Crowdoor Backdoor

ដោយ GoldSparrow ក្នុង ទ្វារក្រោយ

បកប្រែទៅ៖

Backdoors ដូចជា Crowdoor តំណាងឱ្យគ្រោះថ្នាក់ដ៏សំខាន់មួយចំពោះអង្គការ និងបុគ្គលនៅក្នុងទិដ្ឋភាពដែលវិវត្តន៍ជានិច្ចនៃការគំរាមកំហែងសន្តិសុខតាមអ៊ីនធឺណិត។ Backdoors អនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់វិធានការសុវត្ថិភាព និងទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធដោយគ្មានការអនុញ្ញាត ដែលជារឿយៗនឹងមិនត្រូវបានរកឃើញក្នុងរយៈពេលវែង។ Crowdoor Backdoor ដែលថ្មីៗនេះបានលេចចេញជាថ្មីនៅក្នុងយុទ្ធនាការមួយដែលផ្តោតលើអង្គភាពរដ្ឋាភិបាលនៅមជ្ឈិមបូព៌ា និងម៉ាឡេស៊ី កំពុងតែគំរាមកំហែងជាពិសេសដោយសារតែសមត្ថភាពរបស់វាក្នុងការសម្របសម្រួលគោលដៅដែលមានតម្លៃខ្ពស់ជាបន្តបន្ទាប់។ ការយល់ដឹងអំពីសមត្ថភាព និងវិធីសាស្រ្តចែកចាយរបស់វាមានសារៈសំខាន់ណាស់សម្រាប់ការការពារបណ្តាញដែលងាយរងគ្រោះពីការបំពានដែលអាចបំផ្លិចបំផ្លាញបាន។

តារាងមាតិកា

ការគំរាមកំហែងតាមអ៊ីនធឺណិតជាប់លាប់៖ Crowdoor Backdoor

សង្កេតឃើញដំបូងក្នុងខែមិថុនា ឆ្នាំ 2023 Crowdoor គឺជាវ៉ារ្យ៉ង់នៃ SparrowDoor backdoor ដែលបានចងក្រងពីមុនដែលត្រូវបានកំណត់អត្តសញ្ញាណនៅឆ្នាំ 2021។ Crowdoor បានវិវឌ្ឍ ដំណើរការមិនត្រឹមតែជា backdoor ប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏ជាឧបករណ៍ផ្ទុកដែលមានសមត្ថភាពដាក់ពង្រាយឧបករណ៍គំរាមកំហែងផ្សេងទៀត រួមទាំង Cobalt Strike ដែលជាក្របខ័ណ្ឌដ៏ពេញនិយមមួយដែលត្រូវបានប្រើប្រាស់។ សម្រាប់កិច្ចការក្រោយការកេងប្រវ័ញ្ច។

មេរោគ Crowdoor ផ្តល់ឱ្យអ្នកវាយប្រហារនូវកម្រិតខ្ពស់នៃការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ បង្កើតសែលបញ្ច្រាស និងថែមទាំងលុបភស្តុតាងនៃវត្តមានរបស់ពួកគេដោយលុបឯកសារដែលមិនមានសុវត្ថិភាពផ្សេងទៀត។ ភាពប៉ិនប្រសប់របស់វា រួមផ្សំជាមួយនឹងសមត្ថភាពរបស់វាក្នុងការតស៊ូនៅលើម៉ាស៊ីនដែលមានមេរោគ ធ្វើឱ្យ Crowdoor ក្លាយជាឧបករណ៍គ្រោះថ្នាក់នៅក្នុងឃ្លាំងនៃក្រុម Advanced Persistent Threat (APT) ។

Trooper Trooper: APT នៅពីក្រោយយុទ្ធនាការ Crowdoor

តួសម្តែងការគំរាមកំហែងតាមអ៊ីនធឺណិត Tropic Trooper ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយដូចជា APT23, Earth Centaur, KeyBoy និង Pirate Panda - មានប្រវត្តិយូរមកហើយក្នុងការកំណត់គោលដៅរដ្ឋាភិបាល ការថែទាំសុខភាព និងវិស័យបច្ចេកវិទ្យាខ្ពស់ ជាចម្បងនៅអាស៊ីបូព៌ា។ ចាប់តាំងពីឆ្នាំ 2011 មក សមូហភាពនិយាយភាសាចិននេះបានបើកការវាយប្រហារប្រឆាំងនឹងអង្គភាពនានានៅតៃវ៉ាន់ ហុងកុង និងហ្វីលីពីន។ ទោះបីជាយ៉ាងណាក៏ដោយ សកម្មភាពរបស់ខ្លួនបានពង្រីកនាពេលថ្មីៗនេះ ដើម្បីរួមបញ្ចូលគោលដៅនៅមជ្ឈិមបូព៌ា និងម៉ាឡេស៊ី។

Tropic Trooper ត្រូវបានគេស្គាល់ថាសម្រាប់ការប្រើប្រាស់យុទ្ធសាស្ត្រ និងឧបករណ៍ទំនើប រួមទាំងមេរោគដែលបានចែករំលែកដូចជា China Chopper Web shell ដែលផ្តល់ការចូលប្រើពីចម្ងាយទៅកាន់ម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល។ យុទ្ធនាការថ្មីៗរបស់ក្រុមនេះ បានរកឃើញនៅឆ្នាំ 2024 ត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយ Crowdoor ទៅកាន់ប្រព័ន្ធដែលងាយរងគ្រោះ។ ខណៈពេលដែលការខិតខំប្រឹងប្រែងរបស់ពួកគេត្រូវបានរារាំងនៅទីបំផុត ការរកឃើញរបស់ Crowdoor គូសបញ្ជាក់អំពីធម្មជាតិជាប់លាប់ និងការវិវត្តនៃការគំរាមកំហែង APT ។

ខ្សែសង្វាក់វាយប្រហារ Crowdoor: វិធីសាស្រ្តស្មុគ្រស្មាញ

ខ្សែសង្វាក់វាយប្រហារដែលផ្តល់ឲ្យ Crowdoor ចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងម៉ាស៊ីនមេបណ្តាញដែលអាចចូលប្រើបានជាសាធារណៈ ដែលជារឿយៗដំណើរការប្រព័ន្ធគ្រប់គ្រងមាតិកាបើកចំហរ (CMS) ដូចជា Umbraco ។ តាមរយៈការសម្របសម្រួលប្រព័ន្ធទាំងនេះ អ្នកវាយប្រហារអាចបង្ហោះឧបករណ៍គំរាមកំហែងដូចជា China Chopper Web shell ដើម្បីរក្សាការចូលប្រើពីចម្ងាយ។ នៅពេលដែលនៅក្នុងបណ្តាញ អ្នកវាយប្រហារដាក់ពង្រាយ Crowdoor backdoor ដែលដើរតួជាអ្នកផ្ទុក និងការគំរាមកំហែងជាប់លាប់ ដែលអនុញ្ញាតឱ្យទាញយក និងប្រតិបត្តិមេរោគបន្ថែមដូចជា Cobalt Strike ដើម្បីសម្រេចបាននូវកម្រិតនៃការសម្របសម្រួលកាន់តែស៊ីជម្រៅ។

បន្ថែមពីលើការជួយសម្រួលដល់ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងការបណ្តេញទិន្នន័យ Crowdoor មានសមត្ថភាពបញ្ចប់ដំណើរការរបស់ខ្លួន លុបឯកសារមេរោគផ្សេងទៀត និងគេចពីការរកឃើញ ដែលធ្វើឱ្យវាពិបាកខ្លាំងសម្រាប់អ្នកការពារដើម្បីកំណត់អត្តសញ្ញាណ និងបន្សាប។

យុទ្ធសាស្ត្រចែកចាយដែលអាចសួរបាន៖ របៀបដែល Crowdoor ជ្រៀតចូលប្រព័ន្ធ

Backdoors ដូចជា Crowdoor ច្រើនតែជោគជ័យ ដោយសារយុទ្ធសាស្ត្រចែកចាយដ៏ទំនើប និងបោកបញ្ឆោត។ ក្នុងករណីនៃយុទ្ធនាការ Crowdoor អ្នកវាយប្រហារបានប្រើប្រាស់វេទិកា CMS ដែលត្រូវបានសម្របសម្រួលជាចំណុចចូល។ វេទិកាប្រភពបើកចំហទាំងនេះអាចមានភាពងាយរងគ្រោះដែលមិនបានជួសជុល ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្ហោះឯកសារដែលខូច រួមទាំងសែលគេហទំព័រដូចជា China Chopper ជាដើម។ ពីទីនោះ ទ្វារខាងក្រោយអាចត្រូវបានដំឡើងដោយស្ងៀមស្ងាត់នៅលើប្រព័ន្ធគោលដៅដោយមិនមានការជូនដំណឹង។

វិធីសាស្រ្តទូទៅមួយផ្សេងទៀតសម្រាប់ការចែកចាយ backdoors ដូចជា Crowdoor ពាក់ព័ន្ធនឹងយុទ្ធនាការបន្លំ។ នៅក្នុងយុទ្ធនាការទាំងនេះ អ្នកវាយប្រហារផ្ញើអ៊ីមែលដែលហាក់ដូចជាស្របច្បាប់ដែលមានតំណភ្ជាប់ក្លែងបន្លំ ឬឯកសារភ្ជាប់។ នៅពេលបើក មេរោគអាចនឹងត្រូវបានដំឡើងដោយស្ងៀមស្ងាត់នៅលើប្រព័ន្ធ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការត្រួតពិនិត្យសុវត្ថិភាព និងទទួលបានសិទ្ធិចូលប្រើប្រាស់បណ្តាញរយៈពេលវែង។

ការរួមបញ្ចូលគ្នានៃការកេងប្រវ័ញ្ចលើបណ្តាញ និងវិស្វកម្មសង្គមបានគូសបញ្ជាក់អំពីភាពប៉ិនប្រសប់នៃតួអង្គគំរាមកំហែងដូចជា Tropic Trooper ដែលសម្របខ្លួនតាមយុទ្ធសាស្ត្ររបស់ពួកគេទៅនឹងចំណុចខ្សោយក្នុងការការពារគោលដៅរបស់ពួកគេ។

ការការពារប្រឆាំងនឹង Crowdoor Backdoor

ការការពារការឆ្លងតាមរយៈ backdoor ដ៏ទំនើបដូចជា Crowdoor តម្រូវឱ្យមានវិធីសាស្រ្តសុវត្ថិភាពពហុស្រទាប់។ នេះគឺជាវិធានការសំខាន់ៗដែលអង្គការអាចអនុវត្តបាន៖

ការគ្រប់គ្រងបំណះ ៖ ធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ និងជួសជុលកម្មវិធីទាំងអស់ រួមទាំងវេទិកា CMS ប្រភពបើកចំហ ដើម្បីបិទភាពងាយរងគ្រោះដែលគេស្គាល់ថាអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ច។
ការត្រួតពិនិត្យបណ្តាញ ៖ អនុវត្តការត្រួតពិនិត្យបណ្តាញដ៏រឹងមាំ ដើម្បីរកឃើញសកម្មភាពមិនធម្មតា ដូចជាការចូលប្រើដោយគ្មានការអនុញ្ញាត ឬការបង្ហោះឯកសារ ដែលអាចបង្ហាញពីការប៉ុនប៉ងជ្រៀតចូល។

ការរកឃើញចំណុចបញ្ចប់ និងការឆ្លើយតប (EDR) ៖ ប្រើដំណោះស្រាយ EDR កម្រិតខ្ពស់ដើម្បីកំណត់ និងឆ្លើយតបចំពោះអាកប្បកិរិយាគួរឱ្យសង្ស័យ ដែលអាចបង្ហាញពីការដំឡើងទ្វារខាងក្រោយ។

ការអប់រំអ្នកប្រើប្រាស់ ៖ បណ្តុះបណ្តាលបុគ្គលិកអំពីរបៀបទទួលស្គាល់ការប៉ុនប៉ងបន្លំ និងជៀសវាងការទាញយកឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ ឬចុចលើតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ។

សវនកម្មសុវត្ថិភាពជាប្រចាំ ៖ ធ្វើការវាយតម្លៃសុវត្ថិភាពញឹកញាប់ដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកដែលអ្នកវាយប្រហារអាចកំណត់គោលដៅ។