Backdoor Menyamar Software Kompresi

Sebuah backdoor menyamar software kompresi belum lama ini ditemukan, dengan menyalahgunakan Self extracting archives (SFX) pada perangkat lunak kompresi.

Tujuan file SFX adalah untuk menyederhanakan distribusi data yang diarsipkan kepada pengguna yang tidak memiliki utilitas untuk mengekstrak paket.

Penjahat dunia maya menambahkan fungsionalitas berbahaya ke arsip yang mengekstrak sendiri WinRAR yang berisi file pemikat yang tidak berbahaya, memungkinkan mereka menanam backdoor tanpa memicu agen keamanan pada sistem target.

Self-extracting archives (SFX) yang dibuat dengan perangkat lunak kompresi seperti WinRAR atau 7-Zip pada dasarnya adalah executable yang berisi data yang diarsipkan bersama dengan rintisan dekompresi bawaan (kode untuk membongkar data). Akses ke file-file ini dapat dilindungi kata sandi untuk mencegah akses yang tidak sah.

Baca juga: Pentingnya Pembaruan Perangkat dan Software

Modus Operandi

Pelaku yang menggunakan kredensial curian untuk menyalahgunakan ‘utilman.exe’ dan mengaturnya untuk meluncurkan file SFX yang dilindungi kata sandi yang telah ditanam di sistem sebelumnya.

Utilman adalah aplikasi aksesibilitas yang dapat dijalankan sebelum pengguna masuk, sering disalahgunakan oleh peretas untuk mem-bypass otentikasi sistem.

File SFX yang dipicu oleh utilman.exe dilindungi kata sandi dan berisi file teks kosong yang berfungsi sebagai umpan. Fungsi sebenarnya dari file SFX adalah untuk:

• Menyalahgunakan opsi pengaturan WinRAR untuk menjalankan PowerShell.
• Command prompt Windows (cmd.exe), dan
• Pengelola tugas dengan hak istimewa sistem.

Melihat lebih dekat pada teknik yang digunakan, diketahui bahwa pelaku telah menambahkan beberapa perintah untuk dijalankan setelah target mengekstrak file teks yang diarsipkan.

Meskipun tidak ada malware di dalam arsip, pelaku menambahkan perintah di bawah menu pengaturan untuk membuat arsip SFX yang akan membuka backdoor pada sistem.

Baca juga: Google Gandeng ESET Basmi Software Berbahaya di Internet

Opsi SFX Lanjutan

Pelaku menyesuaikan arsip SFX sehingga tidak ada dialog dan jendela yang ditampilkan selama proses ekstraksi. Pelaku ancaman juga menambahkan instruksi untuk menjalankan PowerShell, command prompt, dan task manager.

WinRAR menawarkan serangkaian opsi SFX lanjutan yang memungkinkan penambahan daftar executable untuk dijalankan secara otomatis sebelum atau sesudah proses, serta menimpa file yang ada di folder tujuan jika ada entri dengan nama yang sama.

Karena arsip SFX ini dapat dijalankan dari layar masuk, pelaku secara efektif memiliki backdoor persisten yang dapat diakses untuk menjalankan PowerShell, prompt perintah Windows, dan pengelola tugas dengan hak istimewa NT AUTHORITY\SYSTEM, selama kata sandi yang benar diberikan.

Jenis serangan ini cenderung tetap tidak terdeteksi oleh perangkat lunak antivirus tradisional yang mencari malware di dalam arsip (yang seringkali juga dilindungi kata sandi) daripada perilaku dari rintisan dekompresor arsip SFX.

Para peneliti menyarankan pengguna untuk memberikan perhatian khusus pada arsip SFX dan menggunakan perangkat lunak yang sesuai untuk memeriksa konten arsip dan mencari skrip atau perintah potensial yang dijadwalkan untuk dijalankan setelah ekstraksi.

Sumber berita:

WeLiveSecurity