Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • AppDomain Manager Injection
  • Sektor Bisnis
  • Teknologi

AppDomain Manager Injection

3 min read
AppDomain Manager Injection

image credit: Pixabay.com

Gelombang serangan yang dimulai pada bulan Juli 2024 mengandalkan teknik yang kurang umum yang disebut AppDomain Manager Injection, yang dapat menjadikan aplikasi Microsoft .NET apa pun di Windows sebagai senjata.

Teknik ini telah ada sejak tahun 2017, dan beberapa aplikasi bukti konsep telah dirilis selama bertahun-tahun yang lalu.

Peneliti telah melacak serangan yang diakhiri dengan penyebaran CobaltStrike yang menargetkan lembaga pemerintah, militer, dan perusahaan energi di Asia.

Taktik, teknik, dan prosedur, serta tumpang tindih infrastruktur dalam laporan baru-baru ini dan sumber lainnya menunjukkan bahwa kelompok ancaman yang disponsori negara Tiongkok APT 41 berada di balik serangan tersebut.

Baca juga: Membatasi Jejak Digital

AppDomain Manager Injection

Mirip dengan side load DLL standar, AppDomainManager Injection juga melibatkan penggunaan file DLL untuk mencapai tujuan jahat pada sistem yang diretas.

Namun, AppDomainManager Injection memanfaatkan kelas AppDomainManager .NET Framework untuk menyuntikkan dan mengeksekusi kode berbahaya, sehingga lebih tersembunyi dan lebih serbaguna.

Pelaku menyiapkan DLL berbahaya yang berisi kelas yang mewarisi kelas AppDomainManager dan file konfigurasi (exe.config) yang mengalihkan pemuatan rakitan yang sah ke DLL berbahaya.

Pelaku hanya perlu menempatkan DLL jahat dan file konfigurasi di direktori yang sama dengan target yang dapat dieksekusi, tanpa perlu mencocokkan nama DLL yang ada, seperti pada pemuatan samping DLL.

Saat aplikasi .NET berjalan, DLL jahat dimuat, dan kodenya dieksekusi dalam konteks aplikasi yang sah.

Tidak seperti side load DLL, yang dapat lebih mudah dideteksi oleh perangkat lunak keamanan, penyuntikan AppDomainManager lebih sulit dideteksi karena perilaku jahat tersebut tampaknya berasal dari berkas eksekusi yang sah dan ditandatangani.

Baca juga: Forensik Digital Memecahkan Masalah Siber

Modus Operandi & GrimResource

Serangan yang diamati dimulai dengan pengiriman arsip ZIP ke target yang berisi berkas MSC (Microsoft Script Component) jahat.

Saat target membuka berkas tersebut, kode berbahaya langsung dieksekusi tanpa interaksi atau klik pengguna lebih lanjut, menggunakan teknik yang disebut GrimResource.

GrimResource adalah teknik serangan baru yang mengeksploitasi kerentanan skrip lintas situs (XSS) di library apds.dll Windows untuk mengeksekusi kode arbitrer melalui Microsoft Management Console (MMC) menggunakan berkas MSC yang dibuat khusus.

Teknik ini memungkinkan pelaku untuk mengeksekusi JavaScript berbahaya, yang pada gilirannya dapat menjalankan kode .NET menggunakan metode DotNetToJScript.

File MSC dalam serangan terbaru, membuat file exe.config di direktori yang sama dengan file eksekusi Microsoft sah dan bertanda tangan.

File konfigurasi ini mengalihkan pemuatan rakitan tertentu ke DLL berbahaya, yang berisi kelas yang diwarisi dari kelas AppDomainManager .NET Framework dan dimuat sebagai ganti rakitan yang sah.

Pada akhirnya, DLL ini mengeksekusi kode berbahaya dalam konteks eksekusi Microsoft yang sah dan bertanda tangan, sepenuhnya menghindari deteksi dan melewati langkah-langkah keamanan.

Tahap akhir serangan adalah memuat suar CobaltStrike pada mesin, yang dapat digunakan penyerang untuk melakukan berbagai tindakan berbahaya, termasuk memperkenalkan muatan tambahan dan gerakan lateral.

Meskipun tidak pasti bahwa APT41 bertanggung jawab atas serangan tersebut, kombinasi teknik AppDomainManager Injection dan GrimResource menunjukkan bahwa pelaku memiliki keahlian teknis untuk memadukan teknik baru dan yang kurang dikenal dalam kasus praktis.

 

 

 

Baca lainnya:

  • Kesalahan Keamanan Digital Teratas
  • Menjaga Kehidupan Digital Anak
  • Warisan Digital
  • Laporan Ancaman Digital di Indonesia Semester 2 dan Analisis Serangan Sepanjang Tahun 2023
  • ESET Teknologi yang Mampu Beradaptasi dengan Ancaman Digital
  • Bahaya Doomscrolling Bagi Keamanan Digital
  • Bahaya!! Pengguna Medsos Asia Sering Berbagi Info Pribadi Sukarela  
  • Mitigasi Ancaman Eksekutif

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik appdomain manager injection grimsource microsoft net

Continue Reading

Previous: Pencurian Kredensial Pengguna iOS dan Android
Next: Riskannya Remote Working

Related Stories

ClickJacking Kerentanan Baru pada Manajer Kata Sandi ClickJacking Kerentanan Baru pada Manajer Kata Sandi
2 min read
  • Teknologi

ClickJacking Kerentanan Baru pada Manajer Kata Sandi

August 22, 2025
Jerat Penipuan Finansial Deepfake Jerat Penipuan Finansial Deepfake
3 min read
  • Sektor Bisnis
  • Sektor Personal

Jerat Penipuan Finansial Deepfake

August 22, 2025
Trojan GodRAT Khusus Targetkan Lembaga Keuangan Trojan GodRAT Khusus Targetkan Lembaga Keuangan
3 min read
  • Sektor Bisnis

Trojan GodRAT Khusus Targetkan Lembaga Keuangan

August 22, 2025

Recent Posts

  • Apakah Belanja di Etsy Aman?
  • Ransomware yang Menyamar sebagai ChatGPT
  • 10 Kesalahpahaman Teratas tentang Cyberbullying
  • Mengatasi FOMO pada Anak di Era Digital
  • ClickJacking Kerentanan Baru pada Manajer Kata Sandi
  • Jerat Penipuan Finansial Deepfake
  • Trojan GodRAT Khusus Targetkan Lembaga Keuangan
  • Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas
  • Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik
  • Pengelabuan Karakter Unik Menipu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Apakah Belanja di Etsy Aman? Apakah Belanja di Etsy Aman?
4 min read
  • Sektor Personal

Apakah Belanja di Etsy Aman?

August 25, 2025
Ransomware yang Menyamar sebagai ChatGPT Ransomware yang Menyamar sebagai ChatGPT
2 min read
  • Ransomware

Ransomware yang Menyamar sebagai ChatGPT

August 25, 2025
10 Kesalahpahaman Teratas tentang Cyberbullying 10 Kesalahpahaman Teratas tentang Cyberbullying
3 min read
  • Edukasi
  • Sektor Personal

10 Kesalahpahaman Teratas tentang Cyberbullying

August 25, 2025
Mengatasi FOMO pada Anak di Era Digital Mengatasi FOMO pada Anak di Era Digital
3 min read
  • Edukasi
  • Sektor Personal

Mengatasi FOMO pada Anak di Era Digital

August 22, 2025

Copyright © All rights reserved. | DarkNews by AF themes.