Bukan rahasia lagi bahwa penjahat dunia maya sekarang ini lebih mahir, inovatif dan sulit untuk di deteksi. Sementara bentuk-bentuk baru dari cybercrime semakin meningkat, kegiatan tradisional tampaknya bergeser ke teknik yang lebih klandestin yang melibatkan eksploitasi alat sistem standar dan protokol, yang tidak selalu dipantau.


Contoh terbaru dari serangan tersebut adalah DNSMessenger - Remote Access Trojan (RAT) terbaru yang menggunakan query DNS untuk menjalankan perintah PowerShell berbahaya di komputer yang terinfeksi. DNSMessenger attack sepenuhnya adalah fileless, Analisis lebih lanjut dari peneliti Talos perihal malware tersebut menyebutkan bahwa serangan canggih itu dilakukan terdiri dari dokumen Word berbahaya dan backdoor PowerShell yang berkomunikasi dengan command-and-control servers melalui DNS requests.

Didistribusikan melalui kampanye phishing email, serangan DNSMessenger benar-benar fileless, karena tidak menyertakan file yang ditujukan pada sistem target; sebaliknya, menggunakan kemampuan DNS TXT messaging untuk mengambil perintah PowerShell berbahaya yang dijalankan secara remote pada DNS TXT records.

PowerShell adalah bahasa scripting yang dibangun di sistem operasi Windows yang memungkinkan sistem tersebut menjalankan perintah secara  otomatis terhadap semua tugas-tugas administrasi sistem. Berkaitan dengan Dokumen Word berbahaya tersebut yang dibuat "untuk tampil seolah-olah terkait dengan layanan e-mail yang aman yang dijamin oleh McAfee," namun pada kenyataannya dokumen Word mengandung script berbahaya menurut sebuah posting blog yang diterbitkan oleh peneliti Talos - Edmund Brumaghin dan Colin Grady.

Cara serangan DNSMessenger adalah, Ketika file dibuka, dokumen akan menampilkan Visual Basic for Applications (VBA) makro untuk mengeksekusi script PowerShell mandiri dalam upaya untuk menjalankan backdoor ke sistem target. Yang menarik adalah serangan tersebut dilakukan dalam memori, tanpa menulis file berbahaya ke disk sistem. Selanjutnya, script VBA membongkar tahap kedua dikompresi menggunakan PowerShell, yang bertujuan untuk memeriksa beberapa parameter dari sistem target, seperti hak-hak pengguna log-in dan versi PowerShell pada sistem target.

Informasi ini kemudian digunakan untuk memastikan host yang terinfeksi untuk mengubah Registry Windows yang kemudian menginstal script PowerShell tahap ketiga yang berisi backdoor sederhana. Backdoor kemudian ditambahkan ke Windows Management Instrumentation (WMI) database, jika korban tidak memiliki akses administratif, memungkinkan backdoor akan tertanam permanen pada sistem bahkan setelah reboot.

Backdoor akan menambahkan script yang menetapkan 2-arah saluran komunikasi canggih menggunakan Domain Name System (DNS) - biasanya digunakan untuk mencari alamat IP yang terkait dengan nama domain, tetapi memiliki dukungan untuk berbagai jenis catatan. DNSMessenger malware backdoor menggunakan DNS TXT records untuk menyampaikan permintaan ke serangkaian domain yang terdapat pada kode sumbernya. Sebagai bagian dari permintaan tersebut, domain DNS TXT record yang berisi perintah PowerShell dijalankan tetapi tidak pernah ditulis ke sistem lokal.

Malware backdoor juga menyertakan script query ke server command-and-control melalui permintaan pesan DNS TXT untuk bertanya apa perintah yang akan dieksekusi. Setiap perintah yang diterima kemudian dieksekusi dan output dikomunikasikan kembali ke C & C server yang memungkinkan penyerang untuk mengeksekusi semua jenis perinta di Windows yang terinfeksi.
 
Top