Việc tăng sự phụ thuộc vào máy tính đã làm cho chúng dễ bị tấn công mạng và các thiết kế bất chính khác. Một sự cố gần đây trong Trung đông đã diễn ra, nơi nhiều tổ chức trở thành nạn nhân của các cuộc tấn công nhắm mục tiêu và phá hoại (Depriz Malware tấn công) dữ liệu bị xóa từ máy tính cung cấp một ví dụ rõ ràng về hành động này.
Depriz Malware tấn công
Hầu hết các vấn đề liên quan đến máy tính đều không được mời và gây ra những thiệt hại lớn. Điều này có thể được giảm thiểu hoặc ngăn chặn nếu có các công cụ bảo mật phù hợp tại chỗ. May mắn thay, Windows Defender và Windows Defender Advanced Threat Protection Các nhóm Threat Intelligence cung cấp bảo vệ, phát hiện và phản hồi xung quanh đồng hồ với các mối đe dọa này.
Microsoft quan sát chuỗi lây nhiễm Depriz được thiết lập thành chuyển động bởi một tập tin thực thi được ghi vào một đĩa cứng. Nó chủ yếu chứa các thành phần phần mềm độc hại được mã hóa dưới dạng tệp bitmap giả. Các tệp này bắt đầu trải rộng trên mạng của một doanh nghiệp, khi tệp thi hành được chạy.
- PKCS12 - một thành phần diệt đĩa phá hoại
- PKCS7 - mô-đun giao tiếp
- X509 - Biến thể 64 bit của Trojan / implant
Phần mềm độc hại Depriz sau đó sẽ ghi đè dữ liệu trong cơ sở dữ liệu cấu hình Windows Registry và trong các thư mục hệ thống, với một tệp hình ảnh. Nó cũng cố gắng vô hiệu hóa các hạn chế từ xa của UAC bằng cách đặt giá trị khóa đăng ký LocalAccountTokenFilterPolicy thành “1”.
Kết quả của sự kiện này - một khi điều này được thực hiện, phần mềm độc hại kết nối với máy tính đích và sao chép chính nó dưới dạng% System% ntssrvr32.exe hoặc% System% ntssrvr64.exe trước khi đặt dịch vụ từ xa có tên là “ntssv” hoặc theo lịch biểu bài tập.
Cuối cùng, phần mềm độc hại Depriz cài đặt thành phần gạt nước như % Hệ thống%
Tài nguyên được mã hóa đầu tiên là một trình điều khiển hợp pháp được gọi là RawDisk từ Tập đoàn Eldos, cho phép truy cập đĩa thô thành phần chế độ người dùng. Trình điều khiển được lưu vào máy tính của bạn % Hệ thống% drivers drdisk.sys và được cài đặt bằng cách tạo một dịch vụ trỏ đến nó bằng cách sử dụng "sc create" và "sc start". Ngoài ra, phần mềm độc hại cũng cố gắng ghi đè dữ liệu người dùng trong các thư mục khác nhau như Máy tính để bàn, tải xuống, hình ảnh, tài liệu, v.v.
Cuối cùng, khi bạn cố gắng khởi động lại máy tính sau khi tắt máy, nó chỉ từ chối tải và không thể tìm thấy hệ điều hành vì MBR đã bị ghi đè. Máy không còn ở trạng thái khởi động đúng cách nữa. May mắn thay, Windows 10 người dùng được an toàn kể từ khi hệ điều hành tích hợp các thành phần bảo mật chủ động, chẳng hạn như Device Guard, giảm thiểu mối đe dọa này bằng cách hạn chế thực thi các ứng dụng đáng tin cậy và trình điều khiển nhân.
Ngoài ra, Windows Defender phát hiện và sửa chữa tất cả các thành phần trên thiết bị đầu cuối như Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, và Trojan: Win32 / Depriz.D! dha.
Toàn bộ vụ việc liên quan đến vụ tấn công phần mềm độc hại Depriz được đưa ra ánh sáng khi các máy tính tại các công ty dầu mỏ chưa được đặt tên ở Ả-rập Xê-út bị sử dụng sau một cuộc tấn công phần mềm độc hại. Microsoft đã đặt tên cho phần mềm độc hại “Depriz” và những kẻ tấn công “Terbium”, theo thực tế nội bộ của công ty về việc đặt tên các diễn viên đe dọa sau các nguyên tố hóa học.
