Sophos ເປີດເຜີຍ ເຖິງວິທີການທີ່ມັນແວ WastedLocker ໃຊ້ຫຼີກເວັ້ນການກວດຈັບ
Posted by palivath on August 21 2020 17:59:49

         Sophos ຜູ້ຊ່ຽວຊານດ້ານການຮັກສາຄວາມປອດໄພທາງໄຊເບີ ໄດ້ອອກມາເປີດເຜີຍເຖິງວິທີການທີ່ມັນແວຮຽກຄ່າໄຖ່ທີ່ຊື່ວ່າ WastedLocker ໃຊ້ຫຼີກເວັ້ນການກວດຈັບຂອງບັນດາໂປຣແກຼມປ້ອງກັນ ໂດຍນຳໃຊ້ຄຸນສົມບັດປົກກະຕິຂອງ Windows ທີ່ມີຢູ່ແລ້ວ.

Article Images: wastedlocker_ransom.jpg

         WastedLocker ຄືມັນແວຮຽກຄ່າໄຖ່ຕົວໜຶ່ງ ຊຶ່ງຫຼ້າສຸດກໍ່ໄດ້ຖືກນຳໄປໃຊ້ໂຈມຕີ Garmin ຈົນເຮັດໃຫ້ການບໍລິການຢຸດໄປຫຼາຍມື້, ຊຶ່ງຕອນນີ້ກໍ່ມີການເປີດເຜີຍລາຍລະອຽດຈາກ Sophos ວ່າມັນແວຕົວນີ້ສາມາດຫຼີກເວັ້ນການກວດຈັບໄດ້ດ້ວຍວິທີການໃດ.

         ກ່ອນຈະເຂົ້າໃຈວິທີການໂຈມຕີ ເຮົາຕ້ອງຮູ້ເຖິງກົນລະຍຸດທີ່ໂປຣແກຼມປ້ອງກັນເຮັດກ່ອນ ຊຶ່ງແນວຄິດກໍ່ຄືໂປຣແກຼມປ້ອງກັນມັນແວ ຈະໄປຕິດຕາມການເອີ້ນໃຊ້ງານ System call ທີ່ກ່ຽວກັບ File Operation ກໍ່ຄື ຫາກວ່າມີການປະມວນຜົນທີ່ບໍ່ຮູ້ຈັກຖືກເປີດ, ຂຽນ ແລະ ປິດໄຟລ໌ຈຳນວນຫຼາຍ ຕົວປ້ອງກັນກໍ່ຈະປິດການປະມວນຜົນນັ້ນ ຊຶ່ງໝາຍຄວາມວ່າເຮົາອາດຈະສູນເສຍໄຟລ໌ບາງສ່ວນກ່ອນການປ້ອງກັນຈະເຮັດວຽກ ແຕ່ກໍ່ດີ  ກວ່າຈະຖືກໂຈມຕີໝົດທັງເຄື່ອງ.

         ຢ່າງໃດກໍ່ຕາມ ເພື່ອເພີ່ມປະສິດຕິພາບໃນລະບົບປະຕິບັດການວິນໂດ ຈະມີການໃຊ້ງານ Cache Manager ຊຶ່ງແນວຄິດທົ່ວໄປກໍ່ຄືການຂຽນ ຫຼື ອ່ານ ຈາກໜ່ວຍຄວາມຈຳເຮັດໄດ້ໄວກວ່າຈາກແຜ່ນດິດ (Disk) ດ້ວຍສາເຫດນີ້ເອງແທນທີ່ WastedLocker ຈະໄປຈັດການໄຟລ໌ໂດຍກົງ ກໍ່ເລີຍເຂົ້າໄປຈັດການລະຫັດໄຟລ໌ໃນ Cache ແທນ ຊຶ່ງເມື່ອມີການອັບເດດຈຳນວນຫຼາຍ ລະບົບ Cache Manager ຊຶ່ງມີສິດໃນລະດັບ SYSTEM ກໍ່ຈະໄປຂຽນໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດທັບໃສ່ໄຟລ໌ກັບໃນລະບົບ (ການອັບເດດຈາກ Cache Manager ກັບໄປຫາແຜນດິດນັ້ນເອງ) ຊຶ່ງດ້ວຍສິດທີ່ຖືກຕ້ອງທາງເບື້ອງການປ້ອງກັນເລີຍປ່ອຍຜ່ານການເອີ້ນ System Call ນັ້ນເອງ.

ຖ້າຫາກວ່າຕ້ອງການສຶກສາລົງເລິກເພີ່ມຕື່ມ ສາມາດຕິດຕາມໄດ້ຈາກ Blog ຂອງ Sophos ໄດ້.

 

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/