Mode serangan Ke Server PDN
Selama perburuan ancaman rutin, Vromedia menemukan bukti yang menunjukkan eksploitasi aktif untuk menginfeksi pengguna dengan jenis malware yang sebelumnya tidak diketahui, Phemedrone Stealer.
Phemedrone menargetkan browser web dan data dari dompet mata uang kripto dan aplikasi perpesanan seperti Telegram, Steam, dan Discord. Ini juga mengambil tangkapan layar dan mengumpulkan informasi sistem mengenai perangkat keras, lokasi, dan detail sistem operasi. Data yang dicuri kemudian dikirim ke penyerang melalui Telegram atau server perintah dan kontrol (C&C) mereka. Pencuri sumber terbuka ini ditulis dalam C# dan dikelola secara aktif di GitHub dan Telegram.
mempengaruhi Microsoft Windows Defender SmartScreen dan berasal dari kurangnya pemeriksaan dan perintah terkait pada file Internet Shortcut (.url). Pelaku ancaman dapat memanfaatkan kerentanan ini dengan membuat file .url yang mengunduh dan menjalankan skrip berbahaya yang mengabaikan peringatan dan pemeriksaan Windows Defender SmartScreen.
Microsoft melakukan patch terhadap pada 14 November 2023. Namun, karena adanya bukti eksploitasi liar, Badan Keamanan Siber dan Infrastruktur (CISA) juga menambahkan kerentanan ini ke daftar Kerentanan yang Diketahui dan Dieksploitasi (KEV). Telah menjadi perhatian publik bahwa berbagai demo dan kode pembuktian konsep telah beredar di media sosial, merinci eksploitasi. Sejak rincian kerentanan ini pertama kali muncul, semakin banyak kampanye malware, salah satunya mendistribusikan muatan Phemedrone Stealer, yang telah memasukkan kerentanan ini ke dalam rantai serangan mereka.
Akses awal melalui URL berbahaya yang dihosting di cloud
Penting untuk dicatat bahwa analisis ini didasarkan pada versi modifikasi yang digunakan dalam serangan yang kami selidiki. Untuk mem-bootstrap proses infeksi Phemedrone Stealer, penyerang menghosting serangkaian file Pintasan Internet berbahaya di Discord atau layanan cloud lainnya seperti FileTransfer.io. File-file tersebut juga sering disamarkan menggunakan penyingkat URL seperti shorturl.at. Pengguna yang tidak curiga mungkin akan tergoda atau tertipu untuk membuka file .url berbahaya yang mengeksploitasi.
.

Penghindaran pertahanan dengan mengeksploitasi xxx-2023-xxxxx
Setelah file .url berbahaya yang mengeksploitasi dijalankan, file tersebut terhubung ke server yang dikendalikan penyerang untuk mengunduh dan mengeksekusi file item panel kontrol (.cpl). Microsoft Windows Defender SmartScreen harus memperingatkan pengguna dengan perintah keamanan sebelum menjalankan file .url dari sumber yang tidak tepercaya. Namun, penyerang membuat file pintasan Windows (.url) untuk menghindari perintah perlindungan SmartScreen dengan menggunakan file .cpl sebagai bagian dari mekanisme pengiriman muatan berbahaya. Pelaku ancaman memanfaatkan teknik MITRE ATT&CK T1218.002, yang menyalahgunakan biner proses Panel Kontrol Windows (control.exe) untuk mengeksekusi file .cpl. Perhatikan bahwa file-file ini adalah file DLL.

Ketika file .cpl berbahaya dijalankan melalui biner proses Panel Kontrol Windows, file tersebut kemudian memanggil rundll32.exe untuk mengeksekusi DLL. DLL berbahaya ini bertindak sebagai pemuat yang kemudian memanggil Windows PowerShell untuk mengunduh dan mengeksekusi tahap serangan berikutnya, yang dihosting di GitHub. Tahap selanjutnya adalah pemuat PowerShell lainnya bernama DATA3.txt.

File DATA3.txt adalah pemuat tambahan yang dikaburkan yang menggunakan teknik manipulasi string dan digit PowerShell untuk menutupi kontennya dan mempersulit penguraian tujuan sebenarnya selama analisis statis.
Dengan menggunakan kombinasi analisis statis dan dinamis, kita dapat membatalkan penyamaran loader yang dihosting GitHub, yang memberi kita serangkaian perintah PowerShell yang dijalankan skrip ini. Pemuat ini mengunduh file ZIP yang dihosting di repositori GitHub yang sama ke direktori tersembunyi yang dibuat menggunakan biner utilitas atribut Windows (attrib.exe).
The zip archive contains three files:
- WerFaultSecure.exe. This is a legitimate Windows Fault Reporting binary.
- Wer.dll. Ini adalah biner berbahaya yang di-sideload ketika WerFaultSecure.exe dijalankan.
- Secure.pdf. Ini adalah pemuat tahap kedua yang dienkripsi RC4.

Kegigihan menggunakan tugas terjadwal dan sideload DLL
File wer.dll adalah komponen penting dari fungsionalitas pemuat karena ia mendekripsi dan menjalankan pemuat tahap kedua dan mencapai persistensi dengan membuat tugas terjadwal yang akan kami jelaskan secara rinci di sini. Malware ini menggunakan berbagai teknik untuk menghindari deteksi dan mempersulit rekayasa balik, seperti hashing API dan enkripsi string. Selain itu, DLL ini dikemas dan dilindungi oleh VMProtect.
Pemuat dijalankan menggunakan teknik sideloading DLL, di mana penyerang memalsukan file DLL berbahaya di direktori aplikasi. Ini menipu sistem operasi agar memuat file berbahaya, bukan file sah. Dalam kasus yang kami selidiki, WerFaultSecure.exe menjalankan fungsi WerpSetExitListeners dari wer.dll, yang memicu loader untuk berjalan.

Pemuat menggunakan teknik yang disebut penyelesaian API dinamis untuk menyembunyikan impor API-nya dan mempersulit analisis statis. Teknik ini melibatkan penyimpanan hash dari API yang diperlukan alih-alih namanya, lalu mengimpornya secara dinamis saat runtime. Dalam kasus yang kami selidiki, pemuat menggunakan algoritma hashing Cyclic Redundancy Check 32 (CRC-32), yang isinya dirinci dalam tabel berikut.
998B531E | KERNEL32.DLL |
46DED02D | GetModuleHandleExW |
0FC6B42F1 | GetModuleFileNameW |
0C97C1FFF | GetProcAddress |
3FC1BD8D | LoadLibraryA |
0F29DDD0C | lstrcatW |
759903FC | CreateDirectoryW |
0A1EFE929 | CreateFileW |
0A7FB4165 | GetFileSize |
8B35A289 | LocalAlloc |
95C03D0 | ReadFile |
0B09315F4 | CloseHandle |
0B1866570 | GetModuleHandleA |
0F54D69C8 | CopyFileW |
Table 1. The hashes in the loader’s dynamic API resolving, and their corresponding API names
Loader menggunakan algoritma berbasis XOR dengan pembuatan kunci dinamis untuk dekripsi string. Untuk setiap byte, algoritme menghasilkan kunci unik berdasarkan posisinya di buffer, menggunakan rumus (characterIndex % <num1> + <num2>). Kunci ini kemudian di-XOR dengan byte untuk menampilkan karakter aslinya. Setiap string terenkripsi memiliki fungsi dekripsinya sendiri dengan <num1> dan <num2> unik untuk mempersulit otomatisasi dekripsi string.

Berikut ini adalah daftar string yang didekripsi dari loader tahap pertama:
- “/F /CREATE /TN “Licensing2” /tr “C:\Users\Public\Libraries\Books\WerFaultSecure.exe” /sc minute /MO 90″
- \\secure.pdf
- \\wer.dll
- \\WerFaultSecure.exe
- Activeds.dll
- advapi32
- AllocADsMem
- C:\\Users\\Public\\Libraries\\Books\\secure.pdf
- C:\\Users\\Public\\Libraries\\Books\\wer.dll
- C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe
- C:\Windows\explorer.exe
- C:\Windows\System32\schtasks.exe
- CreateProcessW
- CryptCATCDFOpen
- kernel32.dll
- PathRemoveFileSpecW
- ReallocADsMem
- Shlwapi.dll
- SystemFunction032
- Wintrust.dll
Pemuat mempertahankan persistensi dengan membuat direktori bernama C:\Users\Public\Libraries\Books dan menyalin wer.dll, secure.pdf, dan WerFaultSecure.exe dari direktori eksekusi saat ini ke lokasi ini. Kemudian mengeksekusi perintah schtasks.exe dengan argumen “/F /CREATE /TN \”Licensing2\” /tr \”C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe\” /sc menit /MO 90″, menjadwalkan WerFaultSecure.exe untuk dijalankan pada interval 90 menit.
Pemuat kemudian maju ke tahap kedua dimana pemuat tahap kedua terenkripsi berada dalam file bernama secure.pdf. Untuk mendekripsinya, malware menggunakan fungsi tidak berdokumen, SystemFunction032 dari advapi32.dll, yang melakukan dekripsi RC4. Kemudian menggunakan fungsi AllocADsMem dan ReallocADsMem dari Activeds.dll untuk mengalokasikan memori dan merelokasi konten yang didekripsi. Terakhir, ia memanggil VirtualProtect untuk mengubah wilayah memori buffer yang didekripsi menjadi Executable-Read-Write.
Malware kemudian menggunakan fungsi panggilan balik API untuk mengarahkan aliran eksekusi ke tahap kedua. Fungsi panggilan balik adalah rutinitas yang diteruskan sebagai parameter ke fungsi Windows API. Nantinya, rutinitas ini dipanggil oleh API untuk menjalankan fungsi tertentu. Dalam kasus yang kami selidiki, malware tersebut menggunakan fungsi CryptCATCDFOpen, yang digunakan untuk menangani file katalog kriptografi di Windows. Ini memerlukan dua parameter: jalur file (pwszFilePath) dan fungsi panggilan balik opsional (PFN_CDF_PARSE_ERROR_CALLBACK). Loader meneruskan Titik Entri (EP) shellcode tahap kedua ke parameter kedua, PFN_CDF_PARSE_ERROR_CALLBACK. Saat fungsi API dipanggil, fungsi panggilan balik dijalankan dan kode berbahaya dijalankan.
Penghindaran pertahanan tahap kedua
Penyerang menggunakan pemuat tahap kedua yang dikenal sebagai Donut, yaitu shellcode sumber terbuka yang memungkinkan eksekusi file VBScript, JScript, EXE, file DLL, dan rakitan .NET di memori. Donut dapat ditanam langsung ke dalam loader, atau dapat dipentaskan dari server HTTP atau server DNS. Dalam kasus yang kami selidiki, penyerang memilih untuk menyematkannya langsung ke dalam loader.
Donut dapat mengompres file masukan menggunakan aPLib, LZNT1, Xpress, dan Xpress Huffman menggunakan RtlCompressBuffer. Itu juga dapat mengenkripsi payload menggunakan cipher blok Chaskey. Namun, dalam kasus ini, hanya enkripsi payload yang digunakan, tanpa kompresi apa pun.
Untuk eksekusi payload akhir, Donut dikonfigurasi untuk menggunakan API Hosting CLR Tidak Terkelola untuk memuat Common Language Runtime (CLR). Setelah CLR berhasil dimuat ke dalam proses host, Domain Aplikasi baru dibuat untuk memungkinkan menjalankan rakitan di AppDomains sekali pakai. Setelah AppDomain siap, Donut memuat rakitan .NET dan memanggil titik masuk payload.
Analisis pembayaran Phemedrone Stealer
- Phemedrone credential access
Saat dijalankan, malware akan menginisialisasi konfigurasinya dan mendekripsi item tertentu seperti token API Telegram, ID chat, dan mutex Email_To (digunakan untuk sinkronisasi). Hal ini dilakukan dengan menggunakan garam dan kunci enkripsi yang telah ditentukan sebelumnya serta algoritma enkripsi simetris RijndaelManaged. Prosesnya melibatkan penghapusan awalan “CRYPTED:” dari string, mengubah sisa string yang dikodekan base64 menjadi array byte dan mendekripsi array ini untuk mengekstrak nilai teks biasa asli.
Program malware menggunakan metode “MutexCheck.Check()” untuk memastikan bahwa program tersebut tidak beroperasi secara bersamaan dengan program malware lainnya. Hal ini dilakukan dengan membuat mutex dan menggunakan nilai “Config.Email_To” sebagai mekanisme sinkronisasi. Jika mutex sudah digunakan, yang menunjukkan bahwa malware lain sedang aktif, program akan segera menghentikan dirinya sendiri menggunakan “Environment.FailFast(“”)”. Nilai mutex yang didekripsi terdeteksi sebagai 5dad16bd-6884-4ab8-b182-a504b4c99bcf.

Malware ini menargetkan berbagai aplikasi dan layanan yang mungkin ada di komputer korban, dengan tujuan untuk mengekstrak jenis informasi sensitif tertentu:
- Chromium-based browsers. Malware ini mengumpulkan data, termasuk kata sandi, cookie, dan informasi pengisian otomatis yang disimpan di aplikasi seperti LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile, dan Microsoft Authenticator, dan lain-lain.
- Crypto wallets. Ini mengekstrak file dari berbagai aplikasi dompet cryptocurrency seperti Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus, dan Guarda.
- Discord. Phemedrone mengekstrak token autentikasi dari aplikasi Discord, memungkinkan akses tidak sah ke akun pengguna.
- FileGrabber. Malware menggunakan layanan ini untuk mengumpulkan file pengguna dari folder yang ditentukan seperti Dokumen dan Desktop.
- FileZilla. Phemedrone menangkap detail koneksi FTP dan kredensial dari FileZilla.
- Gecko. Malware tersebut menargetkan browser berbasis Gecko untuk ekstraksi data pengguna.
- System Information. Phemedrone mengumpulkan detail sistem yang ekstensif, termasuk spesifikasi perangkat keras, geolokasi, dan informasi sistem operasi, dan mengambil tangkapan layar.
- Steam. Phemedrone mengakses file yang terkait dengan platform game Steam.
- Telegram. Malware mengekstrak data pengguna dari direktori instalasi, secara khusus menargetkan file terkait otentikasi dalam folder “tdata”. Ini termasuk mencari file berdasarkan ukuran dan pola penamaan.
Malware menggunakan metode khusus yang disebut RuntimeResolver.GetInheritedClasses<IService>() untuk menemukan semua subkelas IService secara dinamis. Metode ini menggunakan refleksi untuk memindai rakitan. Layanan dikelompokkan berdasarkan tingkat prioritasnya, sehingga memungkinkan untuk diproses dalam urutan tertentu. Untuk setiap layanan dalam daftar yang dikelompokkan, Phemedrone membuat dan memulai thread baru. Hal ini memungkinkan setiap layanan untuk memulai metode Jalankannya secara bersamaan, yang pada gilirannya mengeksekusi metode Kumpulkan yang ditentukan di setiap layanan.
- Command and control for data exfiltration
Setelah semua thread menyelesaikan eksekusi, kode akan diulang melalui layanan lagi. Untuk setiap layanan, ia mengumpulkan data yang dikumpulkan oleh layanan, dan menggunakan kelas MemoryStream dan ZipStorage untuk menangani dan mengompresi informasi ini. MemoryStream adalah buffer dalam memori fleksibel yang dapat menyimpan data sementara, memungkinkan penanganan informasi secara cepat dan efisien tanpa memerlukan operasi I/O disk. Setelah ini, ZipStorage digunakan untuk mengompresi data ke dalam format file ZIP langsung di dalam MemoryStream.


Sebelum memulai eksfiltrasi data, malware memvalidasi token API Telegram menggunakan metode TokenIsValid dengan melakukan panggilan API ke titik akhir getMe Telegram. Panggilan API ini dibuat menggunakan token API Telegram yang disimpan. Jika respons yang diterima dimulai dengan {“ok”:true, maka respons tersebut dianggap sebagai token yang valid. Namun, jika ada pengecualian yang terjadi selama proses ini, pengecualian tersebut dicatat dan metode mengembalikan false, yang menunjukkan bahwa token tersebut tidak valid. Jika token tidak valid, proses akan segera dihentikan dengan memanggil Environment.Exit(0).


Setelah memvalidasi token API Telegram, malware mulai mengirimkan berbagai informasi dan statistik sistem kepada penyerang. Hal ini dicapai melalui metode SendMessage di kelas global::Telegram.Telegram.
Metode Kumpulkan mengumpulkan informasi dan statistik sistem yang ekstensif, termasuk data geolokasi (seperti IP, negara, kota, kode pos), informasi perangkat keras (seperti nama pengguna, nama mesin, sistem operasi, ID perangkat keras, GPU, CPU, RAM), dan data dari browser web (kata sandi, cookie, kartu kredit, isi otomatis, ekstensi, dompet, file), serta detail tentang produk antivirus yang diinstal.
Gambar berikut adalah contoh laporan ringkasan yang dihasilkan oleh Phemedrone Stealer, yang merinci seberapa luas eksfiltrasi data melalui lalu lintas jaringan. Laporan ini mencakup informasi penting tentang sistem yang disusupi dan data pengguna, yang mencakup aspek seperti geolokasi, spesifikasi perangkat keras, statistik data web, dan fitur keamanan sistem.

Langkah selanjutnya adalah mengekstrak aliran terkompresi ZIP yang berisi versi lengkap dari data yang dikumpulkan. Hal ini dilakukan melalui metode SendZip, yang menggunakan permintaan HTTP POST untuk berkomunikasi dengan API Telegram. File terkompresi dikirim sebagai “dokumen” melalui permintaan ini.
Metode SendZip dan MakeFormRequest2 bertanggung jawab untuk membuat permintaan data multibagian/formulir. Mereka memastikan bahwa header yang sesuai telah diatur dan data file dialirkan dengan benar. Permintaan ini dikirim ke titik akhir Telegram sendDocument API menggunakan token bot dan ID obrolan. Prosesnya mencakup penanganan kesalahan dan percobaan ulang, memastikan bahwa pengunggahan file berhasil.
Cuplikan pada Gambar 21 adalah contoh eksfiltrasi data terkompresi melalui lalu lintas jaringan Telegram:

Kesimpulan
Meskipun telah ditambal, pelaku ancaman terus mencari cara untuk mengeksploitasi dan menghindari perlindungan Windows Defender SmartScreen untuk menginfeksi pengguna dengan berbagai jenis malware, termasuk ransomware dan pencuri seperti Phemedrone Stealer.
Jenis malware seperti Phemedrone Stealer menyoroti sifat ancaman malware canggih yang terus berkembang dan kemampuan pelaku jahat untuk secara cepat meningkatkan rantai infeksi mereka dengan menambahkan eksploitasi baru untuk kerentanan kritis dalam perangkat lunak sehari-hari. Kasus yang dibahas di sini mengeksplorasi hubungan antara malware sumber terbuka dan eksploitasi bukti konsep publik, karena terjadi penyerbukan silang yang signifikan antara peluncuran bukti konsep publik dan penggabungannya ke dalam rantai infeksi malware.
Organisasi harus memastikan untuk memperbarui instalasi Microsoft Windows untuk mencegah terkena Microsoft Windows Defender SmartScreen Bypass. Kode eksploitasi bukti konsep publik yang ada di web meningkatkan risiko bagi organisasi yang belum memperbarui ke versi patch terbaru.
Penting bagi organisasi untuk mengadopsi teknologi untuk melindungi data penting dari ancaman cyber tingkat lanjut. Vromedia memungkinkan tim keamanan untuk terus mengidentifikasi aset siber yang diketahui, tidak diketahui, dikelola, dan tidak dikelola. Ia juga menawarkan kemampuan pencegahan, deteksi, dan respons komprehensif yang didukung oleh AI, penelitian ancaman tingkat lanjut, dan intelijen, sehingga menghasilkan deteksi, respons, dan remediasi yang lebih cepat.
Berikut kutipan dari BSSN
Imbauan Keamanan xxx-2023-xxxxx
Kerentanan ini terjadi pada perangkat Windows yangmemungkinkan pelaku ancaman melakukan bypass pada Windows SmartScreen pada browser Microsoft Edge yang biasanya memberitahukan apabila suatu file unduhan berklasifikasi sebagai malicious. Akibatnya data milik korban dapat dicuri oleh penyerang. Berdasarkan pernyataan dari Microsoft, kerentanan ini merupakan kerentanan zero day dimana penyerang membuat file malicious berupa internet shortcut (.URL), dimana Windows SmartScreen tidak mendeteksi file tersebut sebagai malicious. Ketika korban membuka file tersebut, secara otomatis pencurian data terjadi.
Merupakan kerentanan pada User Interface (UI) yang tidak dengan baik mengatur informasi critical pada user, mengizinkan penyerang melakukan pengubahan informasi dan penyisipan kode berbahaya. Pada kasus Ini, penyerang dapat membypass Windwos Defender SmartScreen dengan pengubahan informasi pada file tersebut.
Related Posts
ASC – Automated stacker crane
ATLS – Automated truck loading system
- Halo, saya AIOV siap membantu anda!
