Trang chủ
Bài viết mới
Diễn đàn
Bài mới trên hồ sơ
Hoạt động mới nhất
VIDEO
Mùa Tết
Văn Học Trẻ
Văn Học News
Media
New media
New comments
Search media
Đại Học
Đại cương
Chuyên ngành
Triết học
Kinh tế
KHXH & NV
Công nghệ thông tin
Khoa học kĩ thuật
Luận văn, tiểu luận
Phổ Thông
Lớp 12
Ngữ văn 12
Lớp 11
Ngữ văn 11
Lớp 10
Ngữ văn 10
LỚP 9
Ngữ văn 9
Lớp 8
Ngữ văn 8
Lớp 7
Ngữ văn 7
Lớp 6
Ngữ văn 6
Tiểu học
Thành viên
Thành viên trực tuyến
Bài mới trên hồ sơ
Tìm trong hồ sơ cá nhân
Credits
Transactions
Xu: 0
Đăng nhập
Đăng ký
Có gì mới?
Tìm kiếm
Tìm kiếm
Chỉ tìm trong tiêu đề
Bởi:
Hoạt động mới nhất
Đăng ký
Menu
Đăng nhập
Đăng ký
Install the app
Cài đặt
Chào mừng Bạn tham gia Diễn Đàn VNKienThuc.com -
Định hướng Forum
Kiến Thức
- HÃY TẠO CHỦ ĐỀ KIẾN THỨC HỮU ÍCH VÀ CÙNG NHAU THẢO LUẬN Kết nối:
VNK X
-
VNK groups
| Nhà Tài Trợ:
BhnongFood X
-
Bhnong groups
-
Đặt mua Bánh Bhnong
KHOA HỌC KỸ THUẬT
Kỹ thuật - Cơ kí
Cảnh báo mã độc mới ẩn sau mỗi cú nhấp chuột
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an
alternative browser
.
Trả lời chủ đề
Nội dung
<blockquote data-quote="Văn Sử Địa" data-source="post: 151365" data-attributes="member: 267734"><p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px">CẢNH BÁO MÃ ĐỘC MỚI ẨN SAU MỖI CÚ NHẤP CHUỘT</span></span></strong></p> <p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p> <p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p> <p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p> <p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p> <p style="text-align: center"><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p><p><strong><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Các nhà nghiên cứu đến từ hãng bảo mật FireEye đã phát hiện ra một mối đe dọa mới sử dụng kĩ thuật giám sát các cú click chuột để xác định cách thức tương tác của người dùng trên máy tính nhiễm độc.</span></span></strong></p><p><strong><span style="font-family: 'times new roman'"> <span style="font-size: 15px"></span></span></strong></p><p><strong><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></strong></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Có tên gọi Trojan.APT.BaneChant, phần mềm độc hại này được phân phối thông qua các tài liệu Word gửi qua email với tên là Islamic Jihad.doc. Theo nhà nghiên cứu Chong Rong Hwa của FireEye thì nhiều khả năng tài liệu này được sử dụng để nhắm mục tiêu vào các chính phủ ở khu vực Trung Đông và Trung Á.</span></span></p><p></p><p style="text-align: center"><img src="https://www3.picturepush.com/photo/a/12644971/640/Picture-Box/img-1365429669-1.jpg" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Cuộc tấn công sẽ hoạt động trong nhiều giai đoạn. Hệ thống sẽ tải tài liệu độc hại, sau đó thực hiện một thành phần lệnh cố gắng xác định xem môi trường hoạt động của hệ thống là gì, chẳng hạn như ảo hóa hoặc một hệ thống phân tích phần mềm độc hại tự động, trước khi tiến hành giai đoạn tấn công thứ hai nếu xuất hiện hoạt động nhấp chuột.</span></span></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Theo dõi nhấp chuột không phải là một kĩ thuật mới, nhưng phần mềm độc hại tương tự trong quá khứ thường chỉ kiểm tra một cú nhấp chuột duy nhất, trong khi phần mềm độc hại mới lại chờ ít nhất 3 cú nhấp chuột trước khi giải mã một URL và tải về một chương trình cửa hậu (backdoor) giả dạng một tập tin hình ảnh JPG.</span></span></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Bên cạnh đó, phần mềm độc hại này cũng sử dụng phương pháp ẩn khác. Ví dụ, trong giai đoạn đầu tiên của cuộc tấn công, tài liệu độc hại sẽ tải các thành phần nhỏ giọt từ địa chỉ ow.li. Ow.li không phải là tên miền độc hại mà là một dịch vụ rút gọn URL. Lí do đằng sau việc này là để bỏ qua danh sách URL đen trên máy tính hoặc mạng lưới mục tiêu.</span></span></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Tương tự như vậy, trong giai đoạn thứ 2 của cuộc tấn công, các tập tin JPG độc hại sẽ được tải về từ một URL đã tạo ra với hệ thống tên miền dịch vụ Dynamic Domain Name System (DNS) IP ẩn.</span></span><span style="font-family: 'times new roman'"> <span style="font-size: 15px"></span></span></p><p><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Sau khi được nạp bởi các thành phần đầu tiên, tập tin JPG sẽ tải xuống một bản sao của tập tin GoogleUpdate.exe vào trong thư mục C:\ProgramData\Google2\. Nó cũng tạo ra một liên kết đến các tập tin trong thư mục Startup của người dùng để đảm bảo nó tiếp tục chạy sau mỗi lần máy tính khởi động lại.</span></span></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">“Đây là một nỗ lực để lừa người dùng tin rằng các tập tin sinh ra là một phần của dịch vụ Google Update, một chương trình hợp pháp thường được cài đặt trong thư mục C:\Program Files\Google\Update\”, ông Rong Hwa nói thêm.</span></span><span style="font-family: 'times new roman'"> <span style="font-size: 15px"></span></span></p><p><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Chương trình cửa hậu này sẽ tập hợp và cập nhật thông tin hệ thống về các máy chủ ra lệnh và kiểm soát. Nó cũng làm việc với một số lệnh, trong đó có lệnh tải về và thực hiện bổ sung các tập tin trên máy tính bị nhiễm bệnh.</span></span></p><p></p><p><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Cũng theo ông Rong Hwa, các phần mềm độc hại đã sử dụng một số thủ thuật tiên tiến có thể trốn tránh sự phân tích từ các phần mềm bảo mật bằng cách cách phát hiện hành vi con người, không sử dụng các lệnh nhị phân bằng cách sử dụng lệnh mã hóa các tập tin thực thi, giả mạo như là một quá trình hợp pháp, thoát khỏi sự phân tích bằng cách sử dụng mã độc hại được nạp trực tiếp vào bộ nhớ và chặn danh sách tên miền tự động thông qua cách thức sử dụng chuyển hướng từ các địa chỉ URL rút gọn và các dịch vụ DNS động.</span></span></p><p><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></p><p><span style="font-family: 'times new roman'"><span style="font-size: 15px"></span></span></p><p style="text-align: right"><span style="font-family: 'times new roman'"> <span style="font-size: 15px">Theo <em>NLĐ/PCWorld</em></span></span></p></blockquote><p></p>
[QUOTE="Văn Sử Địa, post: 151365, member: 267734"] [CENTER][B][FONT=times new roman][SIZE=4]CẢNH BÁO MÃ ĐỘC MỚI ẨN SAU MỖI CÚ NHẤP CHUỘT [/SIZE][/FONT][/B][/CENTER] [B][FONT=times new roman] [SIZE=4]Các nhà nghiên cứu đến từ hãng bảo mật FireEye đã phát hiện ra một mối đe dọa mới sử dụng kĩ thuật giám sát các cú click chuột để xác định cách thức tương tác của người dùng trên máy tính nhiễm độc.[/SIZE][/FONT][/B] [B][FONT=times new roman] [SIZE=4] [/SIZE][/FONT][/B] [FONT=times new roman] [SIZE=4]Có tên gọi Trojan.APT.BaneChant, phần mềm độc hại này được phân phối thông qua các tài liệu Word gửi qua email với tên là Islamic Jihad.doc. Theo nhà nghiên cứu Chong Rong Hwa của FireEye thì nhiều khả năng tài liệu này được sử dụng để nhắm mục tiêu vào các chính phủ ở khu vực Trung Đông và Trung Á.[/SIZE][/FONT] [CENTER][IMG]https://www3.picturepush.com/photo/a/12644971/640/Picture-Box/img-1365429669-1.jpg[/IMG][/CENTER] [FONT=times new roman] [SIZE=4]Cuộc tấn công sẽ hoạt động trong nhiều giai đoạn. Hệ thống sẽ tải tài liệu độc hại, sau đó thực hiện một thành phần lệnh cố gắng xác định xem môi trường hoạt động của hệ thống là gì, chẳng hạn như ảo hóa hoặc một hệ thống phân tích phần mềm độc hại tự động, trước khi tiến hành giai đoạn tấn công thứ hai nếu xuất hiện hoạt động nhấp chuột.[/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Theo dõi nhấp chuột không phải là một kĩ thuật mới, nhưng phần mềm độc hại tương tự trong quá khứ thường chỉ kiểm tra một cú nhấp chuột duy nhất, trong khi phần mềm độc hại mới lại chờ ít nhất 3 cú nhấp chuột trước khi giải mã một URL và tải về một chương trình cửa hậu (backdoor) giả dạng một tập tin hình ảnh JPG.[/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Bên cạnh đó, phần mềm độc hại này cũng sử dụng phương pháp ẩn khác. Ví dụ, trong giai đoạn đầu tiên của cuộc tấn công, tài liệu độc hại sẽ tải các thành phần nhỏ giọt từ địa chỉ ow.li. Ow.li không phải là tên miền độc hại mà là một dịch vụ rút gọn URL. Lí do đằng sau việc này là để bỏ qua danh sách URL đen trên máy tính hoặc mạng lưới mục tiêu.[/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Tương tự như vậy, trong giai đoạn thứ 2 của cuộc tấn công, các tập tin JPG độc hại sẽ được tải về từ một URL đã tạo ra với hệ thống tên miền dịch vụ Dynamic Domain Name System (DNS) IP ẩn.[/SIZE][/FONT][FONT=times new roman] [SIZE=4] [/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Sau khi được nạp bởi các thành phần đầu tiên, tập tin JPG sẽ tải xuống một bản sao của tập tin GoogleUpdate.exe vào trong thư mục C:\ProgramData\Google2\. Nó cũng tạo ra một liên kết đến các tập tin trong thư mục Startup của người dùng để đảm bảo nó tiếp tục chạy sau mỗi lần máy tính khởi động lại.[/SIZE][/FONT] [FONT=times new roman] [SIZE=4]“Đây là một nỗ lực để lừa người dùng tin rằng các tập tin sinh ra là một phần của dịch vụ Google Update, một chương trình hợp pháp thường được cài đặt trong thư mục C:\Program Files\Google\Update\”, ông Rong Hwa nói thêm.[/SIZE][/FONT][FONT=times new roman] [SIZE=4] [/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Chương trình cửa hậu này sẽ tập hợp và cập nhật thông tin hệ thống về các máy chủ ra lệnh và kiểm soát. Nó cũng làm việc với một số lệnh, trong đó có lệnh tải về và thực hiện bổ sung các tập tin trên máy tính bị nhiễm bệnh.[/SIZE][/FONT] [FONT=times new roman] [SIZE=4]Cũng theo ông Rong Hwa, các phần mềm độc hại đã sử dụng một số thủ thuật tiên tiến có thể trốn tránh sự phân tích từ các phần mềm bảo mật bằng cách cách phát hiện hành vi con người, không sử dụng các lệnh nhị phân bằng cách sử dụng lệnh mã hóa các tập tin thực thi, giả mạo như là một quá trình hợp pháp, thoát khỏi sự phân tích bằng cách sử dụng mã độc hại được nạp trực tiếp vào bộ nhớ và chặn danh sách tên miền tự động thông qua cách thức sử dụng chuyển hướng từ các địa chỉ URL rút gọn và các dịch vụ DNS động. [/SIZE][/FONT] [RIGHT][FONT=times new roman] [SIZE=4]Theo [I]NLĐ/PCWorld[/I][/SIZE][/FONT][/RIGHT] [/QUOTE]
Tên
Mã xác nhận
Gửi trả lời
KHOA HỌC KỸ THUẬT
Kỹ thuật - Cơ kí
Cảnh báo mã độc mới ẩn sau mỗi cú nhấp chuột
Top
