Сансар судлаач Neil Armstrong ингэж хэлсэн байдаг, “Судалгаа бол бүхий л шинэ мэдлэгийг бий болгох үндэс юм” мэдээж хэрэг бид мэдлэг мэдээллийн тусламжтай ирээдүйд болох аливаа зүйлсийг урьдчилан таамаглах, түүнд бэлтгэлтэй байх, байр сууриа бэхжүүлэх зэрэг давуу талтай. Иймээс “Check Point Research” нь хэрэглэгчиддээ илүү сайн хамгаалалттай байхад зориулан үнэлж баршгүй судалгааны үр дүн, мэдлэгээ хуваалцаж байгаа юм.
2017 оны 4-р сард, Microsoft Office 2007, 2010, 2013 болон 2016 -ы сул талыг илрүүлсэн бөгөөд хэсэг хугацааны дараа засварлагдсан Patch-ыг гаргаж байсан ч саяхан Agent Tesla болон Loki компаниуд энэ эмзэг байдлаас болж мэдээлэл хулгайд алдсан тохиолдол гарсан билээ. Эдгээр хортой кодууд нь хэрэглэгчийн төхөөрөмж дахь Google Chrome, Mozilla Firefox, Microsoft Outlook -ын login мэдээлэл хулгайлах болон дэлгэцийг Screenshot хийх, Вэб камерийн бичлэгийг хуулах цаашлаад халдлагад өртсөн програм хангамжууд дээр нэмэлт програм хангамж суулгах боломжийг гэмт этгээдүүдэд олгодог байна.
Гэсэн хэдий ч, шинэ төрлийн Malware-ууд нь бүтээгдсэн код, шинж чанараасаа шалтгаалан улам ээдрээтэй нуугдах, бултах техникүүдийг эзэмшсэн байдаг ба сүүлийн үеийн ихэнх Anti-Virus програм хангамжууд түүнийг илрүүлж чаддаггүй байна. Сүүлийн үеийн Word файлууд нь RTF болон DOC файлуудаас илүү аюулгүй байдаг гэж үздэг хэдий ч, 5-р үеийн кибер гэмт этгээдүүд үргэлж нэг алхамын өмнө байхыг хичээдэг бөгөөд бидний өдөр тутам ашиглаж буй програм хангамжуудад зориулсан хортой код, бүтээлүүдээ илүү сайжруулсаар байгааг бид харж байна.
ХАЛДВАР ХЭРХЭН ТАРХДАГ ВЭ?
Халдлага нь хортой RTF файлыг нээж, дараа нь Microsoft Word програм хангамжийг ажиллуулсанаар эхэлдэг. Үүний дараа удалгүй, Word нь (named ‘svchost’) процессийг эхлүүлж улмаар Microsoft Equation Editor -ыг (математик тэгшитгэл үүсгэхэд хэрэглэдэг аппликейшнийг Word файл руу оруулах) нээх боломжтой болдог. Хэвийн нөхцөл байдалд энэ процесс нь бүх ажлуудын төгсгөлд ажиглах ёстой, гэхдээ AgentTesla-ын кэйс дээр Equation Editor аппликейшн нь автоматаар дараа дараагийн хачирхалтай, сэжиг бүхий үйлдлүүдийг хийж байсан байна.
Өөрөөр хэлбэл, Equation Editor нь ‘scvhost.exe’ -тэй ижил нэртэй файлыг ажиллуулна. Энэ үед, 2 дахь процесс эхлэх ба гэмт этгээдийн Command and Control (C&C) сервертэй холболт хийгдэн хохирогчийн компьютерыг олзолж түүнрүү хортой кодуудыг хүргүүлэх бүрэн боломжтой болно гэсэн үг юм.
ОНОЛЫН СУДАЛГААГААР ПРАКТИК ХАМГААЛАЛТ ХИЙХ НЬ
Эдгээр дараалсан Event ууд нь ихэнх Anti-Virus програм хангамжуудаас маш сайн нуугдаж чадсан. Гэвч Check Point-ын SandВlast Zero-Day Protection (Тэг өдрийн хамгаалалт) нь дээрх Microsoft эмзэг байдал CVE-2017-11882 ийг өмнө нь илрүүлчихсэн байсан юм.
Цогц Advanced Threat Protection (дэвшилтэт халдлагын хамгаалалт)-ууд, аюулгүй байдлын олон давхарга, автоматжуулсан урвуу инженерийн аргууд, SandBlast Zero-Day Protection -ийн үндсэн цөмд орших Threat Emulation Engine (Сэжигтэй кодуудыг өөр дээр ажиллуулж үзэж зан төлөв шинж чанараар нь таних боломжтой хөдөлгүүр) зэрэг нь цоо шинээр зохиогдсон хортой файлуудыг дотоод сүлжээнд, эцсийн цэгийн төхөөрөмжүүдэд нэвтрэхээс урьдчилан сэргийлэх боломжтой болох юм. Чухамдаа, энэ нь Check Point SandBlast Zero-Day Protection -ийн цорын ганц хортой код илрүүлэх чадамж бүхий технологийн үр дүн юм. Тиймдээ ч сүүлийн үеийн боловсронгуй, нарийн төвөгтэй хорт кодуудыг илрүүлэх чадамжийн тестэд хамгийн өндөр үзүүлэлттэй гарсан юм.
Мөн SandBlast Zero-Day Protection нь Threat Extraction чадамжтай ба энэ нь хэрэглэгчдэд хортой файл очихоос урьдчилан сэргийлэх, сэргээн засварлах практик хамгаалалтын технологи юм. Уламжлалт SandBox бүтээгдэхүүнүүд нь зөвхөн хортой кодуудыг илрүүлэх, саатуулах, хориглох үйлдлүүдийг хийх чадамжтай байдаг. Харин Threat Extraction нь сэжигтэй файлуудаас хортой кодыг салгах, хортой линкүүдийг арилгах зэргээр эцсийн хэрэглэгчдэд байж болох хамгийн аюулгүй документуудыг хүргэдэг технологи юм.
ДҮГНЭЛТ
Судалгааны үр дүнг дутуу үнэлж болохгүй. Үүнгүйгээр бид өөрсдийн мэдэх болон мэдэхгүй зүйлсэд бэлтгэлтэй байх боломжгүй. Эцэст нь НАСА-ын судалгааны үр дүнд Neil Armstrong саран дээр амжилттай ажиллаад зогсохгүй аюулгүй байдлаа бүрэн хангасан байна.
Үүний нэгэн адилаар, судалгааны үр дүн, мэдлэгийг гүнзгийрүүлэн судалж тасралтгүй сайжруулж байх нь хэрэглэгчийг илүү аюулгүй байлгадаг гэдгийг Microsoft Office -ийн эмзэг байдлын жишээнээс харах боломжтой бөгөөд өнөөдөр шинээр гарч буй “RTF downloader malware” -ууд бүгд эмзэг байдлыг ашиглаж сүлжээнд нэвтрэх чадамжтай болсон нь бидний уламжлалт Sandbox шийдлээс илүү дэвшилтэт технологи, шийдлүүд хэрэгцээтэй байгааг бидэнд дахин дахин харуулсаар байна.
Дээрх шинэ Malware уудаас урьдчилан сэргийлэх эхний алхам нь хэрэглэгч та өөрсдийн ашиглаж буй програм хангамжуудын шинэчлэлийг цаг алдалгүй хийж байх хэрэгтэй.
Та Check Point SandBlast Zero-Day Prevention ашиглан байгууллагынхаа мэдээллийн аюулгүй байдлыг бүрэн хамгаалах боломжтой.
