Malware Gootloader, yang biasanya digunakan untuk akses awal, kini menggunakan arsip ZIP cacat yang dirancang untuk menghindari deteksi dengan menggabungkan hingga 1.000 arsip.
Dengan melakukan hal ini, malware, yang merupakan file JScript yang diarsipkan, menyebabkan banyak alat mogok saat mencoba menganalisisnya.
Menurut peneliti, file berbahaya tersebut berhasil dibongkar menggunakan utilitas default di Windows, tetapi alat yang mengandalkan 7-Zip dan WinRAR gagal.
Untuk mencapai hal ini, pelaku ancaman di balik malware menggabungkan antara 500 dan 1.000 arsip ZIP, tetapi juga menggunakan trik lain untuk mempersulit penguraian dari alat analisis.
Pemuat malware Gootloader telah aktif sejak tahun 2020 dan digunakan oleh berbagai operasi penjahat dunia maya, termasuk penyebaran ransomware.
Setelah jeda selama tujuh bulan, operasi tersebut kembali dilakukan pada bulan November lalu, seperti yang dilaporkan oleh peneliti keamanan di Huntress Labs dan Laporan DFIR.
Meskipun format arsip ZIP yang salah ada pada saat itu, arsip tersebut hadir dengan sedikit modifikasi, dan ada ketidakcocokan nama file saat mencoba mengekstrak data.
Untuk lebih memperkuat anti-analisis pada tahap ini, operator Gootloader kini telah menerapkan mekanisme kebingungan yang jauh lebih luas, menurut Mengusir peneliti menganalisis sampel yang lebih baru.
Secara khusus, mekanisme berikut sekarang digunakan untuk menghindari deteksi dan analisis:
- Gabungkan hingga seribu arsip ZIP, manfaatkan fakta bahwa parser membaca dari akhir file.
- Gunakan End of Central Directory (EOCD) terpotong yang kehilangan dua byte wajib, sehingga mengganggu penguraian oleh sebagian besar alat.
- Mengacak bidang nomor disk, menyebabkan alat mengharapkan arsip multi-disk tidak ada.
- Tambahkan ketidakcocokan metadata antara entri Header File Lokal dan Direktori Pusat.
- Hasilkan sampel ZIP dan JScript unik untuk setiap unduhan untuk menghindari deteksi statis.
- Mengirimkan ZIP sebagai blob berkode XOR, yang didekodekan dan ditambahkan berulang kali di sisi klien hingga mencapai ukuran yang diinginkan, menghindari deteksi berbasis jaringan.
Sumber: Keluarkan
Setelah dijalankan di host, JScript malware diaktifkan melalui Windows Script Host (WScript) dari direktori sementara dan membangun persistensi dengan menambahkan file pintasan (.LNK) ke folder Startup yang mengarah ke file JScript kedua.
Payload ini dieksekusi pada peluncuran pertama, dan setiap kali sistem melakukan booting, memicu CScript dengan nama pendek NTFS, diikuti oleh PowerShell yang memunculkan PowerShell.
Meskipun penulis Gootloader menambahkan beberapa teknik korupsi untuk menghindari deteksi tanpa merusak fungsinya, peneliti Expel menggunakan anomali struktural yang memungkinkan pembela HAM mengenali ancaman tersebut. Tim juga berbagi a Aturan ANAK-ANAK yang “dapat secara konsisten mengidentifikasi arsip ZIP saat ini.”
Deteksinya bergantung pada penemuan kombinasi spesifik fitur header ZIP, ratusan Header File Lokal yang berulang, dan data EOCD.
Para peneliti merekomendasikan agar para pembela HAM mengubah aplikasi default untuk membuka file JScript ke Notepad, bukan Windows Script Host, untuk mencegah eksekusinya.
Untuk mengurangi permukaan serangan, Expel menyarankan pemblokiran wscript.exe Dan cscript.exe dari mengeksekusi konten yang diunduh jika file JScript tidak diperlukan.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
