Dridex Kolaborasi dengan AtomBombing

Sebuah kabar buruk datang dari dunia malware, hasil dari penelitian terbaru telah ditemukan malware Dridex versi 4.0, trojan perbankan paling berbahaya dan sangat aktif.

Dridex sering disebut juga sebagai Bugat dan Cridex, bisa dikatakan mewakili perkembangan atau evolusi dari banking trojan pendahulunya yaitu Zeus beserta variannya yang lain. Trojan ini dikirimkan melalui lampiran yang terdapat pada email, memanfaatkan macro yang terdapat pada dokumen Word untuk menyalurkan Trojan ini.

Pada dasarnya virus komputer seperti malware punya kesamaan seperti software normal yang sering melalui siklus pengembangan yang sama dan menerima update konstan.

Sementara kebanyakan operator malware berusaha menyembunyikan detil operasional dan source code semaksimal mungkin. Dridex malah menanamkan nomor versi malware dalam source code, sehingga memudahkan peneliti untuk mengamati evolusinya.

Nomor versi ini termasuk dalam binary Dridex dan file-file konfigurasi, memungkinkan peneliti untuk membuat timeline versi Dridex utama. Sebagai contoh, berdasarkan nomor versi, Dridex v1 diluncurkan pada akhir tahun 2014 dan hanya bertahan di hari-hari pertama 2015.

Sedangkan Dridex v2 hanya mampu bertahan dalam waktu yang singkat seperti halnya v1, dan hanya bertahan sampai April 2015, ketika ia digantikan oleh Dridex v3. Versi v3 adalah versi yang jauh lebih stabil, di mana pengembang malware Dridex melakukan update bertahap selama dua tahun terakhir.

Wajah Baru Muka Lama

Meskipun mendapat update dalam jumlah besar, secara keseluruhan operasi Dridex masih tetap sama, masih bergantung pada hVNC atau Hidden VNC – Virtual Network Computing untuk membangun koneksi tersembunyi untuk host, yang mereka gunakan untuk mengontrol komputer terinfeksi melalui virtual desktop tak kasat mata.

Pengembang malware Dridex v4 sepertinya memang sengaja mempertahankan sebagian besar teknologi yang sama dari versi v3, mengandalkan serangan pengalihan untuk mencegat traffic pengguna, dan mengarahkan pengguna ke kloningan dari portal perbankan asli menggunakan server proxy yang diinstal secara lokal.

hVNC akan ikut berpartisipasi nantinya, tapi hanya jika pelaku tersandung pada korban dengan data berharga dan membutuhkan RAT, seperti akses untuk host terinfeksi.

Dalam versi Dridex lawas, pelaku mengandalkan berbagai aplikasi Windows API untuk memuat kode jahat mereka ke dalam memori pengguna dan kemudian ke dalam proses browser pengguna.

Produk keamanan seperti ESET misalnya tahu bahwa dengan mengawasi beberapa panggilan Windows API, yang sering digunakan oleh banyak keluarga malware, dengan begitu bisa mendeteksi berbagai perilaku berbahaya dan menghentikan atau membatasinya.

Dridex dan AtomBombing

Atombombing adalah cara baru untuk memanfaatkan mekanisme yang mendasari sistem operasi Windows untuk menyuntikkan kode berbahaya. Ini dapat terjadi bukan karena kode yang rusak atau cacat tapi lebih bagaimana sistem operasi dirancang, dan bahayanya Teknik yang dijuluki AtomBombing ini mempengaruhi semua jenis Windows.

Tabel Atom sangat spesifik untuk OS Windows dan memungkinkan aplikasi untuk menyimpan nama string dan value terkait. Tabel Atom bekerja sebagai cache untuk string dan entri yang umum digunakan yang dapat diakses oleh semua aplikasi, bukan hanya orang-orang yang menciptakan data.

Dari sini diketahui penjahat siber bisa menyimpan kode berbahaya dalam tabel atom tersebut dan kemudian memanggil mereka tanpa menggunakan Windows API calls ol yang sama. Dridex v4 mulai menggunakan teknik penyerangan terbaru ini pada akhir Oktober 2016.

Serangan AtomBombing Versi Dridex

Ketika AtomBombing dipublikasikan oleh enSilo pada tahun lalu, mereka mengatakan mengungkapkan vektor serangan ini karena Microsoft tidak bisa mengatasi masalah seperti ini, karena secara tersirat sangat tidak praktis menulis ulang sebagian besar dari seluruh sistem operasi Windows.

Peneliti enSilo ingin vendor antivirus untuk mencatat bagaimana serangan itu bekerja dan menyebarkan solusi deteksi dan mitigasi terhadap AtomBombing. Alasan yang disampaikan enSilo ini ternyata juga mendapat perhatian dari pengembang Dridex, sehingga mereka membuat sebagian kode mereka sendiri.

Oleh karena itu, teknik ini masih menggunakan tabel atom untuk memuat kode berbahaya ke dalam RWX (Read-Write-eXecute) dari memori komputer korban, tetapi karena tidak menggunakan API yang sama dan fungsi panggilan, Dridex mampu bypass mekanisme deteksi AtomBombing yang dibangun atas temuan enSilo.

Update Berbahaya

Selain AtomBombing, dari update terbaru yang terungkap, yang mungkin merupakan update kedua yang sangat penting untuk konfigurasi file terenkripsi. Pada semua host yang terinfeksi, trojan Dridex menciptakan sebuah file konfigurasi yang diisi dengan data dari servernya Command & Control.

File ini sangat penting bagi para peneliti keamanan karena memegang nomor versi kedua malware, tetapi juga portal perbankan dan situs online tempat di mana mereka mengumpulkan semua kredensial pengguna melalui halaman phishing.

Karena begitu pentingnya file ini sampai membuat pengembang Dridex mengenkripsi file tersebut. Yang perlu juga mendapat perhatian adalah bahwa Dridex v4 menggunakan skema enkripsi berbeda, walau masih mengandalkan cipher RC4 yang digunakan dalam versi sebelumnya, tetapi rutinitas enkripsi yang digunakan berbeda.

Perubahan dalam rutinitas enkripsi ini tidak spesifik untuk sebagian besar versi Dridex, sebagaimana perubahan enkripsi reguler dalam versi minor untuk mempersulit peneliti keamanan dan lembaga keuangan yang menjadi target sebisa mungkin.

Namun demikian, target enkripsi Dridex v4 sudah dapat diantisipasi sedini mungkin, pengembang malware dridex saat ini hanya menargetkan bank di Inggris tetapi v4 sedang disiapkan untuk disebar ke berbagai negara lain, untuk mendapatkan sasaran lebih luas dan korban lebih banyak. Dengan temuan ini, semua solusi keamanan dunia dapat mengimplementasikan sistem untuk melacak dan mencegah serangan Dridex v4.

Sumber berita:

https://www.bleepingcomputer.com