Home Cyber News မ်ိဳးပြားႏႈန္း ထိန္းခ်ဴပ္ထားေသာ ထ႐ိုဂ်န္ (Trojan)

မ်ိဳးပြားႏႈန္း ထိန္းခ်ဴပ္ထားေသာ ထ႐ိုဂ်န္ (Trojan)



ESET ကေနၿပီး USB Thief လို႔ နာမည္ေပးထားေသာ ထ႐ိုဂ်န္ (Trojan) တစ္မ်ိဳးအေၾကာင္းကို ေဖာ္ထုတ္ထားပါတယ္။ ကြန္ယက္မခ်ိတ္ဘဲ သီးျခားထားေသာ ကြန္ပ်ဴတာမ်ိဳးေတြကို တိုက္ခိုက္ဖို႔ ပုံစံထုတ္ထားတာပါ။ ေထာက္လွမ္းခံရမႈနည္းေအာင္ႏွင့္ အလုပ္လုပ္ပုံကို မေဖာ္ထုတ္ႏိုင္ေအာင္ ေသေသခ်ာခ်ာစီမံထားတယ္။ ၿပီးေတာ့ USB ေပၚကပဲ အလုပ္လုပ္သြားလို႔ ေျခရာလက္ရာ မက်န္ခဲ့ပါဘူး။

ESET မွ Malware ေတြကို ဆန္းစစ္ေပးသူ တစ္ေယာက္ျဖစ္ေသာ ေတာမတ္ဂါဒန္ကေတာ့ ပစ္မွတ္တစ္မ်ိဳးမ်ိဳးအတြက္ ရည္႐ြယ္ၿပီး ဖန္တီးထားျခင္း ျဖစ္ႏိုင္တယ္လို႔ ေျပာပါတယ္။ အဆုိပါ ထ႐ိုဂ်န္သည္ အသုံးျပဳေသာ ေဆာ့ဝဲမ်ားတြင္ plug-in လိုလို၊ ေဆာ့ဝဲတြင္တပါတည္း ပါ၀င္ေသာ DLL ဖိုင္လိုလိုျဖင့္ ေနပါတယ္။ ၿပီးပါက ၎ ေဆာ့ဝဲမ်ားကုိ ဖြင့္တာႏွင့္ အဆုိပါ ထရုိဂ်န္ကပါ လိုက္အလုပ္လုပ္တာပါ။ ေလာေလာဆယ္ေတာ့ Notepad++, Firefox, TrueCrypt Portable ေတြမွာ ပါေနတာ ေတြ႕ရွိထားပါတယ္။

"ဒီလိုအလုပ္လုပ္တာက ေတာ္ေတာ္အဆင့္ျမင့္ပါတယ္။ နည္းနည္းပါးပါး နားလည္တဲ့သူဆိုရင္ Autorun ပိတ္တာတို႔ Auto Shortcut ေတြကို ပိတ္တာတို႔ေလာက္ေတာ့ လုပ္ထားတတ္တယ္ေလ။ ကိုယ္သုံးမည့္ ေဆာ့ဝဲကိုက Malware ျဖစ္ေနတာဆိုေတာ့ အခက္ေတြ႕တာေပါ့။ အသုံးျပဳသူေတြအေနနဲ႔ေတာ့ ကိုယ့္သုံးမည့္ USB ပစၥည္းေတြကို ဘယ္ကရလာလဲဆိုတာ ေသေသခ်ာခ်ာသိဖို႔ လိုပါမယ္" လို႔ ေဂါဒန္က သတိေပးထားေလရဲ႕။


ရလာတဲ့ အခ်က္အလက္ေတြကို Malware ပါတဲ့ USB ပစၥည္းမွာပဲ ျပန္သိမ္းတာပါ။ ၿပီးေတာ့ သူ႕ကိုယ္သူလည္း အဆင့္ဆင့္ဝွက္စာသြင္းထားတာျဖစ္လို႔ ဘယ္လိုအေနအထားႏွင့္ ဘယ္အခ်က္အလက္ေတြကုိ ယူလိုက္တယ္ဆိုတာ မသိရပါဘူး။

အဆုိပါ Malware မွာ ဖိုင္ (၆) ခုပါပါတယ္။ ေလးခုက အလုပ္လုပ္ဖို႔သုံးၿပီး ႏွစ္ခုကေတာ့ Configuration အတြက္ပါ။ သူ႕ကို ကူးလို႔မရေအာင္ နည္း (၂) ခုနဲ႔ ကာထားပါတယ္။ တစ္ခုကေတာ့ ဖိုင္ေတြကို AES-128 နဲ႔ ဝွက္စာသြင္းထားတာပါ။ ေနာက္တစ္ခုကေတာ့ ဖိုင္နာမည္ေတြကို ဝွက္စာသြင္းထားတာပါ။

ဝွက္စာဂဏန္းေတြကို USB ေတြရဲ႕ Device ID နဲ႔ တျခား Properties ေတြကိုယူၿပီး သုံးထားတာပါ။ ဒီေတာ့ Malware သာ သူနဲ႔ဆိုင္တဲ့ USB မွာပဲ အလုပ္လုပ္ႏိုင္မယ္ေပါ့ဗ်ာ။ ၿပီးေတာ့ ဖိုင္နာမည္ေတြကလည္း ဖိုင္ထဲပါတဲ့ အေၾကာင္းအရာေတြနဲ႔ ဖိုင္ကိုလုပ္တဲ့အခ်ိန္ကို ထည့္တြက္ထားတယ္။ ဖိုင္ရဲ႕ SHA512 ရဲ႕ ေရွ႕ဆုံး (၅) ဘိုက္နဲ႔ ဖိုင္ကို လုပ္တဲ့အခ်ိန္ကို ေနာက္မွာ (၈) ဘိုက္အေနနဲ႔ ထည့္ၿပီး နာမည္ေပးထားတယ္ေပါ့ဗ်ာ။

ဒီေတာ့ ဖိုင္နာမည္ေတြက အၿမဲေျပာင္းေနေရာ။ ဒီဖိုင္ေတြကို ကူးလိုက္ရင္ေတာင္ ဖိုင္ကိုလုပ္တဲ့အခ်ိန္ ေျပာင္းသြားတဲ့အတြက္ အဲဒီ့ Malware က အလုပ္မလုပ္ေတာ့ျပန္ဘူး။ ရတာတဲ့ နမူနာေတြကို စမ္းၾကည့္ဖို႔အတြက္ Device ID ကို brute-force လုပ္လိုက္တယ္။ ၿပီးေတာ့မွ ဖိုင္ေတြကို ဝွက္စာျပန္ေဖာ္တယ္။ ၿပီးေတာ့မွ ေအာင္ေအာင္ျမင္ျမင္ စမ္းသပ္ႏိုင္ခဲ့တယ္။ သိခဲ့ရတာကေတာ့ Payload ကို ေမာ္ဂ်ဴးအေနနဲ႔ ခြဲထုတ္ထားလို႔ အခ်က္အလက္ယူတာအျပင္ တျခားအလုပ္ေတြလည္း ခိုင္းလို႔ရေနတယ္ ဆိုတာပါပဲ။

ESET ဟာ ဒီလို ပစ္မွတ္တစ္ခုထားၿပီး အလုပ္လုပ္တဲ့ Malware မ်ိဳးကို Pawn Storm, APT28, Sednit စတဲ့ နာမည္ႀကီးအဖြဲ႕ေတြရဲ႕ Tool ေတြအျဖစ္လည္း အရင္က စုံစမ္းေဖာ္ထုတ္ဖူးပါတယ္။ USB သုံးစြဲသူမ်ား အေနနဲ႔ကေတာ့ သီးျခားႀကီ: ကူးမယ္လို႔ မရွိေပမဲ့ တျခားေနရာမွ ယူေဆာင္လာျပီး အသုံးျပဳမည့္ USB ပစၥည္းေတြကိုေတာ့ သတိထားဖို႔၊ အန္တီဗိုင္းရပ္ေဆာ့ဝဲ (Antivirus Software) ေတြကို Update လုပ္ထားဖို႔နဲ႔ အခ်က္အလက္ေတြကို ပုံမွန္ Backup လုပ္ဖို႔ အႀကံေပးခ်င္ပါတယ္။

1-4-2016
သတင္းစီစဥ္ တင္ဆက္သူ - Nub90d (MEHN Team)
မ်ိဳးပြားႏႈန္း ထိန္းခ်ဴပ္ထားေသာ ထ႐ိုဂ်န္ (Trojan) မ်ိဳးပြားႏႈန္း ထိန္းခ်ဴပ္ထားေသာ ထ႐ိုဂ်န္ (Trojan) Reviewed by Myanmar Ethical Hacking News on 7:38 PM Rating: 5

No comments:

Subscribe to: Post Comments ( Atom )
MEHN Team. Powered by Blogger.