AppDomain Manager Injection

Gelombang serangan yang dimulai pada bulan Juli 2024 mengandalkan teknik yang kurang umum yang disebut AppDomain Manager Injection, yang dapat menjadikan aplikasi Microsoft .NET apa pun di Windows sebagai senjata.

Teknik ini telah ada sejak tahun 2017, dan beberapa aplikasi bukti konsep telah dirilis selama bertahun-tahun yang lalu.

Peneliti telah melacak serangan yang diakhiri dengan penyebaran CobaltStrike yang menargetkan lembaga pemerintah, militer, dan perusahaan energi di Asia.

Taktik, teknik, dan prosedur, serta tumpang tindih infrastruktur dalam laporan baru-baru ini dan sumber lainnya menunjukkan bahwa kelompok ancaman yang disponsori negara Tiongkok APT 41 berada di balik serangan tersebut.

AppDomain Manager Injection

Mirip dengan side load DLL standar, AppDomainManager Injection juga melibatkan penggunaan file DLL untuk mencapai tujuan jahat pada sistem yang diretas.

Namun, AppDomainManager Injection memanfaatkan kelas AppDomainManager .NET Framework untuk menyuntikkan dan mengeksekusi kode berbahaya, sehingga lebih tersembunyi dan lebih serbaguna.

Pelaku menyiapkan DLL berbahaya yang berisi kelas yang mewarisi kelas AppDomainManager dan file konfigurasi (exe.config) yang mengalihkan pemuatan rakitan yang sah ke DLL berbahaya.

Pelaku hanya perlu menempatkan DLL jahat dan file konfigurasi di direktori yang sama dengan target yang dapat dieksekusi, tanpa perlu mencocokkan nama DLL yang ada, seperti pada pemuatan samping DLL.

Saat aplikasi .NET berjalan, DLL jahat dimuat, dan kodenya dieksekusi dalam konteks aplikasi yang sah.

Tidak seperti side load DLL, yang dapat lebih mudah dideteksi oleh perangkat lunak keamanan, penyuntikan AppDomainManager lebih sulit dideteksi karena perilaku jahat tersebut tampaknya berasal dari berkas eksekusi yang sah dan ditandatangani.

Modus Operandi & GrimResource

Serangan yang diamati dimulai dengan pengiriman arsip ZIP ke target yang berisi berkas MSC (Microsoft Script Component) jahat.

Saat target membuka berkas tersebut, kode berbahaya langsung dieksekusi tanpa interaksi atau klik pengguna lebih lanjut, menggunakan teknik yang disebut GrimResource.

GrimResource adalah teknik serangan baru yang mengeksploitasi kerentanan skrip lintas situs (XSS) di library apds.dll Windows untuk mengeksekusi kode arbitrer melalui Microsoft Management Console (MMC) menggunakan berkas MSC yang dibuat khusus.

Teknik ini memungkinkan pelaku untuk mengeksekusi JavaScript berbahaya, yang pada gilirannya dapat menjalankan kode .NET menggunakan metode DotNetToJScript.

File MSC dalam serangan terbaru, membuat file exe.config di direktori yang sama dengan file eksekusi Microsoft sah dan bertanda tangan.

File konfigurasi ini mengalihkan pemuatan rakitan tertentu ke DLL berbahaya, yang berisi kelas yang diwarisi dari kelas AppDomainManager .NET Framework dan dimuat sebagai ganti rakitan yang sah.

Pada akhirnya, DLL ini mengeksekusi kode berbahaya dalam konteks eksekusi Microsoft yang sah dan bertanda tangan, sepenuhnya menghindari deteksi dan melewati langkah-langkah keamanan.

Tahap akhir serangan adalah memuat suar CobaltStrike pada mesin, yang dapat digunakan penyerang untuk melakukan berbagai tindakan berbahaya, termasuk memperkenalkan muatan tambahan dan gerakan lateral.

Meskipun tidak pasti bahwa APT41 bertanggung jawab atas serangan tersebut, kombinasi teknik AppDomainManager Injection dan GrimResource menunjukkan bahwa pelaku memiliki keahlian teknis untuk memadukan teknik baru dan yang kurang dikenal dalam kasus praktis.

Sumber berita:

WeLiveSecurity