Hacker Cina Menyerang & Memata-matai Pengguna Windows Menggunakan Rootkit

  • Whatsapp
Hacker Cina Menyerang & Memata-matai Pengguna Windows Menggunakan Rootkit
Hacker Cina Menyerang Memata matai Pengguna Windows Menggunakan Rootkit
Hacker Cina Menyerang & Memata-matai Pengguna Windows Menggunakan Rootkit

GhostEmperor, grup spionase dunia maya baru Tiongkok, yang terus menyerang organisasi besar yang menggunakan Windows di Asia Tenggara setidaknya sejak Juli 2020. GhostEmperor menyerang beberapa lembaga pemerintah dan perusahaan telekomunikasi di negara-negara berikut:-

  • Malaysia
  • Thailand
  • Vietnam
  • Indonesia
  • Mesir
  • Afganistan
  • Etiopia

Kelompok serangan siber China ini baru di bidang penyerangan ini, dan menggunakan alat yang sangat rumit, tidak hanya itu, tetapi pelaku ancaman dari kelompok ini terutama berfokus untuk mendapatkan dan mempertahankan akses jaringan jangka panjang untuk mencapai tujuannya.

Bagaimana korban terinfeksi pada awalnya?

Peneliti keamanan Kaspersky Lab telah memulai penyelidikan dan selama penyelidikan mereka, mereka membedakan beberapa vektor serangan yang memicu rantai epidemi yang mengarah pada kinerja malware di memori.

Terlepas dari semua ini, pelaku ancaman sebagian besar telah menyalahgunakan kerentanan dalam aplikasi web yang umumnya berjalan pada sistem tersebut, memungkinkan mereka untuk menarik dan menjalankan file mereka.

Selain itu, infeksi GhostEmperor juga telah menyerang server Exchange yang terjadi pada 4 Maret 2021.

Fungsionalitas Demodex rootkit

Demodex dimuat sebagai rootkit, dan biasanya berfungsi untuk menentukan cakupan berbagai artefak layanan malware. Untuk mengakses fungsionalitas rootkit, malware harus menangani objek perangkat serupa, dan segera setelah IOCTL berikut akan tersedia untuk penggunaan lebih lanjut, yang telah kami sebutkan di bawah ini:-

  • 0x220204
  • 0x220224
  • 0x220300
  • 0x220304
  • 0x220308
  • 0x22030C

Analisis pemuatan rootkit

Namun, pelaku ancaman telah mengeksploitasi kerentanan yang ada di driver yang ditandatangani untuk mengaktifkan eksekusi kode yang tidak ditandatangani ke ruang kernel. Metode ini dibatasi oleh Microsoft dengan inisiasi Kernel Patch Protection.

Selain itu, metode yang digunakan oleh pengembang rootkit ini memungkinkan memuat driver yang tidak ditandatangani secara lahiriah menyesuaikan gambar Integritas Kode dan menangani potensi kerusakan.

Itu juga mengeksploitasi fitur driver yang sah dan open-source2 yang ditandatangani yang diidentifikasi sebagai dbk64.sys yang ditransmisikan bersama dengan Cheat Engine.

Teknik kebingungan dan anti-analisis

Ada dua alat analisis umum, dan di sini disebutkan di bawah ini:-

Namun, Demodex dimuat, itu sebabnya drivernya tidak diamankan dengan benar di WinDbg bersama dengan modul sistem lain yang disimpan dengan cara yang terdokumentasi.

Jadi, pelaku ancaman telah membuat pilihan sukarela untuk menghilangkan semua header PE dari gambar yang dimuat memori di tahap ketiga malware serta driver rootkit.

GhostEmperor fokus pada target profil tinggi

Seluruh serangan menunjukkan bahwa aktor yang mendasari dicapai untuk tetap di bawah detektor selama berbulan-bulan. Namun, pelaku ancaman telah menyampaikan tingkat penelitian yang diperlukan untuk membuat rootkit Demodex berfungsi penuh pada Windows 10.

Melakukan hal ini dengan baik akan memungkinkannya memuat melalui fitur yang didokumentasikan dari driver pihak ketiga yang ditandatangani dan jinak, karena aktor ancaman GhostEmperor telah menggunakan alat yang kuat dan canggih.

Infrastruktur jaringan

GhostEmperor telah menggunakan layanan hosting yang berbasis di Hong Kong dan Korea Selatan, seperti Daou Technology atau Anchent Asia Limited. Dan di sini mereka disebutkan di bawah ini: –

  • lab baru[.]dengan
  • reclubpress[.]dengan
  • webdignusdata[.]dengan
  • penurunan bebas[.]dengan
  • setelah bisa[.]dengan
  • pusat data online[.]dengan
  • newfreepre[.]dengan

Dan berikut adalah alamat IP yang digunakan oleh pelaku ancaman:-

  • 223.135[.]214
  • 148.165[.]158
  • 102.114[.]55
  • 102.113[.]57
  • 102.113[.]240

Sementara GhostEmperor mungkin baru Kelompok serangan siber Tiongkok tetapi telah datang dengan alat yang paling canggih, yang membuat serangannya lebih rumit. Tidak hanya itu, grup ini juga menggunakan beberapa trik peretas cerdas yang mengemas ulang data ke dalam format multimedia palsu.

Namun, menggunakan trik ini akan banyak membantu pelaku ancaman, dan lalu lintas malware GhostEmperor biasanya disembunyikan sebagai file RIFF, JPEG, atau PNG yang sulit dikenali.

Indikator kompromi

Tahap 1 – PowerShell Dropper

012862165EC105A44FEA14FACE53492F – u_ex200822.ps1

Tahap 2 – Layanan DLL

6A44FDD66AB841C33949620666CA847A – RAudioUniConfig.dll
2DD0885F84B890883A396030DB841D28

1BC301AA9B861F762CE5F376228E992A – svchosts.exe

Tahap 4

0BBFBA106FBB9E310330DC87C32CB6D1 – Payload DLL
6685323C61D8EDB4A6E35796AF34D626 – Kontrol Desktop Jarak Jauh DLL

Pasca eksploitasi

BE38D173E4E9118BDC2E83FD5F90BE3B – kekeo.exe
F078AC9B012C503D35254AF9629D3B67 – debugall.vbs

Sopir

7394229455151a9cd036383027a1536b

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.