Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • DNS Messenger RAT dengan PowerShell
  • Teknologi

DNS Messenger RAT dengan PowerShell

2 min read

Credit image: Pixabay

Peneliti keamanan menemukan sebuah Remote Access Trojan baru (RAT) yang menggunakan teknik baru untuk menghindari deteksi pada jaringan perusahaan dengan mengambil perintah PowerShell berbahaya disimpan di dalam DNS TXT record domain, malware ini dijuluki DNSMessenger.

Kemunculan RAT baru ini mengundang perhatian, apalagi setelah ditemukan menemukan string Base64 yang diterjemahkan kembali ke “SourceFireSux,” Sourcefire menjadi salah satu produk keamanan perusahaan Cisco. Tapi di luar dugaan, malware juga lebih canggih dari yang diduga.

Menurut analisis teknis infeksi dimulai ketika korban menerima dokumen Word melalui email, yang ketika dibuka, file menyamar sebagai Protected Document dan meminta pengguna mengklik tombol untuk mengaktifkan konten agar melihat isi dokumen, namun hal ini malah akan mengeksekusi scripting berbahaya yang tertanam di dalam.

Script ini ditulis dalam Powershell, bahasa scripting yang kuat dibangun dalam Windows yang memungkinkan untuk otomatisasi tugas-tugas administrasi sistem. Yang menarik adalah bahwa sampai saat ini, semuanya dilakukan dalam memori, tanpa menulis file berbahaya ke disk.

Script ini berisi petunjuk dasar untuk terus memastikan konsistensi serangan pada host yang terinfeksi dengan memodifikasi kunci registri, memeriksa versi PowerShell, dan operasi lainnya.

Ini juga merupakan tahap pertama dari empat tahap proses infeksi. Selama tahap berikut, malware akan mengirim permintaan DNS ke salah satu beberapa domain manual dalam source code.

Tahap kedua juga dilakukan pada PowerShell dan melibatkan beberapa pemeriksaan parameter lingkungann, seperti hak-hak login pengguna dan versi Powershell yang diinstal pada sistem. Informasi ini digunakan untuk menentukan bagaimana kemungkinan melanjutkan ke langkah berikutnya.

Meski tergantung hasil pemeriksaan pada tahap dua, namun naskah Powershell lain akan disimpan baik dalam Alternatif Data Stream (ADS) dalam sistem file NTFS atau langsung di dalam registri. Tahap ketiga Script Powershell berisi script tambahan disamarkan yang menetapkan dua arah saluran komunikasi yang cukup canggih atas Domain Name System (DNS).

DNS biasanya digunakan untuk mencari alamat Internet Protocol yang terkait dengan nama domain, tetapi memiliki dukungan untuk berbagai jenis rekaman. TXT record khususnya memungkinkan server DNS untuk melampirkan teks yang belum diformat untuk respon.

Semua komunikasi C2 (command and control) terkait dengan malware ini dilakukan dengan menggunakan query DNS TXT dan responnya. saluran komunikasi rahasia ini memungkinkan pelaku untuk mengirimkan perintah untuk dieksekusi pada sistem dan menerima output dari perintah tersebut.

Perusahaan biasanya berusaha keras untuk menyaring traffic HTTP dan HTTPS yang masuk dan keluar dari jaringan mereka, tetapi tidak banyak dari mereka memantau DNS. Pelaku tahu ini dan tetap bersembunyi dalam protokol lain di dalam DNS untuk tetap tidak terdeteksi.

Hal ini juga menggambarkan pentingnya melakukan pemeriksaan dan penyaringan jaringan protokol seperti HTTP/HTTPS, SMTP/POP3, dan lain-lain. Traffic DNS dalam jaringan perusahaan juga harus dipertimbangkan sebagai saluran yang dimanfaatkan oleh pelaku untuk menerapkan fungsi dua arah infrastruktur C2

Sumber berita
https://www.bleepingcomputer.com

Tags: DNS Messenger ESET Amnesty ESET deteksi Ransomware ESET Indonesia

Post navigation

Previous Dridex Kolaborasi dengan AtomBombing
Next Ransomware Ini Mengunci Layar dan Dapat Berbicara

Related Stories

Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
4 min read
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

October 7, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.