Waspada Malware "Tanpa File"

Suara.com - Para ahli Kaspersky menemukan kampanye malware bertarget yang cukup spesifik.

Pakar Kaspersky telah mendeteksi kampanye malware bertarget yang menggunakan teknik unik,
menyembunyikan malware "tanpa file" di dalam Windows event logs.

Infeksi awal sistem dilakukan melalui modul penetes dari arsip yang diunduh oleh korban.

Penyerang menggunakan berbagai pembungkus anti-deteksi yang tak tertandingi untuk menjaga agar Trojan tahap terakhir tidak terlalu terlihat jelas.

Untuk menghindari deteksi lebih lanjut, beberapa modul ditandatangani dengan sertifikat digital.

Penyerang menggunakan dua jenis Trojan untuk tahap terakhir. Digunakan untuk mendapatkan akses lebih lanjut ke sistem, perintah dari server kontrol dikirimkan dalam dua cara, yakni melalui komunikasi jaringan HTTP dan menggunakan pipa bernama.

Beberapa versi Trojan berhasil menggunakan sistem perintah yang berisi puluhan perintah dari C2.

Kampanye ini juga menyertakan alat uji penetrasi komersial, yaitu SilentBreak dan CobaltStrike.

Ini menggabungkan teknik terkenal dengan decryptors yang disesuaikan dan penggunaan Windows event logs pertama yang diamati untuk menyembunyikan shellcode ke sistem.

Denis Legezo, peneliti keamanan utama di Kaspersky, melihat penjahat siber menyimpan dan kemudian mengeksekusi shellcode terenkripsi dari Windows event logs.

"Pentingnya tetap waspada terhadap ancaman yang dapat membuat Anda lengah. Perlu menambahkan teknik event logs ke bagian 'antisipasi pertahanan' matriks MITER ke dalam bagian 'hide artifacts'," katanya dalam keterangan resminya, Minggu (22/5/2022).