အန္တရာယ်ရှိသော Office ဖိုင်များနှင့်ပတ်သက်၍ သတိပေးချက်

Image
၁

နိဒါန်း

၁။ ယနေ့အခါတွင် ဆိုက်ဘာတိုက်ခိုက်သူများ (Threat Actor) များသည် အဖျက်အမှောင့်ကုဒ်များပါသော ပရိုဂရမ်များ(Executable Files) ကို ပေးပို့ခြင်းအစား Office ဖိုင်များကို အီးမေးလ်မှတဆင့်သော်လည်းကောင်း၊ website များတွင် တင်၍သော်လည်းကောင်း ပေးပို့သောနည်းလမ်းများကို ပြောင်းလဲသုံးစွဲလာကြပါသည်။ ကွန်ပျူတာအသုံးပြုသူများအနေဖြင့် ပရိုဂရမ်များကိုမူ သတိကြီးစွာဖြင့် စစ်ဆေးပြီးမှဖွင့်သော်လည်း Office ဖိုင်များကိုမူ ယုံကြည်စိတ်ချစွာဖြင့် မစစ်ဆေးဘဲ အလွယ်တကူဖွင့်တတ်လေ့ရှိသောကြောင့် ဆိုက်ဘာတိုက်ခိုက်ခံရမှုများ ကြုံတွေ့နေရပါသည်။

၂။ တရုတ်နိုင်ငံအခြေပြု Adavance Pesisten Threat (APT) အဖွဲ့များဖြစ်ကြသော Mustang Panda နှင့် Naikon တို့သည် သတင်းအချက်အလက်များကို ထောက်လှမ်းရန်အတွက် PlugX၊ PoisonIvy နှင့် Chinoxy Malware တို့ကို အသုံးပြုကာ အာရှ-ပစိဖိတ်နိုင်ငံများကို ပစ်မှတ်ထား၍ တိုက်ခိုက်လျက်ရှိပါသည်။

Malware များ၏သဘောသဘာဝ

၃။ အဆိုပါ Malware များကို RoyalRoad Exploit Builder မှ ထုတ်လုပ်ဖန်တီးခြင်းဖြစ်ပြီး Malware များတွင်ပါရှိသော Exploit သည် Microsoft Office တွင်ပါရှိသော Equation Editor ၏ လုံခြုံရေးအားနည်းချက်ကို တိုက်ခိုက်ကာ Microsoft Office 2007/2010/2013/2016 အသုံးပြုသူများအား တိုက်ခိုက်နိုင်ပါသည်။

၄။ Malware ၏မူလဖိုင်အမျိုးအစားမှာ Rich Text Format (.rtf) ဖိုင်ဖြစ်သော်လည်း Microsoft Word ဖြင့် ဖွင့်ကြည့်စေရန်အတွက် Document (.doc) ဖိုင်အယောင်ဆောင်ထားပြီး ၎င်းဖိုင်အား ဖွင့်ကြည့်မိသူများအနေဖြင့် ဖိုင်ထဲတွင်ပါရှိသော Batch ဖိုင် (.bat) (သို့မဟုတ်) Script ဖိုင် (.vbs) (သို့မဟုတ်) Executable ဖိုင် (.exe, .dll) များကို အလုပ်လုပ်စေမည်ဖြစ်ပါသည်။ ၎င်း Document ဖိုင်များသည် ပုံ(၁)တွင် ပြထားသည့်အတိုင်း Embedded ဖိုင်ထဲမှ အဖျက်အမှောင့် လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ကာ ၎င်းတို့၏ Website များမှတဆင့် နောက်ထပ်သော အဖျက်အမှောင့်ဖိုင်များကို စတင် Download လုပ်ယူကာ တိုက်ခိုက်ခံရသောကွန်ပျူတာထဲတွင် အမြဲတမ်းရှိနေနိုင်ရေးအတွက် ပုံ(၂)တွင် ပြထားသည့်အတိုင်း Windows ၏ Registry ထဲတွင် အချက်အလက်များကို ပြင်ဆင်ပါသည်။

ပုံ(၁)

ပုံ(၁)

ပုံ(၂)

ပုံ(၂)

၅။ Malware သည် ၎င်းအား လူများမှသော်လည်းကောင်း၊ Anti-virus များမှသော်လည်းကောင်း သံသယ မဝင်နိုင်စေရေးအတွက် Adobe CEF Helper၊ Avast Security Proxy၊ Malwarebytes၊ ESET ပရိုဂရမ်များအဖြစ် အယောင်ဆောင်သည့်အတွက် ၎င်းပရိုဂရမ်များအား Virustotal ကဲ့သို့ Online Virus Scanner များဖြင့် စစ်ဆေးပါက ၎င်းဖိုင်များကို Malware အဖြစ်ဖြင့် သိရှိနိုင်ခြင်း မရှိပါ။

၆။ ကွန်ပျူတာတွင် အမြဲအလုပ်လုပ်မည့် Loader ပရိုဂရမ်များသည် hex.dll (သို့မဟုတ်) http_dll.dll (သို့မဟုတ်) wsc.dll ဖိုင်များကို DLLHijacker များအဖြစ် အသုံးပြုလေ့ရှိပြီး PlugX Malware များတွင် ၎င်းတို့၏ အဖျက်အမှောင့်ကုဒ်များပါဝင်သည့် Payload ဖိုင်များဖြစ်သော Adobeupdate.dat၊ http_dll.dat ဖိုင်များကို ဆင့်ခေါ်အလုပ်လုပ်စေပါသည်။ Chinoxy Malware သည် wsc.dll ဖိုင်မှတဆင့် Microsoft Windows ၏ တရားဝင်ပရိုဂရမ်များဖြစ်သော dllhost.exe (သို့မဟုတ်) rundll32.exe ထဲတွင် ပုံ(၃)တွင်တွေ့မြင်ရသည့်အတိုင်း ကုဒ်များကို သွားထည့်ကာ Thread အသစ်တစ်ခုဖြင့် အလုပ်လုပ်စေပါသည်။ Chinoxy Malware သည် နောက်ထပ်သော အဖျက်အမှောင့်ဖိုင်များကို mon_enews.com  (အချို့သောဖိုင်များတွင် kyawtun119[.]com)မှ ထပ်မံ Download လုပ်ယူပါသည်။

ပုံ(၃)

ပုံ(၃)

၇။ Malware များသည် တိုက်ခိုက်ခံရသောကွန်ပျူတာတွင် အမြဲတမ်းရှိနေစေရန် ဆောင်ရွက်ပြီးနောက်တွင် တိုက်ခိုက်ခံရသောကွန်ပျူတာများမှ Microsoft Word ဖိုင်များ (.doc နှင့် .docx)၊ Microsoft Excel ဖိုင်များ (.xls နှင့် .xlsx)၊ Adobe Portable Document Format ဖိုင်များ (.pdf) ကို ခိုးယူကာ ၎င်းတို့၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာများဖြစ်သော 42.99.117.95၊ 45.251.240.55 နှင့် 45.134.83.41 တို့သို့ ဖိုင်များကို ဝှက်စာနည်းဖြင့်ဝှက်ကာ ပေးပို့ပါသည်။ Malware များသည် အင်တာနက်မရရှိသော ကွန်ပျူတာများမှ ဖိုင်များကို ခိုးယူရန်အတွက် Memory Stick ကဲ့သို့သော External Media များကို ကူးစက်ကာ ၎င်းကို ဖွင့်ကြည့်ခဲ့လျှင် ခိုးယူမည့်ဖိုင်များကို Memory Stick ထဲသို့ကူးထည့်ကာ အင်တာနက်ချိတ်ဆက်ထားသော၊ တိုက်ခိုက်ခံထားရသော ကွန်ပျူတာများမှတဆင့် ဖိုင်များကို ပေးပို့ပါသည်။

Malware တိုက်ခိုက်မခံရအောင် ကာကွယ်တားဆီးခြင်း

၈။ Malware တိုက်ခိုက်မှုမခံရရေးအတွက် အောက်ပါအတိုင်းလိုက်နာဆောင်ရွက်သင့်ပါသည်-
(က) မိမိမသိရှိသောသူများမှ ပေးပို့သော မည်သည့်ဖိုင်ကိုမဆို၊ Link များကိုမဆို မစစ်ဆေးဘဲ အလွယ်တကူ ဖွင့်မကြည့်ရန်။
( ခ) မိမိသိရှိသောသူမှ ပေးပို့သောမေးလ်ဖြစ်ခဲ့လျှင် မည်သည့်အကြောင်းကြောင့် ထိုမေးလ်ကို လက်ခံရရှိသည်ကို ဝေခွဲမရသည့်အခါတွင် ပေးပို့သူအား သေချာအောင်မေးမြန်းပြီးမှသာ မေးလ်အားဖွင့်ကြည့်ရန်။
( ဂ) မသင်္ကာဖွယ်မေးလ်များ လက်ခံရရှိပါက ထိုမေးလ်များအား အခြားသူများထံ Forward လုပ်ခြင်းများမလုပ်ဘဲ mmCERT သို့ပေးပို့၍ တိုင်ကြားရန်။
(ဃ) မယုံကြည်ရသော Website များမှ ပရိုဂရမ်များ၊ ဖိုင်များ Download လုပ်ရာတွင် Virustotal (www.virustotal.com) ကဲ့သို့ Website များတွင် သေချာအောင် စစ်ဆေးပြီးမှ ဖွင့်ကြည့်ရန်။
( င) Microsoft Word ဖိုင်အဖြစ် ပေးပို့လာသောဖိုင်များအား Mircosoft Word ဖိုင် ဟုတ်၊ မဟုတ် Notepad ဖြင့် စစ်ဆေးရန်။
( စ) Memory Stick ထဲရှိ ဖိုင်များကို ဖွင့်ရာတွင် ပရိုဂရမ်ဖိုင်များ၊ Shortcut ဖိုင်များ ပါရှိပါက စစ်ဆေးပြီးမှသာ ဖွင့်ကြည့်ရန်။
(ဆ) မိမိတို့၏ Microsoft Windows၊ Microsoft Office ပရိုဂရမ်များနှင့် Anti-virus ပရိုဂရမ်များကို နောက်ဆုံးအခြေအနေအထိ Update ပြုလုပ်ပြီး Anti-virus အား မည်သည့်အကြောင်းကြောင်းဖြင့်မျှ မပိတ်ရန်။

သတင်းပို့တိုင်ကြားခြင်း

၉။ မသင်္ကာဖွယ်ရာမေးလ်များလက်ခံရရှိပါက (သို့မဟုတ်) ဆိုက်ဘာတိုက်ခိုက်မှုခံရပါက အမျိုးသားဆိုက်ဘာလုံခြုံရေးဗဟိုဌာန၏ ဖုန်းနံပါတ်ဖြစ်သော ၀၆၇-၃၄၂၂၂၇၂ သို့ဖုန်းဖြင့်ဖြစ်စေ၊ အီးမေးလ်များဖြစ်သော incident@ncsc.gov.mm နှင့် infoteam@mmcert.org.mm တို့သို့မေးလ်ပို့၍ဖြစ်စေ ဆက်သွယ်တိုင်ကြားနိုင်ပါကြောင်း အသိပေးအပ်ပါသည်။