Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • AppDomain Manager Injection
  • Sektor Bisnis
  • Teknologi

AppDomain Manager Injection

3 min read
AppDomain Manager Injection

image credit: Pixabay.com

Gelombang serangan yang dimulai pada bulan Juli 2024 mengandalkan teknik yang kurang umum yang disebut AppDomain Manager Injection, yang dapat menjadikan aplikasi Microsoft .NET apa pun di Windows sebagai senjata.

Teknik ini telah ada sejak tahun 2017, dan beberapa aplikasi bukti konsep telah dirilis selama bertahun-tahun yang lalu.

Peneliti telah melacak serangan yang diakhiri dengan penyebaran CobaltStrike yang menargetkan lembaga pemerintah, militer, dan perusahaan energi di Asia.

Taktik, teknik, dan prosedur, serta tumpang tindih infrastruktur dalam laporan baru-baru ini dan sumber lainnya menunjukkan bahwa kelompok ancaman yang disponsori negara Tiongkok APT 41 berada di balik serangan tersebut.

Baca juga: Membatasi Jejak Digital

AppDomain Manager Injection

Mirip dengan side load DLL standar, AppDomainManager Injection juga melibatkan penggunaan file DLL untuk mencapai tujuan jahat pada sistem yang diretas.

Namun, AppDomainManager Injection memanfaatkan kelas AppDomainManager .NET Framework untuk menyuntikkan dan mengeksekusi kode berbahaya, sehingga lebih tersembunyi dan lebih serbaguna.

Pelaku menyiapkan DLL berbahaya yang berisi kelas yang mewarisi kelas AppDomainManager dan file konfigurasi (exe.config) yang mengalihkan pemuatan rakitan yang sah ke DLL berbahaya.

Pelaku hanya perlu menempatkan DLL jahat dan file konfigurasi di direktori yang sama dengan target yang dapat dieksekusi, tanpa perlu mencocokkan nama DLL yang ada, seperti pada pemuatan samping DLL.

Saat aplikasi .NET berjalan, DLL jahat dimuat, dan kodenya dieksekusi dalam konteks aplikasi yang sah.

Tidak seperti side load DLL, yang dapat lebih mudah dideteksi oleh perangkat lunak keamanan, penyuntikan AppDomainManager lebih sulit dideteksi karena perilaku jahat tersebut tampaknya berasal dari berkas eksekusi yang sah dan ditandatangani.

Baca juga: Forensik Digital Memecahkan Masalah Siber

Modus Operandi & GrimResource

Serangan yang diamati dimulai dengan pengiriman arsip ZIP ke target yang berisi berkas MSC (Microsoft Script Component) jahat.

Saat target membuka berkas tersebut, kode berbahaya langsung dieksekusi tanpa interaksi atau klik pengguna lebih lanjut, menggunakan teknik yang disebut GrimResource.

GrimResource adalah teknik serangan baru yang mengeksploitasi kerentanan skrip lintas situs (XSS) di library apds.dll Windows untuk mengeksekusi kode arbitrer melalui Microsoft Management Console (MMC) menggunakan berkas MSC yang dibuat khusus.

Teknik ini memungkinkan pelaku untuk mengeksekusi JavaScript berbahaya, yang pada gilirannya dapat menjalankan kode .NET menggunakan metode DotNetToJScript.

File MSC dalam serangan terbaru, membuat file exe.config di direktori yang sama dengan file eksekusi Microsoft sah dan bertanda tangan.

File konfigurasi ini mengalihkan pemuatan rakitan tertentu ke DLL berbahaya, yang berisi kelas yang diwarisi dari kelas AppDomainManager .NET Framework dan dimuat sebagai ganti rakitan yang sah.

Pada akhirnya, DLL ini mengeksekusi kode berbahaya dalam konteks eksekusi Microsoft yang sah dan bertanda tangan, sepenuhnya menghindari deteksi dan melewati langkah-langkah keamanan.

Tahap akhir serangan adalah memuat suar CobaltStrike pada mesin, yang dapat digunakan penyerang untuk melakukan berbagai tindakan berbahaya, termasuk memperkenalkan muatan tambahan dan gerakan lateral.

Meskipun tidak pasti bahwa APT41 bertanggung jawab atas serangan tersebut, kombinasi teknik AppDomainManager Injection dan GrimResource menunjukkan bahwa pelaku memiliki keahlian teknis untuk memadukan teknik baru dan yang kurang dikenal dalam kasus praktis.

 

 

 

Baca lainnya:

  • Kesalahan Keamanan Digital Teratas
  • Menjaga Kehidupan Digital Anak
  • Warisan Digital
  • Laporan Ancaman Digital di Indonesia Semester 2 dan Analisis Serangan Sepanjang Tahun 2023
  • ESET Teknologi yang Mampu Beradaptasi dengan Ancaman Digital
  • Bahaya Doomscrolling Bagi Keamanan Digital
  • Bahaya!! Pengguna Medsos Asia Sering Berbagi Info Pribadi Sukarela  
  • Mitigasi Ancaman Eksekutif

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik appdomain manager injection grimsource microsoft net

Continue Reading

Previous: Pencurian Kredensial Pengguna iOS dan Android
Next: Riskannya Remote Working

Related Stories

Ancaman Masif ChainLink
2 min read
  • Sektor Bisnis
  • Sektor Personal

Ancaman Masif ChainLink

June 20, 2025
Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
3 min read
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam

June 19, 2025
Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
4 min read
  • Teknologi

Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

June 19, 2025

Recent Posts

  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
  • Cara Melindungi Backup Anda dari Serangan
  • Pembayaran Seluler dan Tantangan Keamanan
  • Panduan Menghapus dan Mencegah Malware pada iPhone
  • Vektor Serangan Phising Terbaru
  • Strategi Melawan Invasi Malware Android
  • Melawan Pembunuh EDR

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Ancaman Masif ChainLink
2 min read
  • Sektor Bisnis
  • Sektor Personal

Ancaman Masif ChainLink

June 20, 2025
Stargazer Curi Password Gamer dengan Mod Minecraft Palsu Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
3 min read
  • Sektor Personal

Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

June 20, 2025
Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
3 min read
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam

June 19, 2025
Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
4 min read
  • Teknologi

Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

June 19, 2025

Copyright © All rights reserved. | DarkNews by AF themes.