Peretas Gunakan Teknik Baru untuk Menyerang Sistem Windows



Peretas Gunakan Teknik Baru untuk Menyerang Sistem Windows - credit for: bleepingcomputer - pibitek.biz - Risiko

credit for: bleepingcomputer


336-280
TL;DR
  • Peretas menggunakan teknik AppDomain Injection untuk menginstal malware CobaltStrike dengan file berbahaya.
  • Teknik ini memungkinkan peretas menjalankan kode berbahaya dalam konteks aplikasi sah dengan file DLL.
  • Peretas meletakkan file DLL dan file konfigurasi di direktori aplikasi target untuk menjalankan kode berbahaya.

pibitek.biz -Peretas kini menggunakan teknik AppDomain Injection untuk menginstal malware CobaltStrike. Teknik ini memungkinkan peretas untuk mengambil alih aplikasi. NET di Windows dan menjalankan kode berbahaya tanpa terdeteksi. Teknik ini telah ada sejak 2017, tetapi jarang digunakan dalam serangan malware. Namun, NTT Japan telah mencatat serangan yang menggunakan teknik ini untuk menginstal malware CobaltStrike yang menyerang agensi pemerintah Taiwan, militer Filipina, dan organisasi energi Vietnam. Serangan ini diduga dilakukan oleh grup peretas APT 41 yang disponsori negara Tiongkok, meskipun atribusi ini masih belum dapat dipastikan.

Teknik AppDomain Injection mirip dengan teknik DLL side-loading, tetapi lebih sulit dideteksi karena malware menjalankan kode berbahaya dalam konteks aplikasi sah. Untuk melakukan serangan, peretas mempersiapkan file DLL yang berisi kelas yang mewarisi kelas AppDomainManager dan file konfigurasi (exe.config) yang mengarahkan penggunaan file DLL tersebut. Kemudian, peretas hanya perlu meletakkan file DLL dan file konfigurasi di direktori yang sama dengan aplikasi target. Ketika aplikasi. NET dijalankan, file DLL berbahaya dijalankan, dan kode berbahaya dijalankan dalam konteks aplikasi sah.

Teknik ini membuat lebih sulit bagi software keamanan untuk mendeteksi malware karena perilaku berbahaya tampaknya berasal dari aplikasi sah yang ditandatangani. Serangan yang diamati oleh NTT dimulai dengan pengiriman file ZIP yang berisi file MSC (Microsoft Script Component) yang berbahaya. Ketika target membuka file, kode berbahaya dijalankan secara otomatis tanpa interaksi atau klik tambahan, menggunakan teknik yang disebut GrimResource. Teknik GrimResource memanfaatkan kerentanan XSS (Cross-Site Scripting) di perpustakaan apds. dll Windows untuk menjalankan kode arbitrer melalui Microsoft Management Console (MMC) menggunakan file MSC yang dibuat khusus.

Teknik ini memungkinkan peretas untuk menjalankan kode JavaScript yang dapat menjalankan kode. NET menggunakan metode DotNetToJScript. File MSC yang digunakan dalam serangan terbaru menciptakan file exe.config di direktori yang sama dengan aplikasi Microsoft yang sah dan ditandatangani (misalnya, oncesvc. exe). File konfigurasi ini mengarahkan penggunaan assembly tertentu ke file DLL yang berbahaya, yang dijalankan sebagai gantinya. DLL yang berbahaya ini kemudian menjalankan kode berbahaya dalam konteks aplikasi sah dan ditandatangani, sehingga menghindari deteksi dan bypass keamanan.

Tahap akhir serangan adalah menginstal malware CobaltStrike yang memungkinkan peretas melakukan berbagai aksi berbahaya, termasuk menginstal payload tambahan dan melakukan lateral movement. Meskipun atribusi ke APT 41 masih belum dapat dipastikan, kombinasi teknik AppDomainManager Injection dan GrimResource menunjukkan bahwa peretas memiliki keahlian teknis untuk menggabungkan teknik-teknik baru dan kurang dikenal dalam serangan nyata. Peretas terus mengembangkan teknik-teknik baru untuk menyerang sistem Windows, sehingga penting bagi pengguna untuk tetap waspada dan mengupdate software keamanan mereka secara teratur.