ແຈ້ງ​ເຕືອນ​ການ​ໂຈມ​ຕີ​ Remote desktop ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ ​(Malware) ​ແບບ ​fileless
Posted by Meesaisak on December 25 2019 23:02:08

ແຈ້ງ​ເຕືອນ​ ການ​ໂຈມ​ຕີ​ຜ່ານ​ບໍລິການ​ Remote desktop ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​ (Malware) ​ແບບ​ fileless 

ບໍລິສັດ​ Bitdefender ລາຍ​ງານ​ການ​ໂຈມ​ຕີ​ໂດຍ​ອາໄສຄຸນສົມບັດຂອງ​ບໍລິການ​ remote desktop ໃນ​ Windows ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ ​ແລະ ​ສັ່ງດໍາເນີນການມັນ​ແວ(Malware) ໃນ​ລັກສະນະ​ fileless ຊຶ່ງ​ເປັນ​ການ​ສັ່ງ​ດໍາເນີນການ​ໂຄ້ດ​ (Code) ຂອງ​ມັນ​ແວ​ຈາກ​ແຣມ​ (RAM) ໂດຍ​ກົງ​ ບໍ່​ສ້າງ​ໄຟ​ລ໌​ໄວ້​ໃນ​ຮາ​ດ​ດິດ​ (Hard Disk)​ ຈຸດປະສົງ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ ​ແລະ ​ຂຸດ​ເງິນ​ດິ​ຈິຕອນ.


Extended News

ແຈ້ງ​ເຕືອນ​ ການ​ໂຈມ​ຕີ​ຜ່ານ​ບໍລິການ​ Remote desktop ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​ (Malware) ​ແບບ​ fileless 

ບໍລິສັດ​ Bitdefender ລາຍ​ງານ​ການ​ໂຈມ​ຕີ​ໂດຍ​ອາໄສຄຸນສົມບັດຂອງ​ບໍລິການ​ remote desktop ໃນ​ Windows ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ ​ແລະ ​ສັ່ງດໍາເນີນການມັນ​ແວ(Malware) ໃນ​ລັກສະນະ​ fileless ຊຶ່ງ​ເປັນ​ການ​ສັ່ງ​ດໍາເນີນການ​ໂຄ້ດ​ (Code) ຂອງ​ມັນ​ແວ​ຈາກ​ແຣມ​ (RAM) ໂດຍ​ກົງ​ ບໍ່​ສ້າງ​ໄຟ​ລ໌​ໄວ້​ໃນ​ຮາ​ດ​ດິດ​ (Hard Disk)​ ຈຸດປະສົງ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ ​ແລະ ​ຂຸດ​ເງິນ​ດິ​ຈິຕອນ.

ລັກສະນະ​ການ​ໂຈມ​ຕີ ​ຈະ​ອາໄສຄຸນສົມບັດ​ Terminal Server ຂອງ​ບໍລິການ​ remote desktop ທີ່​ອະນຸຍາດ​ໃຫ້​ເຄື່ອງ Client ​ແຊ​ຣ໌​ Drive ​ຫຼື Directory ​ແບບ​ໃຫ້​ສິດ​ໃນ​ການ​ແກ້​ໄຂ​ຂໍ້​ມູນ​ໄດ້​ ຊຶ່ງ Drive ​ທີ່​ຖືກ​ແຊ​ຣ໌​ຈະ​ປະກົດ​ໃນ​ຊື່​ 'tsclient' ຈຸດ​ສຳຄັນ​ຂອງ​ຄຸນສົມບັດ​ນີ້​ຄື​ຮອງ​ຮັບ​ການຕັ້ງ​ຄ່າ​ໃຫ້​ມີ​ການ​ສັ່ງ​ດໍາເນີນການ​ໂປຣ​ແກຣມ​ໄດ້​ເມື່ອ​ເຂົ້າສູ່ລະບົບ​ ໂດຍ​ໂປຣ​ແກຣມ​ດັ່ງ​ກ່າວ​ຈະ​ຖືກດໍາເນີນການ​ໃນ​ແຣມ​ຂອງທາງ Client ເຮັດໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ໃຊ້​ຊ່ອງ​ທາງ​ນີ້​ໃນ​ການ​ສັ່ງດໍາເນີນການ​ມັນ​ແວ​ຜ່ານ​ເຄືອ​ຂ່າຍ​ໄດ້​ ໂດຍ​ບໍ່​ປະກົດ​ຂໍ້​ມູນ​ໃນ​ log.

ທາງ​ Bitdefender ພົບ​ການ​ຕິດ​ຕັ້ງ​ໄຟ​ລ໌​ມັນ​ແວ​ລົງໃນ​ເຄື່ອງ​ Client ​ໄວ້​ກ່ອນ​ແລ້ວ​ (ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີຍັງບໍ່​ຢືນຢັນ​ ອາດຈະ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ ຜູ້​ປະສົງ​ຮ້າຍ​ໄດ້​ລະ​ຫັດ​ຜ່ານ​ກ່ອນ​ໜ້າ​ນີ້​ແລ້ວ​) ຈາກ​ນັ້ນ​ຕັ້ງ​ຄ່າ​ໃຫ້​ມີ​ການ​ເອີ້ນ​ໃຊ້​ງານ​ໄຟ​ລ໌​ມັນ​ແວ​ໂດຍ​ອັດ​ຕະໂນ​ມັ​ດ ​ເມື່ອ​ມີ​ການ​ເຂົ້າ​ເຖິງ​ Drive ​ທີ່​ຖືກ​ແຊ​ຣ໌​ຜ່ານ​ເຄືອ​ຂ່າຍ​ ​ມັນ​ແວ​​ທີ່ຄົ້ນພົບ​ນີ້​ມີ​ຄວາມ​ສາມາດ​ຫຼາຍ​ຢ່າງ​ບໍ່​ວ່າ​ຈະ​ເປັນ​ການ​ລັກ​ຂໍ້​ມູນ​, ຕິດ​ຕັ້ງ​ມັນ​ແວ​​ຂຸດ​ເງິນ​ດິ​ຈິ​ຕອນ​ ຫຼື ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່.​

ລາຍ​ລະອຽດ​ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີ​ ຫຼື ​ກຸ່ມຄົນ​ທີ່​ຢູ່​ເບື້ອງ​ຫຼັງ​ການ​ໂຈມ​ຕີ​ໃ​ນ​ເທື່ອ​ນີ້​ ຍັງ​ບໍ່​ປະກົດຢ່າງ​ຊັດເຈນ​ ປະເທດ​ທີ່​ຕົກເປັນ​ເຫຍື່ອ​ຫຼາຍ​ທີ່ສຸດ​ຄື​: ບ​ຣາ​ຊິນ,​ ສະຫະລັດອາເມລິກາ ແລະ​ ໂຣ​ມາ​ເນຍ.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ການ​ປ້ອງ​ກັນ​ສາມາດ​ເຮັດ​ໄດ້​ໂດຍ​ການຕັ້ງ​ຄ່າ​ Group Policy ເພື່ອ​ປິດ​ສ່ວນ​ Do not allow Clipboard redirection ແລະ​ Do not allow drive redirection ຊຶ່ງ​ສາມາດ​ສຶກ​ສາ​ວິທີ ​ແລະ ​ຜົນ​ກະທົບ​ໄດ້​ຈາກ​ເອກະສານອ້າງອີງ​.

ເອກະສານອ້າງອີງ

  1. https://www.bitdefender.com/files/News/CaseStudies/study/302/Bitdefender-WhitePaper-RDP-Abusers.pdf
  2. https://www.bleepingcomputer.com/news/security/windows-remote-desktop-services-used-for-fileless-malware-attacks/