Process Doppelgänging គឺជាបច្ចេកទេសនៃមេរោគថ្មីដែលដំណើរការនៅគ្រប់ជំនាន់របស់ Windows

0

ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខសុវត្ថិភាពរកឃើញនូវមេរោគថ្មីមួយដែលប្រើប្រាស់បច្ចេកទេសមួយក្នុងការជួយឱ្យមេរោគនេះគេចផុតពីការចាប់របស់កម្មវិធីកម្ចាត់មេរោគ និង Tools នៃការស៊ើបអង្កេត។ មេរោគនេះមានឈ្មោះថា Process Doppelgänging ដែលប្រើប្រាស់នូវបច្ចេកទេស code injection សម្រាប់ប្រើប្រាស់ទៅលើមុខងារនៃប្រព័ន្ធប្រតិបត្តិការ Windows ។ អ្នកស្រាវជ្រាវ Tal Liberman និង Eugene Kogan រកឃើញនូវការវាយប្រហារនៃមេរោគ  Process Doppelgänging ហើយពួកគេក៏បង្ហាញអំពីមេរោគនេះនៅក្នុងព្រឹត្តិការណ៍ Black Hat 2017 Security conference នៅក្នុងទីក្រុងឡុងដ៏ផងដែរ។

មេរោគ Process Doppelgänging ដំណើរការនៅគ្រប់ជំនាន់របស់ Windows

ការវាយប្រហារមេរោគ Process Doppelgänging ដំណើរការនៅគ្រប់ជំនាន់នៃប្រព័ន្ធប្រតិបត្តិការ Microsoft Windows ចាប់ពីជំនាន់ Windows Vista រហូតដល់ជំនាន់ចុងក្រោយនៃ Windows 10 ។ លោក Tal Liberman និយាយថា បច្ចេកទេសនៃមេរោគនេះគឺស្រដៀងគ្នាទៅនឹង Process Hollowing—ដែលហេគឃ័រអាចធ្វើការជំនួសនូវកូដដែលមានគ្រោះថ្នាក់។

តើមេរោគ Process Doppelgänging Attack ដំណើរការដូចម្តេចទៅ?

សម្រាប់ការវាយប្រហារនៃ code injection ថ្មីនេះ អ្នកត្រូវដឹងថាមេរោគគឺដំណើរការនៅក្នុង Windows NTFS Transaction ។ NTFS Transaction គឺជាមុខងារមួយនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Windows ដែលអនុញ្ញាតឱ្យធ្វើការបង្កើត កែប្រែ ផ្លាស់ប្តូរឈ្មោះ និងលុបនូវ NTFS file system ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here