Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • AppDomain Manager Injection
  • Sektor Bisnis
  • Teknologi

AppDomain Manager Injection

3 min read
AppDomain Manager Injection

image credit: Pixabay.com

Gelombang serangan yang dimulai pada bulan Juli 2024 mengandalkan teknik yang kurang umum yang disebut AppDomain Manager Injection, yang dapat menjadikan aplikasi Microsoft .NET apa pun di Windows sebagai senjata.

Teknik ini telah ada sejak tahun 2017, dan beberapa aplikasi bukti konsep telah dirilis selama bertahun-tahun yang lalu.

Peneliti telah melacak serangan yang diakhiri dengan penyebaran CobaltStrike yang menargetkan lembaga pemerintah, militer, dan perusahaan energi di Asia.

Taktik, teknik, dan prosedur, serta tumpang tindih infrastruktur dalam laporan baru-baru ini dan sumber lainnya menunjukkan bahwa kelompok ancaman yang disponsori negara Tiongkok APT 41 berada di balik serangan tersebut.

Baca juga: Membatasi Jejak Digital

AppDomain Manager Injection

Mirip dengan side load DLL standar, AppDomainManager Injection juga melibatkan penggunaan file DLL untuk mencapai tujuan jahat pada sistem yang diretas.

Namun, AppDomainManager Injection memanfaatkan kelas AppDomainManager .NET Framework untuk menyuntikkan dan mengeksekusi kode berbahaya, sehingga lebih tersembunyi dan lebih serbaguna.

Pelaku menyiapkan DLL berbahaya yang berisi kelas yang mewarisi kelas AppDomainManager dan file konfigurasi (exe.config) yang mengalihkan pemuatan rakitan yang sah ke DLL berbahaya.

Pelaku hanya perlu menempatkan DLL jahat dan file konfigurasi di direktori yang sama dengan target yang dapat dieksekusi, tanpa perlu mencocokkan nama DLL yang ada, seperti pada pemuatan samping DLL.

Saat aplikasi .NET berjalan, DLL jahat dimuat, dan kodenya dieksekusi dalam konteks aplikasi yang sah.

Tidak seperti side load DLL, yang dapat lebih mudah dideteksi oleh perangkat lunak keamanan, penyuntikan AppDomainManager lebih sulit dideteksi karena perilaku jahat tersebut tampaknya berasal dari berkas eksekusi yang sah dan ditandatangani.

Baca juga: Forensik Digital Memecahkan Masalah Siber

Modus Operandi & GrimResource

Serangan yang diamati dimulai dengan pengiriman arsip ZIP ke target yang berisi berkas MSC (Microsoft Script Component) jahat.

Saat target membuka berkas tersebut, kode berbahaya langsung dieksekusi tanpa interaksi atau klik pengguna lebih lanjut, menggunakan teknik yang disebut GrimResource.

GrimResource adalah teknik serangan baru yang mengeksploitasi kerentanan skrip lintas situs (XSS) di library apds.dll Windows untuk mengeksekusi kode arbitrer melalui Microsoft Management Console (MMC) menggunakan berkas MSC yang dibuat khusus.

Teknik ini memungkinkan pelaku untuk mengeksekusi JavaScript berbahaya, yang pada gilirannya dapat menjalankan kode .NET menggunakan metode DotNetToJScript.

File MSC dalam serangan terbaru, membuat file exe.config di direktori yang sama dengan file eksekusi Microsoft sah dan bertanda tangan.

File konfigurasi ini mengalihkan pemuatan rakitan tertentu ke DLL berbahaya, yang berisi kelas yang diwarisi dari kelas AppDomainManager .NET Framework dan dimuat sebagai ganti rakitan yang sah.

Pada akhirnya, DLL ini mengeksekusi kode berbahaya dalam konteks eksekusi Microsoft yang sah dan bertanda tangan, sepenuhnya menghindari deteksi dan melewati langkah-langkah keamanan.

Tahap akhir serangan adalah memuat suar CobaltStrike pada mesin, yang dapat digunakan penyerang untuk melakukan berbagai tindakan berbahaya, termasuk memperkenalkan muatan tambahan dan gerakan lateral.

Meskipun tidak pasti bahwa APT41 bertanggung jawab atas serangan tersebut, kombinasi teknik AppDomainManager Injection dan GrimResource menunjukkan bahwa pelaku memiliki keahlian teknis untuk memadukan teknik baru dan yang kurang dikenal dalam kasus praktis.

 

 

 

Baca lainnya:

  • Kesalahan Keamanan Digital Teratas
  • Menjaga Kehidupan Digital Anak
  • Warisan Digital
  • Laporan Ancaman Digital di Indonesia Semester 2 dan Analisis Serangan Sepanjang Tahun 2023
  • ESET Teknologi yang Mampu Beradaptasi dengan Ancaman Digital
  • Bahaya Doomscrolling Bagi Keamanan Digital
  • Bahaya!! Pengguna Medsos Asia Sering Berbagi Info Pribadi Sukarela  
  • Mitigasi Ancaman Eksekutif

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik appdomain manager injection grimsource microsoft net

Continue Reading

Previous: Pencurian Kredensial Pengguna iOS dan Android
Next: Riskannya Remote Working

Related Stories

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025

Recent Posts

  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data
  • Serangan Phising yang Jarang Diketahui
  • ESET Gabung Operasi Global Lumpuhkan Lumma Stealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025
Dari ClickFix ke Video TikTok Palsu Dari ClickFix ke Video TikTok Palsu
3 min read
  • Teknologi

Dari ClickFix ke Video TikTok Palsu

May 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.