2020 5254 reads Print