វិធីការពារកុំព្យូទ័ររបស់អ្នកពីមេរោគដែលមើលមិនឃើញដូចជា XWorm និង NotDoor

Cybersecurity បានក្លាយជាបញ្ហាប្រចាំថ្ងៃ ហើយ ការ​គំរាម​កំហែង​ជា​ច្រើន​នៅ​តែ​បន្ត​ដោយ​មិន​មាន​ការ​កត់​សម្គាល់ ប្រឆាំងនឹងអ្នកប្រើប្រាស់ និងឧបករណ៍ការពារ។ ក្នុងចំណោមការគំរាមកំហែងទាំងនេះត្រូវបានគេហៅថា "មេរោគដែលមើលមិនឃើញ" ដែលជាសំណុំនៃបច្ចេកទេសដែលគោលបំណងគឺសាមញ្ញ៖ លាក់ខ្លួនដោយមើលឃើញធម្មតា និងក្លែងបន្លំផ្លូវរបស់ពួកគេ។ ដើម្បីរក្សាសកម្មភាពឱ្យបានយូរតាមដែលអាចធ្វើទៅបាន។

ឆ្ងាយពីការប្រឌិតបែបវិទ្យាសាស្ត្រ យើងកំពុងនិយាយអំពីវិធីសាស្រ្តដែលមានចរាចររួចហើយ៖ ពី rootkits ដែលបញ្ចូលគ្នាទៅក្នុងប្រព័ន្ធ ឡើងលើ Trojans ចល័ត មានសមត្ថភាពក្លែងខ្លួនជាអេក្រង់ធនាគារ ឬចារកម្មដោយមិនឱ្យយើងប៉ះអ្វីទាំងអស់។ បាទ ក៏មានដែរ។ ការវាយប្រហារដោយចុចសូន្យ និងករណីធ្ងន់ធ្ងរនៅក្នុងកម្មវិធីបង្កប់ដែលរួចផុតពីការដំឡើងប្រព័ន្ធប្រតិបត្តិការឡើងវិញ។

តើយើងមានន័យយ៉ាងណាចំពោះ "មេរោគដែលមើលមិនឃើញ"?

នៅពេលដែលយើងនិយាយអំពី "មើលមិនឃើញ" វាមិនមែនថាកូដមិនអាចមើលបានតាមន័យត្រង់នោះទេ ប៉ុន្តែនោះជា បច្ចេកទេសលាក់កំបាំងត្រូវបានអនុវត្ត មានបំណងបិទបាំងការផ្លាស់ប្តូរ និងសកម្មភាពរបស់មេរោគនៅលើប្រព័ន្ធមេរោគ។ និយមន័យនេះរួមបញ្ចូលឧទាហរណ៍ rootkitដែលរៀបចំប្រព័ន្ធដើម្បីលាក់ឯកសារ ដំណើរការ សោចុះបញ្ជី ឬការតភ្ជាប់។

នៅក្នុងការអនុវត្ត, ប្រភេទទាំងនេះអាចធ្វើបាន កាន់កាប់ភារកិច្ចប្រព័ន្ធ និងបង្ខូចការអនុវត្តដោយមិនមានការសង្ស័យ។ សូម្បីតែនៅពេលដែលកំចាត់មេរោគរកឃើញអាកប្បកិរិយាមិនធម្មតាក៏ដោយ យន្តការមើលមិនឃើញអនុញ្ញាត គេច ឬពន្យារពេលការរកឃើញជាឧទាហរណ៍ ដោយផ្លាស់ទីជាបណ្ដោះអាសន្នចេញពីឯកសារដែលមានមេរោគ ក្លូនវាទៅដ្រាយផ្សេងទៀត ឬ លាក់ទំហំនៃឯកសារ បានផ្លាស់ប្តូរ។ ទាំងអស់នេះធ្វើឱ្យមានភាពស្មុគស្មាញដល់សកម្មភាពរបស់អេ ម៉ាស៊ីនរាវរក និងការវិភាគកោសល្យវិច្ច័យ។

របៀបដែលវាជ្រៀតចូល និងរបៀបដែលវាលាក់

“មេរោគដែលមើលមិនឃើញ” ឬកាន់តែទូលំទូលាយ មេរោគដែលប្រើបច្ចេកទេសបំបាំងកាយអាចមកដល់ក្នុងទម្រង់ជាច្រើន៖ ឯកសារភ្ជាប់ព្យាបាទ នៅក្នុងអ៊ីមែល ការទាញយកពីគេហទំព័រគួរឱ្យសង្ស័យ កម្មវិធី មិនបានផ្ទៀងផ្ទាត់កម្មវិធីក្លែងបន្លំដែលបង្កជាឧបករណ៍ប្រើប្រាស់ពេញនិយម ឬការដំឡើងតាមរយៈ តំណភ្ជាប់នៅលើបណ្តាញសង្គម និងការផ្ញើសារ.

នៅពេលដែលនៅខាងក្នុង យុទ្ធសាស្ត្ររបស់គាត់គឺច្បាស់៖ បន្តមើលមិនឃើញវ៉ារ្យ៉ង់មួយចំនួន "ផ្លាស់ទី" ចេញពីឯកសារដែលមានមេរោគ នៅពេលដែលពួកគេសង្ស័យថាមានការស្កេន ចម្លងខ្លួនឯងទៅទីតាំងផ្សេង ហើយទុកឯកសារ ការជំនួសស្អាត ដើម្បីជៀសវាងការជូនដំណឹង។ អ្នកផ្សេងទៀតលាក់ទិន្នន័យមេតា ទំហំឯកសារ និងធាតុប្រព័ន្ធ ធ្វើឱ្យជីវិតលំបាក ម៉ាស៊ីនរាវរក និង ការស្តារឯកសារឡើងវិញ បន្ទាប់ពីការឆ្លងមេរោគ។

Rootkits៖ និយមន័យ ហានិភ័យ និងការប្រើប្រាស់ដែលអាចមានភាពស្របច្បាប់

នៅក្នុងប្រភពដើមរបស់វានៅក្នុងបរិស្ថាន យូនីក។rootkit គឺជាសំណុំនៃឧបករណ៍ពីប្រព័ន្ធខ្លួនវា (ដូចជា ps, netstat ឬ passwd) ផ្លាស់ប្តូរដោយអ្នកឈ្លានពាន រក្សាការចូលប្រើជា root ដោយមិនត្រូវបានរកឃើញឈ្មោះ "root" ដែលជា superuser មកពី។ សព្វថ្ងៃនេះនៅក្នុង Windows និងប្រព័ន្ធផ្សេងទៀត គំនិតនៅតែដដែល៖ កម្មវិធីដែលត្រូវបានរចនាឡើងដើម្បីលាក់ធាតុ (ឯកសារ ដំណើរការ កូនសោចុះបញ្ជី អង្គចងចាំ និងសូម្បីតែការតភ្ជាប់) ទៅប្រព័ន្ធប្រតិបត្តិការ ឬកម្មវិធីសុវត្ថិភាព។

ការប្រើប្រាស់បច្ចេកវិទ្យាបំបាំងកាយ គឺមិនមានលក្ខណៈព្យាបាទទេ។ វាអាចត្រូវបានប្រើសម្រាប់គោលបំណងស្របច្បាប់ដូចជា ការត្រួតពិនិត្យសាជីវកម្មការការពារកម្មសិទ្ធិបញ្ញា ឬការការពារពីកំហុសអ្នកប្រើប្រាស់។ បញ្ហាកើតឡើងនៅពេលដែលសមត្ថភាពទាំងនេះត្រូវបានអនុវត្ត លាក់បាំងមេរោគ សកម្មភាព backdoor និងឧក្រិដ្ឋកម្មស្របតាមសក្ដានុពលបច្ចុប្បន្ននៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដែលស្វែងរកការបង្កើនម៉ោងធ្វើការដោយមិនទាក់ទាញការចាប់អារម្មណ៍។

វិធីស្វែងរក និងកាត់បន្ថយ rootkits

គ្មាន​បច្ចេកទេស​ណា​មួយ​មិន​អាច​សម្រេច​បាន​ទេ ដូច្នេះ​យុទ្ធសាស្ត្រ​ដ៏​ល្អ​បំផុត​គឺ វិធីសាស្រ្តរួមបញ្ចូលគ្នា និងឧបករណ៍។ វិធីសាស្រ្តបុរាណ និងកម្រិតខ្ពស់រួមមាន:

• ការរកឃើញហត្ថលេខា៖ កំពុងស្កេន និងប្រៀបធៀបជាមួយកាតាឡុកមេរោគដែលគេស្គាល់។ វាមានប្រសិទ្ធភាពសម្រាប់ វ៉ារ្យ៉ង់ដែលបានដាក់កាតាឡុករួចហើយលើកលែងតែការមិនផ្សព្វផ្សាយ។
• Heuristic ឬអាកប្បកិរិយាផ្អែកលើ៖ កំណត់អត្តសញ្ញាណ គម្លាតនៅក្នុងសកម្មភាពធម្មតា។ នៃប្រព័ន្ធ មានប្រយោជន៍សម្រាប់ការស្វែងរកគ្រួសារថ្មី ឬផ្លាស់ប្តូរ។
• ការរកឃើញដោយការប្រៀបធៀប៖ ផ្ទុយពីអ្វីដែលប្រព័ន្ធរាយការណ៍ជាមួយនឹងការអានពី កម្រិតទាប; ប្រសិនបើមានភាពមិនស៊ីសង្វាក់គ្នា ការលាក់បាំងត្រូវបានសង្ស័យ។
• ភាពសុចរិត៖ ពិនិត្យឯកសារ និងអង្គចងចាំទល់នឹង a ស្ថានភាពយោងដែលអាចទុកចិត្តបាន។ (បន្ទាត់មូលដ្ឋាន) ដើម្បីបង្ហាញការផ្លាស់ប្តូរ។

នៅកម្រិតបង្ការ គួរតែដាក់ពង្រាយ ក antimalware ល្អ សកម្ម និងធ្វើបច្ចុប្បន្នភាព ប្រើ ជញ្ជាំងភ្លើងរក្សា ប្រព័ន្ធ និងកម្មវិធីទាន់សម័យ ជាមួយនឹងបំណះ និងកំណត់សិទ្ធិ។ ជួនកាល ដើម្បីរកមើលការឆ្លងជាក់លាក់ វាត្រូវបានណែនាំ ចាប់ផ្ដើមពីប្រព័ន្ធផ្សព្វផ្សាយខាងក្រៅ ហើយស្កេន "ពីខាងក្រៅ" ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ទោះបីជាគ្រួសារខ្លះគ្រប់គ្រងក៏ដោយ។ បញ្ចូលឡើងវិញ នៅក្នុងឯកសារប្រព័ន្ធផ្សេងទៀត។

ករណីពីរនៃមេរោគដែលមើលមិនឃើញ៖ XWorm និង NotDoor

ទាំងនេះអាចជាការគំរាមកំហែងមេរោគដែលមើលមិនឃើញដ៏គ្រោះថ្នាក់បំផុតនៅទីនោះឥឡូវនេះ។ ដើម្បី​ដឹង​ពី​វិធី​ការពារ​ខ្លួន​ពី​ពួកគេ យក​ល្អ​គួរតែ​យល់​ពួកគេ​ឲ្យ​បាន​ច្បាស់៖

XWorm

XWorm វាគឺជាមេរោគដ៏ល្បីមួយ ដែលថ្មីៗនេះបានវិវត្តន៍គួរឲ្យព្រួយបារម្ភ ដោយប្រើឈ្មោះឯកសារដែលអាចប្រតិបត្តិបានដែលមើលទៅស្របច្បាប់។ នេះអនុញ្ញាតឱ្យវា។ ក្លែងបន្លំខ្លួនវាជាកម្មវិធីដែលមិនបង្កគ្រោះថ្នាក់ទទួលបានទំនុកចិត្តពីអ្នកប្រើប្រាស់ និងប្រព័ន្ធ។

ការវាយប្រហារចាប់ផ្តើមដោយ ក ឯកសារ .lnk ដែលលាក់ ជាធម្មតាត្រូវបានចែកចាយតាមរយៈយុទ្ធនាការបន្លំ វាប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលមានគំនិតអាក្រក់ ទាញយកឯកសារអត្ថបទទៅកាន់ថតបណ្តោះអាសន្នរបស់ប្រព័ន្ធ ហើយបន្ទាប់មកបើកដំណើរការកម្មវិធីប្រតិបត្តិក្លែងក្លាយដែលហៅថា discord.exe ពីម៉ាស៊ីនមេពីចម្ងាយ។

នៅពេលដែលបានជ្រៀតចូលទៅក្នុងកុំព្យូទ័ររបស់យើង XWorm អាច ប្រតិបត្តិគ្រប់ប្រភេទនៃពាក្យបញ្ជាពីចម្ងាយ, ពីការទាញយកឯកសារ និងការបញ្ជូនបន្ត URL ទៅការវាយប្រហារ DDoS ។

NotDoor

ការគំរាមកំហែងមេរោគដែលមើលមិនឃើញដ៏ធ្ងន់ធ្ងរបំផុតមួយទៀតនាពេលបច្ចុប្បន្នគឺ NotDoorគោលដៅនៃមេរោគដ៏ទំនើបនេះ ដែលបង្កើតឡើងដោយពួក Hacker រុស្ស៊ីគឺ អ្នកប្រើប្រាស់ Outlookដែលពួកគេបានលួចទិន្នន័យសម្ងាត់របស់ពួកគេ។ វាក៏អាចគ្រប់គ្រងពេញលេញនៃប្រព័ន្ធសម្របសម្រួលផងដែរ។ ការអភិវឌ្ឍន៍របស់វាត្រូវបានសន្មតថាជា APT28 ដែលជាក្រុមចារកម្មតាមអ៊ីនធឺណិតដ៏ល្បីរបស់រុស្ស៊ី។

NotDoor ត្រូវបានគេស្គាល់ថាជា មេរោគលាក់កំបាំងដែលសរសេរនៅក្នុង Visual Basic for Applications (VBA)មានសមត្ថភាពត្រួតពិនិត្យអ៊ីមែលចូលសម្រាប់ពាក្យគន្លឹះជាក់លាក់។ វា​ពិត​ជា​ប្រើ​ប្រាស់​សមត្ថភាព​ផ្ទាល់​ខ្លួន​របស់​កម្មវិធី​ដើម្បី​ធ្វើ​ឱ្យ​ខ្លួន​វា​សកម្ម។ បន្ទាប់មកវាបង្កើតថតដែលលាក់ដើម្បីរក្សាទុកឯកសារបណ្តោះអាសន្នដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

ការអនុវត្តល្អបំផុតដើម្បីការពារខ្លួនអ្នក (និងរបៀបប្រតិកម្មប្រសិនបើអ្នកឆ្លងរួចហើយ)

ការការពារប្រកបដោយប្រសិទ្ធភាពរួមបញ្ចូលគ្នានូវទម្លាប់ និងបច្ចេកវិទ្យា។ លើសពី "សុភវិនិច្ឆ័យ" អ្នកត្រូវការ នីតិវិធីនិងឧបករណ៍ ដែលកាត់បន្ថយហានិភ័យពិតប្រាកដនៅលើកុំព្យូទ័រ និងទូរស័ព្ទ៖

• ដំឡើងកម្មវិធីតែពីប្រភពផ្លូវការប៉ុណ្ណោះ។ ហើយពិនិត្យមើលអ្នកអភិវឌ្ឍន៍ ការអនុញ្ញាត និងមតិយោបល់។ សូមប្រយ័ត្នចំពោះតំណភ្ជាប់ក្នុងសារ បណ្តាញសង្គម ឬគេហទំព័រដែលមិនស្គាល់។
• ប្រើដំណោះស្រាយសុវត្ថិភាពដែលអាចទុកចិត្តបាន។ នៅលើទូរស័ព្ទនិងកុំព្យូទ័រ; ពួកគេមិនត្រឹមតែរកឃើញកម្មវិធីព្យាបាទប៉ុណ្ណោះទេ ពួកគេថែមទាំងជូនដំណឹងដល់អ្នកផងដែរ។ អាកប្បកិរិយាគួរឱ្យសង្ស័យ.
• រក្សាអ្វីៗគ្រប់យ៉ាងឱ្យទាន់សម័យ៖ ប្រព័ន្ធ កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងកម្មវិធី។ បំណះកាត់ ផ្លូវធ្វើអាជីវកម្ម ពេញនិយមយ៉ាងខ្លាំងក្នុងចំណោមអ្នកវាយប្រហារ។
• បើកដំណើរការការផ្ទៀងផ្ទាត់ពីរជំហាន នៅក្នុងធនាគារ សំបុត្រ និងសេវាកម្មសំខាន់ៗ។ វា​មិន​ខុស​ទេ ប៉ុន្តែ​វា​បន្ថែម​ក របាំងបន្ថែម.
• តាមដានការអនុញ្ញាតឱ្យចូលប្រើប្រាស់ និងការជូនដំណឹង; ប្រសិនបើឧបករណ៍ប្រើប្រាស់សាមញ្ញស្នើសុំការគ្រប់គ្រងពេញលេញ មានអ្វីមួយខុស.
• ចាប់ផ្តើមឡើងវិញ ឬបិទទូរសព្ទរបស់អ្នកតាមកាលកំណត់; ការបិទរាល់សប្តាហ៍អាចលុបបំបាត់បាន។ ការដាក់បញ្ចូលការចងចាំ ហើយ​ធ្វើ​ឱ្យ​ការ​តស៊ូ​មាន​ការ​លំបាក។
• ធ្វើឱ្យសកម្ម និងកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិងកំណត់ការប្រើប្រាស់គណនីដែលមានការអនុញ្ញាតពីអ្នកគ្រប់គ្រង លុះត្រាតែចាំបាច់។

ប្រសិនបើអ្នកសង្ស័យថាមានវត្តមាននៃការឆ្លងមេរោគដែលមើលមិនឃើញ (ទូរស័ព្ទចល័តយឺត កំដៅមិនសមហេតុផល ការចាប់ផ្ដើមឡើងវិញចម្លែក។ កម្មវិធីដែលអ្នកមិនចាំការដំឡើង ឬអាកប្បកិរិយាមិនធម្មតា): លុបកម្មវិធីដែលគួរឱ្យសង្ស័យចាប់ផ្តើមទូរស័ព្ទក្នុងរបៀបសុវត្ថិភាព ហើយឆ្លងកាត់ការស្កេនពេញលេញ ប្តូរពាក្យសម្ងាត់ពី ឧបករណ៍ផ្សេងទៀតជូនដំណឹងដល់ធនាគាររបស់អ្នក និងតម្លៃ ក កំណត់រោងចក្រឡើងវិញ ប្រសិនបើសញ្ញានៅតែមាន សូមពិចារណាចាប់ផ្ដើមពីប្រព័ន្ធផ្សព្វផ្សាយខាងក្រៅនៅលើកុំព្យូទ័រ ដើម្បីស្កេនដោយគ្មានមេរោគគ្រប់គ្រង។

សូមចងចាំថាមេរោគដែលមើលមិនឃើញលេងជាមួយចង្វាក់របស់យើង៖ ឆ្លាស់គ្នា។ សំលេងរំខានតិចតួចបំផុត។ ជាមួយនឹងការវាយប្រហារដោយការវះកាត់។ វាមិនមែនជាការគំរាមកំហែងអរូបីទេ ប៉ុន្តែជាកាតាឡុក បច្ចេកទេសលាក់បាំង ដែលបើកដំណើរការអ្វីៗផ្សេងទៀត៖ សេវាធនាគារ Trojan, spyware, ការលួចអត្តសញ្ញាណ ឬកម្មវិធីបង្កប់ជាប់លាប់។ ប្រសិនបើអ្នកពង្រឹងទម្លាប់របស់អ្នក ហើយជ្រើសរើសឧបករណ៍របស់អ្នកឱ្យបានល្អ អ្នកនឹងក្លាយជាមនុស្ស មួយជំហានទៅមុខ នៃអ្វីដែលមិនបានឃើញ។