Serangan Alchimist baru menghantam Windows, Linux, dan Mac

IFF

Administrator
Staff member
Kerangka (framework) serangan Alchimist baru menghantam Windows, Linux, dan Mac

Serangan Alchimist baru menghantam Windows, Linux, dan Mac


Serangan kemungkinan asal China yang digunakan oleh penjahat dunia maya telah ditemukan.

Server Command and Control (C2) mandiri yang disebut "Alchimist" baru-baru ini ditemukan oleh Cisco Talos. Kerangka kerja telah dirancang untuk menjalankan serangan melalui executable berbasis GoLang mandiri yang dapat didistribusikan dengan mudah. Framework yang ditemukan oleh Talos berisi keseluruhan antarmuka pengguna web dan muatannya.

Framework yang ditulis dengan GoLang​


Bahasa pemrograman Go, juga dikenal sebagai GoLang, menjadi semakin populer bagi para pengembang yang ingin mengkompilasi kode mereka pada beberapa sistem dan arsitektur yang berbeda. Sebagai contoh, kerangka kerja ofensif Sliver, yang sepenuhnya ditulis dalam Go. Oleh karena itu tidak mengherankan bahwa lebih banyak penjahat dunia maya juga mengadopsinya.

Alchimist, yang namanya telah diberikan oleh pengembangnya, menggunakan aset berbasis GoLang, yang merupakan paket tertanam yang dibuat khusus, untuk menyimpan semua sumber daya yang diperlukan untuk operasinya sebagai server C2. Selama inisialisasi, semua kontennya ditempatkan di hard coded folder, yaitu /tmp/Res untuk antarmuka web, file HTML dan folder lainnya, dan /tmp/Res/Payload untuk muatannya untuk sistem operasi Windows dan Linux.

Sertifikat yang ditandatangani sendiri tanpa nama server apa pun juga diletakkan di folder /tmp (Gambar A), bersama dengan kuncinya untuk digunakan dalam komunikasi HTTPS. Sertifikat tersebut dapat ditemukan di lima alamat IP yang berbeda di Internet pada saat penelitian, semuanya digunakan untuk Alchimist.

Gambar A

Alchimist certificate details


Antarmuka web​


Antarmuka web pengguna kerangka kerja Alchimist ditulis dalam bahasa Inggris dan bahasa Cina yang disederhanakan (Gambar B).

Gambar B

Alchimist attack


Fitur paling umum yang diharapkan untuk menangani malware Remote Administration Tool (RAT) diimplementasikan di antarmuka, namun satu yang menonjol menurut para peneliti: Kemampuan untuk menghasilkan cuplikan kode PowerShell dan wget untuk sistem Windows dan Linux. Perintah-perintah ini mungkin disematkan dalam dokumen berbahaya, file LNK, atau jenis file lain apa pun yang digunakan untuk kompromi awal, dan unduh/instal muatan tambahan yang disediakan oleh kerangka kerja: Insekt RAT.

Pelajari: Apa itu Malware?

Beberapa parameter diambil dari antarmuka pengguna web untuk menghasilkan payload akhir. Parameter tersebut adalah:
  • Protokol yang akan digunakan: TLS, SNI atau WSS/WS.
  • Alamat IP atau URL host C2 jarak jauh
  • Jenis platform yang ditargetkan: Windows atau Linux
  • Bendera daemon untuk menunjukkan apakah muatan RAT Insekt perlu dijalankan sebagai daemon (proses yang berjalan di latar belakang)
  • Nilai predomain, untuk protokol SNI
Setelah dikonfigurasi, antarmuka web mengirimkan permintaan ke URL server C2 saat ini untuk meminta muatan baru yang dapat diunduh.

Insekt payload​


Insekt RAT ditulis dalam GoLang dan dikompilasi untuk Windows dan Linux. RAT menyediakan kemampuan untuk mendapatkan informasi tentang sistem operasi yang dijalankannya dan informasi ukuran file, tidur untuk periode yang telah ditentukan atau memutakhirkan dirinya sendiri.

Selain itu, ia menyediakan fungsi yang lebih agresif seperti menyediakan cmd.exe baris perintah untuk menjalankan perintah arbitrer. Ini juga memungkinkan untuk mengeksekusi perintah sebagai pengguna lain, mengeksekusi shellcode, memindai alamat IP dan port, memanipulasi kunci Secure Shell (SSH), atau mengaktifkan proxy. Itu juga dapat menghitung file di jalur direktori.

Versi Linux dari Insekt juga memungkinkan pengguna untuk menambahkan kunci SSH baru ke file Authorized_Keys, sehingga memungkinkan penyerang untuk berkomunikasi dengan mesin korban melalui SSH.

Serangkaian perintah yang telah ditentukan sebelumnya juga dapat digunakan untuk kemudahan penyerang, memungkinkan interaksi yang lebih cepat dan menghindari kesalahan pengetikan.

MacOSX juga menjadi target​


Di samping Alchimist dan Insekt, para peneliti menemukan alat untuk peningkatan hak istimewa dan eksploitasi pada platform MacOSX.

File Mach-O yang ditemukan di folder utama memungkinkan untuk memicu exploit untuk kerentanan eskalasi hak istimewa (CVE-2021-4034) pada utilitas pkexec, yang tidak diinstal pada MacOSX secara default. Sebuah backdoor shell mengikat juga tersedia di executable itu, untuk menyediakan shell jarak jauh ke aktor ancaman.

Kerangka kerja C2 yang lebih lengkap mungkin akan datang dan membidik beberapa sistem operasi yang berbeda​


Lebih banyak kerangka serangan seperti itu telah ditemukan akhir-akhir ini. Manjusaka, saudara Cina dari Sliver dan Cobalt Strike, muncul pada tahun 2022, diprogram dalam GoLang untuk bagian C2-nya, sementara muatannya dibuat dalam bahasa pemrograman Rust. Rust, seperti GoLang, memungkinkan pengembang untuk mengkompilasi kode pada beberapa platform yang berbeda dengan sangat mudah. Diharapkan untuk melihat lebih banyak kerangka kerja multiplatform yang ditulis dalam bahasa pemrograman Go dan Rust.

Penemuan Alchimist berdiri sebagai indikasi lain bahwa "pelaku ancaman dengan cepat mengadopsi kerangka kerja C2 untuk menjalankan operasi mereka," menurut Cisco Talos.

Kemudahan penggunaan kerangka kerja semacam itu mungkin akan menarik pengembang malware dan pelaku ancaman untuk menggunakan lebih banyak dari itu dalam waktu dekat.

Apa yang bisa dilakukan terhadap ancaman ini?

Perangkat lunak keamanan harus digunakan untuk mendeteksi payload dan kemungkinan komunikasi ke Alchimist C2. Sertifikat yang ditandatangani sendiri yang digunakan oleh kerangka kerja harus segera memunculkan peringatan saat ditemukan dalam komunikasi HTTPS.

Sistem operasi dan perangkat lunak perlu terus diperbarui dan ditambal, untuk menghindari penyerang menggunakan kerentanan umum untuk membahayakan sistem dan mendapatkan pijakan awal.

Otentikasi multi-faktor juga perlu diterapkan untuk setiap perangkat atau layanan yang terhubung ke internet, untuk menghindari serangan menggunakan kredensial tunggal untuk akses.

Sumber: Techrepublic
 
Top