Keluarga Malware Populer yang Menggunakan 'Process Doppelgänging' untuk Menghindar dari Deteksi - Otak Kita

Keluarga Malware Populer yang Menggunakan 'Process Doppelgänging' untuk Menghindar dari Deteksi



Otak Kita - Teknik injeksi kode fileless yang disebut Proses Doppelgänging secara aktif digunakan tidak hanya oleh satu atau dua tetapi sejumlah besar keluarga malware di alam liar, sebuah laporan baru yang dibagikan dengan The Hacker News mengungkapkan.

Ditemukan pada akhir 2017, Process Doppelgänging adalah variasi tanpa teknik dari Proses Injeksi yang memanfaatkan fungsi Windows bawaan untuk menghindari deteksi dan bekerja pada semua versi modern sistem operasi Microsoft Windows.

Proses serangan Doppelgänging bekerja dengan memanfaatkan fitur Windows yang disebut Transactional NTFS (TxF) untuk meluncurkan proses jahat dengan mengganti memori proses yang sah, menipu alat pemantau proses, dan antivirus agar yakin bahwa proses yang sah sedang berjalan.

Beberapa bulan setelah pengungkapan teknik ini, varian ransomware SynAck menjadi malware pertama yang mengeksploitasi teknik Process Doppelgänging, menargetkan pengguna di Amerika Serikat, Kuwait, Jerman, dan Iran.

Tak lama setelah itu, para peneliti menemukan dropper (pemuat) untuk trojan perbankan Osiris yang juga menggunakan teknik ini dalam kombinasi dengan teknik penghindaran malware serupa yang sebelumnya ditemukan yang disebut Proses Hollowing.

Sekarang, ternyata bukan hanya SynAck atau Osiris, tetapi lebih dari 20 keluarga malware yang berbeda — termasuk FormBook , LokiBot , SmokeLoader , AZORult, NetWire, nwRat , pencuri pony, dan ransomware GandCrab — telah menggunakan pemuat malware yang memanfaatkan hybrid ini. implementasi serangan Process Doppelgänging untuk menghindari deteksi.


Setelah menganalisis ratusan sampel malware, peneliti keamanan di enSilo menemukan setidaknya tujuh versi berbeda dari loader tersebut, yang mereka juluki " TxHollower ," yang digunakan oleh berbagai penulis malware.

    "Penyerang diketahui menggunakan kembali sumber daya dan alat dalam rantai serangan mereka, yang paling terkenal adalah dropper, packer, dan loader. Ini menyoroti bahwa komponen dan kode bersama membuat pelacakan dan menghubungkan berbagai kelompok menjadi lebih rumit," kata para peneliti. 


Para peneliti percaya bahwa TxHollower loader tersedia untuk penjahat dunia maya melalui beberapa kerangka kerja ofensif atau kit eksploitasi, yang pada akhirnya meningkatkan penggunaan teknik mirip proses doppelgänging di alam liar.

Sampel paling awal dari loader dengan fitur TxHollower digunakan pada bulan Maret 2018 untuk mendistribusikan Netwire RAT, dan kemudian juga ditemukan dibundel dengan beberapa versi GandCrab , dimulai dengan v5 dan berlanjut hingga v5.2.

Selain itu, para peneliti di enSilo juga menemukan beberapa sampel yang dibungkus dalam lapisan tambahan seperti file MSI dan dalam beberapa kasus, loader saling bersarang.

    "Walaupun kami tidak mengamati infeksi yang sebenarnya, kami dapat menemukan beberapa sampel yang kami duga terkait dengan rantai infeksi seperti pengunduh dan dropper dari TxHollower. Jenis file tersebut termasuk file executable PE, JavaScript dan dokumen," para peneliti kata. 


Untuk mempelajari lebih lanjut tentang bagaimana teknik serangan Proses Doppelgänging bekerja, Anda dapat membaca artikel sebelumnya yang kami terbitkan pada 2017, dan jika Anda ingin tahu lebih banyak tentang berbagai versi loader TxHollower, Anda dapat langsung menuju ke posting blog enSilo yang diterbitkan hari ini.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel