Peneliti cybersecurity telah melepas serangan cyber yang tidak biasa yang memanfaatkan malware dengan header DOS dan PE yang rusak, menurut temuan baru dari Fortinet.
Header DOS (Disk Operating System) dan PE (Portable Executable) adalah bagian penting dari file Windows PE, memberikan informasi tentang Executable.
Sementara header DOS membuat file yang dapat dieksekusi mundur kompatibel dengan MS-DOS dan memungkinkannya diakui sebagai yang dapat dieksekusi yang valid oleh sistem operasi, header PE berisi metadata dan informasi yang diperlukan untuk Windows untuk memuat dan menjalankan program.
“Kami menemukan malware yang telah berjalan pada mesin yang dikompromikan selama beberapa minggu,” peneliti Xiaopeng Zhang dan John Simmons dari tim respons insiden Fortiguard dalam sebuah laporan yang dibagikan dengan Hacker News. “Aktor ancaman telah mengeksekusi sejumlah skrip dan PowerShell untuk menjalankan malware dalam proses Windows.”
Fortinet mengatakan sementara itu tidak dapat mengekstrak malware itu sendiri, ia memperoleh dump memori dari proses malware yang sedang berjalan dan dump memori penuh dari mesin yang dikompromikan. Saat ini tidak diketahui bagaimana malware didistribusikan atau seberapa luas distribusi serangan itu.
Malware, berjalan dalam proses DLLHost.exe, adalah file PE 64-bit dengan header DOS dan PE yang rusak dalam upaya untuk menantang upaya analisis dan merekonstruksi muatan dari memori.
Terlepas dari penghalang jalan ini, perusahaan cybersecurity lebih lanjut mencatat bahwa ia dapat membongkar malware yang dibuang dalam pengaturan lokal yang dikendalikan dengan mereplikasi lingkungan sistem yang dikompromikan setelah “beberapa uji coba, kesalahan, dan perbaikan berulang.”
Malware, yang pernah dieksekusi, mendekripsi informasi domain perintah-dan-kontrol (C2) yang disimpan dalam memori dan kemudian membuat kontak dengan server (“Rushpapers[.]com “) dalam ancaman yang baru dibuat.
“Setelah meluncurkan utas, utas utama memasuki keadaan tidur sampai utas komunikasi menyelesaikan eksekusi,” kata para peneliti. “Malware berkomunikasi dengan server C2 melalui protokol TLS.”
Analisis lebih lanjut telah menentukan malware sebagai Trojan akses jarak jauh (tikus) dengan kemampuan untuk menangkap tangkapan layar; menghitung dan memanipulasi layanan sistem pada host yang dikompromikan; dan bahkan bertindak sebagai server untuk menunggu koneksi “klien” yang masuk.
“Ini mengimplementasikan arsitektur soket multi-threaded: setiap kali klien baru (penyerang) terhubung, malware memunculkan utas baru untuk menangani komunikasi,” kata Fortinet. “Desain ini memungkinkan sesi bersamaan dan mendukung interaksi yang lebih kompleks.”
“Dengan beroperasi dalam mode ini, malware secara efektif mengubah sistem yang dikompromikan menjadi platform akses jarak jauh, memungkinkan penyerang untuk meluncurkan serangan lebih lanjut atau melakukan berbagai tindakan atas nama korban.”
