मैक रैंसमवेयर पर माइक्रोसॉफ्ट ने अपनी रिपोर्ट वापस ली

फोटो: नॉर्बर्ट लेवाजेसिक्स/अनस्प्लैश

Microsoft ने 5 जनवरी को प्रकाशित किया – और फिर 6 जनवरी को इसे ठीक किया – एक रिपोर्ट जिसमें चार रैंसमवेयर परिवारों का macOS उपकरणों पर हमला किया गया था। जब रैनसमवेयर जैसे साइबर सुरक्षा खतरों की बात आती है, तो अधिकांश सिस्टम आमतौर पर विंडोज या लिनक्स से प्रभावित होते हैं, इसलिए समाचार ने धूम मचा दी क्योंकि यह macOS उपकरणों के बारे में था।

लेकिन ऑब्जेक्टिव सी फाउंडेशन के संस्थापक पैट्रिक वार्डल बताते हैं। ट्विटर पर उस रिपोर्ट का हवाला नहीं दिया गया था और जुलाई 2022 में प्रकाशित उनकी पुस्तक द आर्ट ऑफ़ मैक मालवेयर में इसी तरह की रिपोर्टिंग के साथ निकटता से जुड़ा हुआ है।

देखें: अपने मैक को साफ करें इससे पहले कि यह टूट जाए और एक नया खरीद ले (टेक रिपब्लिक अकादमी)

Microsoft ने लेख को हटा दिया और पोस्ट के लिए माफी माँगने से रोकते हुए हटाने (चित्र A) का कारण बताने के लिए एक ट्वीट में वार्डल को जवाब दिया।

चित्र ए

छवि: ट्विटर। माइक्रोसॉफ्ट से संचार

जबकि Microsoft ने पोस्ट को हटा दिया है, परिणाम नीचे विस्तृत हैं।

आरंभिक मैक समझौता उल्लेखनीय नहीं हैं।

मैक पर रैंसमवेयर लगाने के लिए एक प्रारंभिक समझौता किसी भी अन्य संक्रमण के समान तरीकों का उपयोग करता है। साइबर अपराधी ईमेल, नकली एप्लिकेशन का उपयोग करते हैं या उपयोगकर्ताओं को फ़ाइलों को डाउनलोड करने के लिए बरगलाते हैं, जो उनके कंप्यूटरों को मैलवेयर से संक्रमित करते हैं। मैक पर रैंसमवेयर दूसरे चरण के पेलोड के जरिए भी आ सकता है। इस मामले में, रैंसमवेयर को अन्य मैलवेयर द्वारा सिस्टम पर छोड़ दिया जाता है और निष्पादित किया जाता है या आपूर्ति श्रृंखला हमले का हिस्सा होता है।

एक तकनीकी दृष्टिकोण से, Microsoft नोट करता है कि “मैलवेयर निर्माता वैध कार्यों का दुरुपयोग करते हैं और कमजोरियों का फायदा उठाने, बचाव से बचने या उपयोगकर्ताओं को अपने उपकरणों को संक्रमित करने के लिए मजबूर करने के लिए विभिन्न तकनीकों को तैयार करते हैं।” “

मैक पर रैंसमवेयर तकनीकें

Microsoft Mac पर मैलवेयर तकनीकों का वर्णन करने के लिए चार प्रसिद्ध रैनसमवेयर परिवारों का उपयोग करता है: KeRanger, FileCoder, MacRansom और EvilQuest।

मैकरैनसम और ईविलक्वेस्ट द्वारा उपयोग की जाने वाली विश्लेषण-विरोधी तकनीकें

विश्लेषण से बचने या शोधकर्ताओं और मैलवेयर सैंडबॉक्स के लिए फ़ाइल विश्लेषण को अधिक जटिल और कठिन बनाने के लिए मैलवेयर द्वारा एंटी-विश्लेषण तकनीकें तैनात की जाती हैं।

आमतौर पर देखी जाने वाली एक तकनीक यह निर्धारित करने के लिए हार्डवेयर-आधारित वस्तुओं का परीक्षण कर रही है कि मैलवेयर वर्चुअलाइज्ड वातावरण में चल रहा है या नहीं, जो अक्सर एक मजबूत संकेतक होता है कि मैलवेयर परीक्षण प्रयोगशाला या सैंडबॉक्स में चल रहा है।

MacRansom सिस्टम से hw.model चर प्राप्त करने के लिए sysctl कमांड का उपयोग करता है। यदि इसे वर्चुअल मशीन से चलाया जाता है तो मान भिन्न होगा। MacRansom तार्किक और भौतिक CPU की संख्या के बीच अंतर की भी जाँच करता है, क्योंकि वर्चुअलाइज्ड वातावरण में परिणाम होस्ट ऑपरेटिंग सिस्टम से भिन्न होते हैं।

एविलक्वेस्ट रैंसमवेयर डिवाइस विक्रेता को निर्धारित करने के लिए मैक संगठनात्मक रूप से अद्वितीय पहचानकर्ता की जांच करता है। यह en0 नेटवर्क इंटरफ़ेस का MAC पता प्राप्त करता है और इसकी तुलना ज्ञात मानों से करता है, यह निर्धारित करने के लिए कि वर्चुअल मशीन का उपयोग किया जाता है या नहीं।

देखें: Microsoft डिफेंडर मैक और लिनक्स को दुर्भावनापूर्ण वेबसाइटों से बचाता है (TechRepublic)

इसके अलावा, एविलक्वेस्ट डिवाइस की मेमोरी साइज की जांच करता है, क्योंकि वर्चुअल मशीनों में कुछ मेमोरी आवंटित की जाती है। यदि यह 1GB से कम मेमोरी है, तो मैलवेयर यह मान लेता है कि यह वर्चुअल वातावरण में चल रहा है। सीपीयू की संख्या की भी जाँच की जाती है, और यदि दो से कम हैं, तो मैलवेयर फिर से विचार करेगा कि यह सामान्य उपयोगकर्ता वातावरण पर नहीं चलता है।

केरेंजर रैंसमवेयर, लॉन्च होने पर, अपने दुर्भावनापूर्ण पेलोड को निष्पादित करने से पहले तीन दिनों तक सोता है, ताकि सैंडबॉक्स में पता न चल सके जो केवल कुछ मिनटों के लिए नमूना चलाते हैं।

हालांकि, कई सैंडबॉक्स दिनों के इंतजार से बचने के लिए स्लीप फंक्शन को पैच करके इस प्रकार की स्थिति को संभालते हैं। दोबारा, इसे बाईपास किया जा सकता है: एविलक्वेस्ट दो अलग-अलग नींद कॉल का उपयोग करता है और परिणाम में अंतर की जांच करता है। यदि परिणाम समान है, तो मैलवेयर जानता है कि स्लीप फ़ंक्शन ठीक है।

एविलक्वेस्ट और मैकरैनसम डिबगर को मौजूदा मैलवेयर प्रक्रिया से जोड़ने से रोककर डिबगिंग को भी रोकते हैं।

दृढ़ता प्राप्त करना

लॉन्च एजेंट और लॉन्च डेमॉन को मैलवेयर द्वारा लॉन्च करने के लिए आसानी से इस्तेमाल किया जा सकता है। स्थिरता प्राप्त करने के लिए संबंधित निर्देशिकाओं में कॉन्फ़िगरेशन और गुणों को निर्दिष्ट करने के लिए एक संपत्ति सूची फ़ाइल का उपयोग किया जाता है।

कर्नेल पंक्तियाँ दृढ़ता प्राप्त करने का एक और तरीका है। एविलक्वेस्ट इसका उपयोग उन सूचनाओं के आधार पर खुद को पुनर्स्थापित करने के लिए करता है जो इसे मॉनिटर की गई फ़ाइलों में संशोधनों से प्राप्त होती हैं।

कूटलेखन

जैसा कि कई अलग-अलग एन्क्रिप्शन योजनाएं हैं, रैंसमवेयर परिवार डेटा को एन्क्रिप्ट करने के तरीके में भिन्न होते हैं।

FileCoder Ransomware एन्क्रिप्शन के लिए बेतरतीब ढंग से उत्पन्न पासवर्ड के साथ, डेटा को एन्क्रिप्ट करने के लिए सार्वजनिक ज़िप सॉफ़्टवेयर का उपयोग करता है। यह बार-बार/उपयोगकर्ताओं और/वॉल्यूम फ़ोल्डरों में फ़ाइलों को एन्क्रिप्ट करता है। ज़िप उपयोगिता का उपयोग करने के इस तरीके का एक स्पष्ट लाभ है: रैनसमवेयर डेवलपर को किसी भी एन्क्रिप्शन को लागू करने की आवश्यकता नहीं होती है और वह तीसरे पक्ष द्वारा प्रदान किए गए ठोस एन्क्रिप्शन पर निर्भर करता है।

KeRanger मैलवेयर फ़ाइलों को एन्क्रिप्ट करने के लिए सिफर ब्लॉकचैन मोड में AES एन्क्रिप्शन का उपयोग करने के लिए डिज़ाइन किया गया है।

MacRansom डेटा को एन्क्रिप्ट करने के लिए एक यादृच्छिक संख्या के साथ अनुमत एक हार्डकोडेड कुंजी का उपयोग करता है, जबकि एविलक्वेस्ट एक कस्टम सममित कुंजी एन्क्रिप्शन रूटीन का उपयोग करके सामग्री को एन्क्रिप्ट करता है।

फ़ाइल गिनती

रैंसमवेयर ऑपरेटरों के लिए फ़ाइल गणना एक महत्वपूर्ण प्रक्रिया है। इसमें यह निर्धारित करना शामिल है कि सिस्टम या नेटवर्क पर एन्क्रिप्शन के लिए कौन सी फाइलों को लक्षित करना है। इस लक्ष्य को प्राप्त करने के लिए मैक पर रैंसमवेयर द्वारा उपयोग की जाने वाली कई विधियाँ हैं।

कमांड लाइन बाइनरी ‘खोजें’

FileCoder और MacRansomware फ़ाइलों को एन्क्रिप्ट करने के लिए खोजने के लिए “Find” उपयोगिता का उपयोग करते हैं। यह यूटिलिटी लिनक्स और मैकोज़ जैसी कई प्रणालियों के लिए मूल है और इसमें हमलावरों की सहायता के लिए कई विकल्प हैं।

खोज आदेश का आउटपुट तब मैलवेयर को खोजी गई फ़ाइलों पर अपना संचालन चलाने के लिए प्रदान किया जाता है।

देखें: 2022 का सबसे खतरनाक और विनाशकारी रैंसमवेयर समूह (TechRepublic)

FileCoder पुनरावर्ती रूप से macOS /उपयोगकर्ताओं और /वॉल्यूम फ़ोल्डरों में सभी फ़ाइलों की गणना करता है, जिसमें README!.txt नाम की फ़ाइलें शामिल नहीं हैं।

MacRansom अधिक विशिष्ट है: यह /Volumes और वर्तमान उपयोगकर्ता के होम फ़ोल्डर में फ़ाइलों की तलाश करता है, लेकिन यह 8 बाइट्स से बड़ी फ़ाइलों की जाँच करता है, जो वर्तमान उपयोगकर्ता से संबंधित हैं, जिसके लिए उन्होंने पढ़ने की अनुमति को सक्षम रखा है।

पुस्तकालयों के माध्यम से गिनती

केरेंजर और एविलक्वेस्ट संक्रमित सिस्टम पर फ़ाइलों की गणना करने के लिए opendir(), readdir() और closeir() जैसे मानक लाइब्रेरी फ़ंक्शंस का उपयोग करते हैं।

वे कई डेवलपर्स द्वारा उपयोग किए जाने वाले मानक कार्य हैं जिन्हें फ़ाइलों में हेरफेर करने की आवश्यकता होती है।

एविलक्वेस्ट रैंसमवेयर इसे और भी आगे ले जाता है।

एविलक्वेस्ट के विश्लेषण से पता चला है कि फिरौती के लिए फ़ाइलों को पूरी तरह से एन्क्रिप्ट करने की तुलना में इसमें अधिक कार्यक्षमता है। यहां तक ​​कि इसके वेरिएंट भी हैं जिनमें अब रैनसमवेयर पेलोड नहीं है।

  1. एविलक्वेस्ट में अपने कोड को लक्षित फाइलों में प्री-प्लेस करके मच ऑब्जेक्ट फाइल फॉर्मेट (मैक-ओ) फाइलों को संक्रमित करने की क्षमता है।
  2. निष्पादित होने पर, संक्रमित फ़ाइलें निष्पादन योग्य फ़ाइल के वैध कोड को निष्पादित करने से पहले एविलक्वेस्ट कोड निष्पादित करेंगी।
  3. एविलक्वेस्ट में प्रमुख लॉगिंग विशेषताएं शामिल हो सकती हैं और सुरक्षा प्रक्रियाओं से बचने के प्रयास यह जांच कर सकते हैं कि चल रही प्रक्रियाएं सुरक्षा उपकरणों के पैटर्न की हार्ड-कोडित सूची से संबंधित हैं या नहीं। यदि मैलवेयर कोई मेल देखता है, तो यह प्रक्रिया को रोक देगा और प्रक्रिया फ़ाइल से निष्पादन योग्य अनुमतियों को हटा देगा।
  4. एविलक्वेस्ट के कुछ वेरिएंट इन-मेमोरी निष्पादन का उपयोग करते हैं, मैलवेयर के लिए किसी भी डिस्क स्टोरेज को रोकते हैं और इसका पता लगाना अधिक कठिन बनाते हैं।

MacOS पर रैंसमवेयर के खतरे से कैसे बचाव करें?

आम खतरों से प्रभावित होने से बचने के लिए हमेशा अप-टू-डेट और पैच किए गए ऑपरेटिंग सिस्टम और सॉफ़्टवेयर की सलाह दी जाती है। यह भी सलाह दी जाती है कि कभी भी किसी अविश्वसनीय स्रोत जैसे कि डाउनलोड प्लेटफॉर्म से सॉफ्टवेयर इंस्टॉल न करें। इसके बजाय, केवल वैध एप्लिकेशन स्टोर का उपयोग किया जाना चाहिए।

मैक उपकरणों पर एंटीवायरस और सुरक्षा समाधान तैनात किए जाने चाहिए, और उपयोगकर्ता विशेषाधिकारों की सावधानी से जांच की जानी चाहिए, इसलिए उपयोगकर्ताओं को केवल उस डेटा तक पहुंच की अनुमति है जिसकी उन्हें आवश्यकता है, न कि कंपनी के सभी डेटा तक। विशेष रूप से नेटवर्क शेयरों पर।

प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त विचार मेरे अपने हैं।



Source link

Leave a Comment