កំចាត់មេរោគភាគច្រើនអាចត្រូវបានបិទដោយប្រើតំណនិមិត្តសញ្ញា

ម្សិលមិញនេះ អ្នកស្រាវជ្រាវបន្ទប់ពិសោធន៍ RACK911 ខ្ញុំសូមចែករំលែកn នៅលើប្លុករបស់ពួកគេដែលជាការប្រកាសដែលពួកគេបានចេញផ្សាយ ផ្នែកមួយនៃការស្រាវជ្រាវរបស់គាត់បង្ហាញថាស្ទើរតែទាំងអស់ កញ្ចប់នៃ កំចាត់មេរោគសម្រាប់វីនដូលីនុចនិងម៉ាក្រូងាយរងគ្រោះ ដើម្បីវាយប្រហារដែលរៀបចំលក្ខខណ្ឌប្រណាំងខណៈពេលដែលដកឯកសារដែលមានផ្ទុកមេរោគ។

នៅក្នុងប្រកាសរបស់អ្នក បង្ហាញថាដើម្បីអនុវត្តការវាយប្រហារអ្នកត្រូវទាញយកឯកសារ ថាកំចាត់មេរោគទទួលស្គាល់ថាមានះថាក់ (ឧទាហរណ៍ហត្ថលេខាសាកល្បងអាចត្រូវបានប្រើ) និង បន្ទាប់ពីពេលវេលាជាក់លាក់, បន្ទាប់ពីកំចាត់មេរោគបានរកឃើញឯកសារដែលមានគំនិតអាក្រក់  មុនពេលហៅមុខងារដើម្បីយកវាចេញឯកសារនឹងធ្វើការផ្លាស់ប្តូរជាក់លាក់។

អ្វីដែលកម្មវិធីកំចាត់មេរោគភាគច្រើនមិនគិតគឺចន្លោះពេលតូចរវាងការស្កេនដំបូងនៃឯកសារដែលរកឃើញឯកសារព្យាបាទនិងប្រតិបត្តិការសម្អាតដែលត្រូវបានអនុវត្តភ្លាមៗបន្ទាប់ពីនោះ។

អ្នកប្រើឬអ្នកបង្ករោគក្នុងតំបន់ដែលមានគំនិតអាក្រក់ច្រើនតែអាចអនុវត្តលក្ខន្តិកៈប្រណាំងតាមរយៈប្រសព្វថត (វីនដូ) ឬស៊ីមេន (លីនុចនិងម៉ាក្រូស) ដែលទាញយកប្រយោជន៍ពីប្រតិបត្តិការឯកសារដែលមានឯកសិទ្ធិដើម្បីបិទកម្មវិធីកំចាត់មេរោគឬរំខានដល់ប្រព័ន្ធប្រតិបត្តិការដើម្បីដំណើរការវា។

នៅក្នុងវីនដូការផ្លាស់ប្តូរថតត្រូវបានធ្វើឡើង ដោយប្រើថតចូលរួម. ខណៈពេល នៅលើលីនុចនិងម៉ាក្រូ ល្បិចស្រដៀងគ្នានេះអាចធ្វើបាន ផ្លាស់ប្តូរថតឯកសារទៅតំណ "/ etc" ។

បញ្ហាគឺថាកំចាត់មេរោគស្ទើរតែទាំងអស់មិនបានពិនិត្យមើលតំណនិមិត្តសញ្ញាអោយបានត្រឹមត្រូវនិងពិចារណាថាពួកគេកំពុងលុបឯកសារដែលមានគំនិតអាក្រក់ពួកគេបានលុបឯកសារនៅក្នុងថតដែលចង្អុលបង្ហាញដោយតំណនិមិត្តសញ្ញា។

វាបង្ហាញនៅលើលីនុចនិង macOS របៀបដែលអ្នកប្រើប្រាស់មិនមានសិទ្ធិ អ្នកអាចយក / etc / passwd ឬឯកសារផ្សេងទៀតចេញពីប្រព័ន្ធ ហើយនៅក្នុងវីនដូបណ្ណាល័យ DDL នៃកំចាត់មេរោគដើម្បីរារាំងប្រតិបត្តិការរបស់វា (នៅក្នុងវីនដូការវាយប្រហារត្រូវបានកំនត់ដោយលុបឯកសារដែលអ្នកប្រើផ្សេងទៀតមិនប្រើ) ។

ឧទាហរណ៍អ្នកវាយប្រហារអាចបង្កើតថតឯកសារកេងប្រវ័ញ្ចហើយផ្ទុកឯកសារ EpSecApiLib.dll ជាមួយហត្ថលេខាសាកល្បងវីរុសហើយបន្ទាប់មកជំនួសថតការកេងប្រវ័ញ្ចដោយតំណនិមិត្តសញ្ញាមុនពេលលុបវេទិកាដែលនឹងលុបបណ្ណាល័យអេសអេសស៊ីជីលីលីពីថតកំចាត់មេរោគ។

ដូចគ្នានេះផងដែរ, ការកំចាត់មេរោគជាច្រើនសម្រាប់លីនុចនិងម៉ាក្រូបានបង្ហាញពីការប្រើប្រាស់ឈ្មោះឯកសារដែលអាចព្យាករណ៍បាន នៅពេលធ្វើការជាមួយឯកសារបណ្តោះអាសន្ននៅក្នុងថតឯកសារ / tmp និង / tmp ឯកជនដែលអាចត្រូវបានប្រើដើម្បីបង្កើនសិទ្ធិសម្រាប់អ្នកប្រើប្រាស់ជា root ។

រហូតមកដល់បច្ចុប្បន្នអ្នកផ្តល់សេវាភាគច្រើនបានលុបបំបាត់បញ្ហាទាំងនេះរួចទៅហើយ។ ប៉ុន្តែគួរកត់សម្គាល់ថាការជូនដំណឹងដំបូងនៃបញ្ហាត្រូវបានបញ្ជូនទៅអ្នកអភិវឌ្ឍន៍នៅរដូវស្លឹកឈើជ្រុះឆ្នាំ 2018 ។

នៅក្នុងការសាកល្បងរបស់យើងលើវីនដូម៉ាក្រូសឺសនិងលីនុចយើងអាចយកឯកសារសំខាន់ៗដែលទាក់ទងនឹងកំចាត់មេរោគចេញបានយ៉ាងងាយដែលមិនមានប្រសិទ្ធភាពហើយថែមទាំងដកឯកសារប្រព័ន្ធប្រតិបត្តិការសំខាន់ៗដែលបណ្តាលឱ្យមានអំពើពុករលួយគួរឱ្យកត់សម្គាល់ដែលត្រូវការការតំឡើងប្រព័ន្ធប្រតិបត្តិការឡើងវិញ។

ទោះបីជាមិនមែនគ្រប់គ្នាបានចេញផ្សាយការធ្វើបច្ចុប្បន្នភាពក៏ដោយពួកគេបានទទួលការជួសជុលយ៉ាងហោចណាស់ 6 ខែហើយ RACK911 Labs ជឿជាក់ថាឥឡូវនេះអ្នកមានសិទ្ធិបង្ហាញព័ត៌មានអំពីភាពងាយរងគ្រោះ។

វាត្រូវបានគេកត់សម្គាល់ថាបន្ទប់ពិសោធន៍ RACK911 បានធ្វើការលើការកំណត់អត្តសញ្ញាណងាយរងគ្រោះអស់រយៈពេលជាយូរមកហើយប៉ុន្តែមិនបានរំពឹងថាវានឹងមានការលំបាកខ្លាំងណាស់ក្នុងការធ្វើការជាមួយមិត្តរួមការងារនៅក្នុងឧស្សាហកម្មកំចាត់មេរោគដោយសារតែការចេញផ្សាយការពន្យាពេលនិងការមិនអើពើនឹងតម្រូវការដើម្បីដោះស្រាយបញ្ហាសន្តិសុខជាបន្ទាន់។ ។

ក្នុងចំណោមផលិតផលដែលរងផលប៉ះពាល់ពីបញ្ហានេះត្រូវបានលើកឡើង ទៅដូចខាងក្រោម:

លីនុច

• BitDefender GravityZone
• សន្តិសុខកូដូដូបញ្ចប់
• សុវត្ថិភាពម៉ាស៊ីនមេឯកសារអេសធី
• F-សុវត្ថិភាពលីនុចសុវត្ថិភាព
• Kaspersy Endpoint Security
• សន្តិសុខម៉ាកអេហ្វអេហ្វអិច
• Sophos ប្រឆាំងមេរោគសម្រាប់លីនុច

ប្រព័ន្ធប្រតិបត្តិការ Windows

• ប្រឆាំងមេរោគដោយឥតគិតថ្លៃ Avast
• អាវីរ៉ាប្រឆាំងនឹងមេរោគឥតគិតថ្លៃ
• BitDefender GravityZone
• សន្តិសុខកូដូដូបញ្ចប់
• អេហ្វ - ធានាសុវត្ថិភាពកុំព្យូទ័រ
• សុវត្ថភាពចំណុចភ្លើង
• ស្ទាក់ X (សូហ្វៀ)
• Kaspersky Endpoint Security
• Malwarebytes សម្រាប់វីនដូ
• សន្តិសុខម៉ាកអេហ្វអេហ្វអិច
• ផេនដាដូដ
• វេបត្រូវមានសុវត្ថិភាពគ្រប់ទីកន្លែង

MacOS

• AVG
• ប៊ីតឌីហ្វ្រេដសឺរសរុប
• សឺវឺរអ៊ិនធើណេតសុវត្ថិភាព
• Kaspersky Internet Security
• McAfee Total Protection
• អ្នកការពារក្រុមហ៊ុន Microsoft (ប៊ី។ ធី)
• ន័រតុនសន្ដិសុខ
• Sophos ទំព័រដើម
• វេបត្រូវមានសុវត្ថិភាពគ្រប់ទីកន្លែង

ប្រភព: https://www.rack911labs.com