APT Daserf

Pada tulisan sebelumnya (APT Target Critical Infrastructure) saya telah sampaikan hasil analisa LAC (perusahaan keamanan Jepang) tentang APT Daserf. Saya akan lanjutkan tentang metoda komunikasi yang dilakukan APT Daserf dengan server C&C (Command & Control).

  1. Malware akan mengirimkan Get Request untuk mengunduh sebuah file GIF dari server C&C
  2. C&C server akan memberi respons bukan sebuah GIF File, melainkan sebuah URL yang diencode dengan algoritma XOR (1 byte). Encoding XOR ini diketahui memiliki key=0x05.
  3. Malware akan melakukan decoding URL. Hasilnya akan terhubung ke sebuah file ASP.
  4. Selanjutnya malware akan mengirimkan POST request ke server C&C. POST request ini berisikan informasi tentang komputer korban seperti: nama Host , alamat IP, versi OS, local ID, dan versi malware Daserf. Informasi-informasi ini dikirimkan sudah diencode dengan algoritma Base64

Hasil Analisa

LAC juga melaporkan hasil analisa terhadap server C&C dari APT Daserf ini ditemukan bahwa

  • 66% server C&C dihosting di Korea Selatan,
  • 26% di Jepang,
  • 5% di Amerika Serikat
  • 3% di negara lain.

Selain itu dilaporkan juga bahwa malware ini masih diupdate. LAC baru saja menemukan versi  terbaru dari malware ini. Pada versi sebelumnya malware mengunduh sebuah File GIF dari server C&C, pada versi terbaru malware (versi mengakses sebuah file PHP yang mengunduh sebuah file JPG. Dari hasil penelusuran ditemukan malware mengakses sebuah alamat pada layanan cloud di Jepang.

Ada dua metode penyebaran malware ini yang dilaporkan. Kasus pertama adalah sebagai berikut:

  • pelaku mengirimkan email pada target tertentu.
  • Email ini mengandung attachment sebuah file zip.
  • File zip ini akan mengekstrak sebuah file exe yang menjalankan sebuah aplikasi flash. Aplikasi flash akan men-drop sebuah file exe lainnya.
  • Kemudian file exe ini akan mengunduh malware dari sebuah server VPS.

Sementara kasus kedua adalah:

  • Pelaku mengirimkan email pada target tertentu.
  • Email ini mengandung attachment sebuah file word.
  • File word ini memiliki eksploit yang memanfaatkan celah keamanan CVE-2015-2545.
  • Eksploit akan men-drop sebuah file exe
  • Kemudian file exe ini akan mengunduh malware dari sebuah server VPS.

Hasil analisa terhadap file php yang diakses malware ditemukan bahwa file tersebut sebenarnya adalah sebuah file win32.exe (portable executable file). Dari hasil analisa trafik ditemukannya juga bahwa penyerang tidak hanya menggunakan malware Daserf. Melainkan juga menggunakan malware lainnya. Penyerangan dilaporkan menggunakan tools dan malware berikut:

Pada Command & Control:

  • Daserf (HTTP bot)
  • Datper (HTTP bot)
  • Unknown (HTTP bot) ada string xxmm di malware?

Downloader:

  • Gofarer (Daserf Downloader)
  • VBScript
  • DGet

Uploader:

  • Tools yang digunakan untuk mengupload sebuah file rar ke URL tertentu

Tools hacking lainnya:

  • mimikatz,
  • gsecdump

Kemudian dilaporkan juga bahwa malware Daserf ini diduga memang ditujukan untuk menyerang Jepang, khususnya Infrastruktur vital. Karena 43% IP yang mengupload malware Daserf berasal dari Jepang. Laporan lengkap tentang hasil analisa malware ini dapat dilihat pada link berikut: http://www.lac.co.jp/english/report/index.html

Semoga Bermanfaat!

Silahkan tuliskan tanggapan, kritik maupun saran