ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពរកឃើញនូវមេរោគ ransomware នៅក្នុងដំណើរការនៃ Process Doppelgänging ដែលជាបច្ចេកទេសសម្រាប់ code injection technique ដែលជួយមេរោគនេះក្នុងការឈ្លានពានទៅលើការស្រាវជ្រាវនោះ។ ការវាយប្រហារ Process Doppelgänging attack អាចធ្វើការកេងចំណេញទៅលើមុខងារនៃ Windows function, i.e., NTFS Transactions និងដំណើរការនៃ Windows process loader រួមទាំង Versions ទាំងអស់នៃ Microsoft Windows OS រួមទាំងប្រព័ន្ធប្រតិបត្តិការ Windows 10 ផងដែរ។
ការវាយប្រហារនៃ Process Doppelgänging attack ដំណើរការដោយប្រើប្រាស់នូវប្រតិបត្តិការ NTFS ក្នុងការដំណើរការនូវមេរោគដោយប្រើប្រាស់នូវ monitoring tools និងកម្មវិធី antivirus ក្នុងការស្រាវជ្រាវនោះ។ ប្រសិនបើអ្នកដឹងអំពីការវាយប្រហារ Process Doppelgänging attack លម្អិតនោះ ក្រុមអ្នកស្រាវជ្រាវមកពី Kaspersky Lab រកឃើញនូវមេរោគ ransomware ដំបូងបំផុតដែលជាប្រភេទថ្មីនៃ SynAck ដែលមានគោលដៅវាយប្រហារទៅលើអ្នកប្រើប្រាស់ជាច្រើននៅក្នុងសហរដ្ឋអាមេរិក គុយវ៉ែត អាល្លឺម៉ង់ និងអ៊ឺរ៉ង់។
នៅក្នុងការរកឃើញនៅក្នុងខែកញ្ញា ឆ្នាំ 2017 នេះ មេរោគ SynAck ransomware ប្រើប្រាស់នូវបច្ចេកទេសបង្កប់ ហើយមេរោគនេះមានការវាយប្រហារទៅលើគោលដៅនៅក្នុងប្រទេសជាច្រើនដូចជា Russia, Belarus, Ukraine, Georgia, Tajikistan, Kazakhstan និង Uzbekistan ។ មេរោគ SynAck ransomware តម្លើងនៅលើកុំព្យូទ័ររបស់អ្នកប្រើប្រាស់។ មេរោគ SynAck ransomware ធ្វើការ Encrypt ទៅលើ Content នៃ Files ដែលឆ្លងជាមួយនឹង AES-256-ECB algorithm និងផ្តល់អោយជនរងគ្រោះនូវ decryption key ផងដែរ។
SynAck គឺមានការវាយប្រហារទៅលើ Windows login screen តាមរយៈការផ្លាស់ប្តូរទៅលើ LegalNoticeCaption និង LegalNoticeText keys នៅក្នុង Registry ។ មេរោគនេះថែមទាំងធ្វើការសម្អាតទៅលើ event logs រក្សាទុកនៅលើ System ក្នុងការជៀសវាងទៅលើការវិភាគទៅលើម៉ាស៊ីនដែលឆ្លងនេះ។ មកទល់ពេលនេះ កម្មវិធី antivirus software តិចតួចប៉ុណ្ណោះដែលអាចធ្វើការស្រាវជ្រាវ និងជូនដំណឹងអំពីការគំរាមកំហែងនេះ៕
ប្រភព៖
https://thehackernews.com/2018/05/synack-process-doppelganging.html
