Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ພົບມັນແວ (Malware) ໂຕໃໝ່ ‘Nodersok’ ໂຈມຕີເຫຍື່ອແລ້ວ ຫຼາຍພັນຄົນ

ພົບມັນແວ (Malware) ໂຕໃໝ່ ‘Nodersok’ ໂຈມຕີເຫຍື່ອແລ້ວ ຫຼາຍພັນຄົນ
ມີ​ລາຍ​ງານ​ຈາກ​ Microsoft ວ່າພົບເຫັນການ​ເຄື່ອນ​ໄຫວ​ຂອງ​ມັນ​ແວ​ (Malware)​ ໂຕ​ໃໝ່​ ທີ່​ຊື່​ ‘Nodersok’ ຊຶ່ງ​ຄວາມໜ້າສົ​ນ​ໃຈ​ຄື ​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ທີ່ຫຼາກ​ຫຼາຍ​ ເຊັ່ນ:​ multi-stage infection, living-off-the-land ແລະ​ Fileless ນອກ​ຈາກ​ນີ້ ຍັງ​ມີ​ລາຍ​ງານ​ຈາກ​ Cisco Talos ອີກດ້ວຍ ​ທີ່​ອ້າງ​ເຖິງ​ມັນ​ແວ​ໂຕ​ດຽວ​ກັນ ​ແຕ່​ໃຊ້​ຊື່​ວ່າ​ ‘Divergent’.


ຈາກຮູບ​ພາບ ​ສະຫຼຸບ​ການ​ໂຈມ​ຕີ​ດ້ານ​ເທິງ​ Nodersok ຖືວ່າ​ເປັນ​ມັນ​ແວ​ທີ່​ມີ​ຄວາມໜ້າສົ​ນ​ໃຈ​ ໂດຍຈະ​ເຫັນ​ໄດ້​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີ​ແບບ​ Multi-stage infection ຊຶ່ງ​ເລີ່ມຈາກການ​ແຜ່​ມາ​ທາງ​ໂຄສະນາ​ອັນຕະລາຍ​ໃນ​ໜ້າ​ເວັບໄຊ ​ຫຼື ​ລິ້ງ​ອັນຕະລາຍ​ທີ່​ເຮັດໃຫ້​ຜູ້​ໃຊ້​ໂຫຼດ​ໄຟ​ລ໌​ HTA (HTML Application) ເຂົ້າ​ມາ​ ຈາກ​ນັ້ນ​ໂຄ້ດ (Code)​ JavaScript ທີ່​ຢູ່ໃນ​ HTA ຈະ​ໄປ​ດາວ​ໂຫຼດ​ສ່ວນ​ປະກອບ​ອື່ນ​ໆ​ ຄື​ XSL ແລະ​ JavaScript ຂັ້ນ​ຕອນຕໍ່ໄປຈະ​ໄປ​ຣັນ​ (Run) ຄຳ​ສັ່ງ​ PowerShell ທີ່​ຖືກ​ Encode ໃນ​ຮູບ​ແບບ​ຂອງ​ deadbeef  ແລະ​ ສຸດ​ທ້າຍ​ນຳ​ໄປ​ສູ່​ຜົນ​ໄດ້ຮັບດັ່ງ​ນີ້​:


  • ພະຍາຍາມ​ Disable ໂປຣ​ແກຣມ​ Windows Defender Antivirus ແລະ​ Windows Update;
  • ພະຍາຍາມ​ໃຊ້​ Binary Shellcode ເພື່ອ​ຍົກ​ລະດັບ​ສິດເຂົ້າເຖິງລະບົບປະຕິບັດການວິນໂດ​;
  • ໃຊ້​ Windivert ທີ່​ເປັນ​ໄລ​ບ​ຣາ​ຣີ່ (Libraries)​ ດັກ​ຈັບ​ແພັກ​ເກັດ (Packet);
  • ໃຊ້​ JavaScript ໂມ​ດູນ​ (Module) ທີ່​ຂຽນ​ໃນ​ Node.js ເພື່ອ​ປ່ຽນ​ເຄື່ອງ​ໃຫ້ເປັນ​ Proxy;

ສຳລັບ​ຈຸດ​ທີ່​ເປັນທີ່ສັງເກດ​ບ່ອນນີ້ ​ຄື​ເຕັກ​ນິກ​ Living-off-the-land ທີ່​ມີ​ການ​ໃຊ້​ PowerShell ແລະ​ການ​ໃຊ້​ງານ​ Node.js Framework ແລະ​ Windivert ທີ່​ປົກກະຕິ​ແລ້ວ​ ກໍ່​ບໍ່​ໄດ້​ຖືກຈັດ​ເປັນ​ເຄື່ອງ​ມື​ໂຈມ​ຕີ​​ ນອກ​ຈາກ​ນີ້​ຜູ້​ຊ່ຽວ​ຊານ​ຍັງ​ໃຫ້​ຄວາມ​ເຫັນ​ວ່າ​ “ທຸກ​ຟັງ​​ຊັ່ນ​ທີ່ເກີດຂຶ້ນ​ຂອງ​ Script ແລະ​ Shellcode ມັກ​ຈະ​ມາ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ເຂົ້າ​ລະຫັດ​, ຖອດ​ລະຫັດ​ ແລະ​ ຣັນ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ເທົ່າ​ນັ້ນ​ ບໍ່​ມີ​ສ່ວນ​ໃດ​ເລີຍ​ທີ່​ຖືກ​ຂຽນ​ເທິງ​ດິສ (Disk)”.

ອີກ​ຢ່າງໜຶ່ງຄື ​​ຍັງມີ​ຄວາມ​ເຫັນ​ແຕກ​ຕ່າງ​ກັນ​ເລັກນ້ອຍ​ໃນ​ແງ່ຂອງ​ Cisco ແລະ​ Microsoft ທີ່​ຝ່າຍ​ທໍາອິດ ​ຊີ້ແຈງ​ວ່າ​ມັນ​ແວ​ໄດ້​ໃຊ້​ Proxy ເພື່ອ​​ Click-fraud ແຕ່​ຝ່າຍ​ຕໍ່ມາຊີ້​ແຈງວ່າ​ໃຊ້​ Proxy ເພື່ອ​ Relay ການຈໍລະຈອນ (Traffic) ​ອັນຕະລາຍ ຊຶ່ງ​ປັດຈຸບັນ ​ພົບ​ວ່າ​ມີ​ເຫຍື່ອ​ຖືກ​ໂຈມ​ຕີ​ເທື່ອ​ນີ້​ແລ້ວ​ຫຼາຍກວ່າ​ພັນ​ຄົນ​ໃນ​ແຖບ​ເອີລົບ ​ແລະ ​ອາ​ເມ​ຣິ​ກາ​.

ເອກະສານອ້າງອີງ:

  1. https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/ 
  2. https://www.bleepingcomputer.com/news/security/microsoft-spots-nodersok-malware-campaign-that-zombifies-pcs/
  3. https://www.techtalkthai.com/found-new-multi-stage-infection-malware-nodersok/

ລາຍການຮູບ

Porher 02 October 2019 2,904 Print

ພາສາ (Language)

ຕິດຕາມ ລາວເຊີດ

  

ຄົ້ນຫາ