Modus Serangan miniDuke Si Mata-mata Negara - Serangan backdoor
miniDuke dilaporkan menggeliat dan menyerang berbagai badan pemerintahan dan institusi di dunia dalam beberapa minggu terakhir. Para pakar keamanan Kaspersky Lab bekerja sama dengan CrySys Lab, menganalisis serangan ini secara detil dan memublikasikan temuan mereka.
Untuk menyerang para targetnya, seperti dijelaskan Kaspersky, pelaku di balik backdoor miniDuke menggunakan teknik rekayasa sosial yang sangat efektif. Yakni dengan melibatkan pengiriman dokumen PDF kepada calon korban.
File PDF yang dikirim memiliki konten yang relevan dan ditulis dengan sangat bagus yang berisi informasi seminar tentang hak asasi manusia, ataupun semisal kebijakan luar negeri Ukraina dan rencana keanggotaan NATO.
File PDF berbahaya ini berisi eksploitasi yang menyerang Adober Reader versi 11 dan 10, mem-bypass sandbox-nya. Sebuah toolkit digunakan untuk membuat eksploitasi ini dan sepertinya merupakan toolkit yang sama dengan yang digunakan dalam serangan baru seperti yang dilaporkan FireEye.
Namun, eksploitasi yang digunakan dalam serangan miniDuke memiliki tujuan yang berbeda-beda dan memiliki malware kustomisasi sendiri.
Begitu sistem tereksploitasi, pengunduh yang sangat kecil dimasukkan ke dalam disk dengan ukuran hanya 20 Kb. Pengunduh ini adalah backdoor kustomisasi yang sangat unik yang ditulis dengan Assembler (sekarang jarang digunakan tetapi dahulu sering digunakan terutama jaman grup vx seperti 29a).
Ketika library terisi, pengunduh menggunakan sekumpulan kalkulasi matematika untuk menentukan konfigurasi komputer dan menggunakan data ini untuk kemudian secara khusus mengenkripsi komunikasinya.
Ia juga diprogram untuk menghindari analisis dengan sekumpulan tools berkode kuat di lingkungan tertentu seperti VMWare.
Jika program ini menemukan kegiatan analisis ia akan menjadi diam atau idle di dalam lingkungan tersebut dan tidak bergerak ke tahap atau tempat lain dan menampakkan fungsionalitasnya dengan mendeskripsi lebih lanjut.
Hal ini mengindikasikan para penulis malware memiliki pengetahuan yang baik tentang apa yang dilakukan anti-malware dan para profesional TI untuk menganalisa malware.
Jika sistemnya memenuhi persyaratan yang telah ditentukan sebelumnya, malware akan menggunakan Twitter (belum diketahui oleh pengguna) dan mulai mencari tweet khusus dari akun yang belum dibuat.
Akun-akun twitter ini dibuat oleh operator Command and Control (C2) miniDuke dan tweetnya mempertahankan tag khusus dengan label URL terenkripsi untuk backdoor. URL ini memberi akses kepada C2 yang kemudian akan memberikan perintah potensial dan transfer backdoor terenkripsi tambahan ke dalam sistem melalui file GIF.
Berdasarkan analisis sepertinya para pembuat malware memberikan sistem backup dinamis yang juga bisa beroperasi tanpa terdeteksi. Jika Twitter tidak bisa atau akun down, malware bisa menggunakan Google Search untuk menemukan string terenkripsi ke C2 berikutnya.
Model ini begitu fleksibel dan memungkinkan operator C2 untuk secara konstan mengubah bagaimana backdoor mereka menerima perintah selanjutnya atau malcode (kode jahat) jika dibutuhkan.
Begitu sistem yang terinfeksi mengetahui lokasi C2, sistem tersebut akan menerima backdoor terenkripsi yang dimasukkan dalam file GIF dan disamarkan sebagai gambar yang tampil di komputer korban.
Begitu backdoor terunduh ke komputer, backdoor ini bisa mengunduh backdoor lain yang berukuran lebih besar yang bisa melakukan beberapa aktivitas sederhana seperti menyalin file, memindahkan file, menghapus file, membuat direktori, menghentikan proses dan tentu saja, mengunduh dan mengeksekusi malware baru.
Backdoor malware terkoneksi ke dua server, satu di Panama dan satu lagi di Turki, untuk menerima instruksi dari para penyerang.
Kaspersky Lab sendiri mengklaim telah mendeteksi dan menetralisir malware miniDuke yang diklasifikasikan sebagai HEUR: Backdoor.Win32.MiniDuke.gen dan Backdoor.Win32.Miniduke tersebut. Termasuk mendeteksi ekploitasi yang digunakan dalam dokumen PDF, yang diklasifikasikan sebagai Exploit.JS.Pdfka.giy.
