Sebuah tim peneliti keamanan telah menemukan teknik evasion malware baru yang dapat membantu pembuat malware mengalahkan sebagian besar antivirus modern dan alat forensik.

Dijuluki Doppelgänging, teknik injeksi kode tanpa nama baru mengambil keuntungan dari fungsi Windows built-in dan penerapan pemroses proses Windows yang tidak terdokumentasi.

Periset keamanan Ensilo Tal Liberman dan Eugene Kogan, yang menemukan serangan Doppelgänging, mempresentasikan temuan mereka di konferensi keamanan Black Hat Europe 2017 yang diadakan di London.

Doppelgänging Bekerja Pada Semua Versi Windows

Rupanya, serangan Doppelgänging bekerja pada semua versi modern sistem operasi Microsoft Windows, mulai dari Windows Vista sampai versi terbaru Windows 10.

Tal Liberman, kepala tim peneliti di enSilo, mengatakan bahwa teknik evasion malware serupa dengan Process Hollowing – metode yang diperkenalkan beberapa tahun yang lalu oleh penyerang untuk mengalahkan kemampuan mitigasi produk keamanan.

Dalam serangan Process Hollowing, penyerang menggantikan memori dari proses yang sah dengan kode berbahaya sehingga yang berjalan kode kedua bukan yang asli, trik untuk menipu alat monitoring proses dan antivirus agar menjadi percaya bahwa proses asli berjalan.

Karena semua produk antivirus modern telah diupgrade untuk mendeteksi serangan Process Hollowing, jadi penggunaan teknik ini bukanlah ide bagus lagi.

Di sisi lain, Doppelgänging adalah pendekatan yang sama sekali berbeda untuk mencapai hal yang sama, dengan menyalahgunakan Windows NTFS Transactions dan implementasi loader Windows yang sudah ketinggalan zaman, yang pada awalnya dirancang untuk Windows XP, namun diterapkan di semua versi Windows yang lebih baru.

Inilah Cara Kerja Serangan Doppelgänging:

Sebelum membahas lebih jauh tentang bagaimana serangan injeksi kode baru ini berhasil, kamu perlu memahami apa itu Windows NTFS Transaction dan bagaimana penyerang bisa memanfaatkannya untuk menghindari tindakan jahatnya.

NTFS Transaction adalah fitur Windows yang membawa konsep transaksi atom ke sistem file NTFS, memungkinkan file dan direktori dibuat, dimodifikasi, diganti namanya, dan dihapus secara atomik.

NTFS Transaction adalah ruang terisolasi yang memungkinkan pengembang aplikasi Windows untuk menulis rutinitas keluaran file yang dijamin dapat berhasil sepenuhnya atau gagal total.

Menurut peneliti, Doppelgänging adalah serangan tanpa nama dan bekerja dalam empat langkah utama seperti yang disebutkan di bawah ini:

  • Transact – memproses eksekusi yang sah ke dalam transaksi NTFS dan kemudian menimpanya dengan file berbahaya.
  • Load – membuat bagian memori dari file (berbahaya) yang dimodifikasi.
  • Rollback – rollback transaksi (sengaja gagal dalam transaksi), mengakibatkan penghapusan semua perubahan dalam executable yang sah dengan cara yang tidak pernah ada.
  • Animate – Menggunakan pemuat proses Windows yang lebih tua untuk membuat proses dengan bagian memori yang telah dibuat sebelumnya (pada langkah 2), yang sebenarnya berbahaya dan tidak pernah disimpan ke disk, “sehingga tidak terlihat oleh kebanyakan alat perekaman seperti EDR modern.”

Doppelgänging Berhasil Menghindari Deteksi Dari Kebanyakan Antivirus

Liberman mengatakan bahwa selama penelitian mereka menguji serangan terhadap produk keamanan dari Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda, dan bahkan alat forensik lainnya.

Untuk mendemonstrasikan, para periset menggunakan Mimikatz, alat post-exploitation yang membantu mengekstrak kredensial dari sistem yang terkena dampak, dengan Doppelgänging untuk melewati deteksi antivirus.

Liberman juga mengatakan kepada kami bahwa Doppelgänging bekerja pada versi Windows 10 yang paling terbaru, kecuali Windows 10 Redstone dan Fall Creators Update, yang dirilis awal tahun ini.

Namun karena adanya bug yang berbeda pada Windows 10 Redstone dan Fall Creators Update, menggunakan serangan tersebut menyebabkan BSOD (blue screen of death).

Ini bukan pertama kalinya peneliti enSilo menemukan teknik evasion malware. Sebelumnya mereka menemukan dan mendemonstrasikan teknik AtomBombing yang juga menyalahgunakan kelemahan dalam rancangan Windows.

Pada bulan September, periset enSilo juga mengungkapkan kesalahan pemrograman di kernel Microsoft Windows yang mencegah perangkat lunak keamanan mendeteksi malware pada saat runtime ketika dimuat ke memori sistem.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!