Sophos เผยวิธีการหลีกเลี่ยงการตรวจจับของแรนซัมแวร์ WastedLocker โดยใช้ฟีเจอร์ปกติใน Windows

Tuesday, January 26, 2021
     Info_Sophos_เผยวธการหลกเลยง_500x500.png

Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว

 


WastedLocker คือแรนซัมแวร์ตัวหนึ่ง ซึ่งล่าสุดก็ถูกใช้ในเหตุการณ์โจมตี Garmin จนให้บริการไม่ได้ไปหลายวัน

 

             Sophos แนะนำวิธีป้องกัน หลบเลี่ยงการตรวจจับ มัลแวร์ตัวร้ายได้อย่างไร


          ก่อนจะเข้าใจวิธีการโจมตีเราต้องทราบถึงกลยุทธ์ที่โซลูชันฝั่งป้องกันทำเสียก่อน ไอเดียก็คือโซลูชันป้องกันแรนซัมแวร์จะไปติดตามการเรียก System Call ที่เกี่ยวกับ File Operation ก็คือหากมีโปรเซสที่ไม่รู้จักเรียกเปิด เขียนและปิดไฟล์จำนวนมาก ตัวป้องกันก็จะทำการปิดโปรเซสนั้น นั่นหมายความว่าเราอาจจะสูญเสียไฟล์ไปบางส่วนก่อนที่การป้องกันจะทำงาน แต่ก็ดีกว่าถูกโจมตีทั้งเครื่อง
                     



          อย่างไรก็ดีเพื่อเพิ่มประสิทธิภาพใน Windows จะมีการใช้งาน Cache Manager ซึ่งคอนเซปต์ก็ทั่วไปคือการเขียน อ่าน จากหน่วยความจำทำได้เร็วกว่าจากดิสก์ ด้วยเหตุนี้เองทางแทนที่ WastedLocker จะไปจัดการไฟล์โดยตรง ก็เลยเข้าไปเข้ารหัสไฟล์ในแคชแทน ซึ่งเมื่อมีการอัปเดตจำนวนมากระบบ Cache Manager ซึ่งมีสิทธิ์ระดับ SYSTEM ก็จะไปเขียนไฟล์ที่ถูกเข้ารหัสทับไฟล์กลับในระบบ (อัปเดตจาก Cache ไปยังดิสก์นั่นเอง) ทั้งนี้ด้วยสิทธิ์ที่ถูกต้องทางฝั่งการป้องกันเลยปล่อยผ่านการเรียก System Call นี้ไปนั่นเอง

สินค้า : Sophos



ติดต่อสอบถามขอรายละเอียดสินค้าที่ VSM365
ศูนย์รวมซอฟต์แวร์ที่ได้รับการคัดสรรมาเพื่อธุรกิจและองค์กรของคุณ ได้ที่

Email : [email protected]
Line : http://line.me/ti/p/~@vsm365
Inbox : https://m.me/vsm365
Youtube : https://www.youtube.com/vsm365
Spotify : https://spoti.fi/3pBhF2c
Blockdit : https://www.blockdit.com/vsm365
ดูสินค้าเพิ่มเติม : www.vsm365.com/th/Store
ทดลองใช้โปรแกรม : www.vsm365.com/th/Contact
ขอใบเสนอราคา : www.vsm365.com/th/Contact
ติดต่อฝ่ายขาย :

Tags:
 

แชร์บทความของเรา

VIEWS
4420

Sophos

Lastest Article

1688

บทความแนะนำ