PENYERANGAN PENGIRIMAN PAYLOAD MENGGUNAKAN MALWARE SYSTEMBC
SystemBC pertama kali diamati pada tahun 2018, memungkinkan pelaku ancaman untuk mengendalikan host yang disusupi dari jarak jauh dan mengirimkan muatan tambahan, termasuk trojan, Cobalt Strike, dan ransomware. SystemBC juga dilengkapi dukungan untuk meluncurkan modul tambahan dengan cepat. Dalam penganalisis yang diterbitkan minggu lalu, Kroll mengatakan SystemBC dapat dibeli di pasar gelap dan disediakan dalam arsip yang berisi implan, server command-and-control (C2), dan portal administrasi web yang ditulis dalam PHP. Pelanggan yang membeli SystemBC diberikan paket instalasi yang mencakup eksekusi implan, binari Windows dan Linux untuk server C2, dan file PHP untuk merender antarmuka panel C2.
Eksekusi komponen server C2 – “server.exe” untuk Windows dan “server.out” untuk Linux – dirancang membuka kurang dari tiga port TCP dalam fasilitasi lalu lintas C2, inter-process communication (IPC) antara dirinya sendiri dan antar muka panel berbasis PHP (biasanya port 4000), dan satu untuk setiap implan yang aktif (alias bot). Di sisi lain, panel berbasis PHP bersifat minimalis, menampilkan daftar implan yang aktif pada waktu tertentu dan menjalankan shellcode dan file arbitrer pada mesin korban. Peneliti Kroll mengatakan Fungsionalitas shellcode tidak hanya terbatas pada shell terbalik, tetapi memiliki kemampuan jarak jauh penuh yang dapat disuntikkan ke dalam implan pada saat runtime.
Kroll mengatakan bahwa pihaknya mengidentifikasi kelemahan dalam alfabet Base64 yang membuatnya mudah dalam memecahkan kode konfigurasi on-disk dan output keylogging dengan menggunakan kode alfabet dan disimpan di dalam folder eksfiltrasi pada sistem. Straw mengatakan analisis ini memungkinkan analis forensik dalam memecahkan kode file konfigurasi dan keylogger tanpa perlu menentukan ID perangkat kerasnya, sedangkan File keluaran keylogger berisi penekanan tombol yang dicuri oleh DarkGate, yang dapat mencakup kata sandi yang diketik, email yang dibuat, dan informasi sensitif lainnya.
Sumber : SystemBC Malware’s C2 Server Analysis Exposes Payload Delivery Tricks
Leave a Reply
Want to join the discussion?Feel free to contribute!