Koeksistensi profesionalisme dan amatirisme: Para penyerang menghabiskan waktu lama untuk membangun identitas yang dapat dipercaya dan menjadi pengelola paket penting, beberapa orang terlibat dalam serangan rekayasa sosial, identitas asli dan sumber serangan disembunyikan, dan tingkat kecanggihan serta teknik obfuscation yang digunakan terlihat profesional. Namun, munculnya bug dan penurunan performa di versi produksi terasa agak amatir.
Terungkap karena penurunan performa: Meski serangannya canggih, penurunan performanya cukup mencolok hingga akhirnya ditemukan. Ini mengingatkan pada kutipan bahwa ada banyak cara melakukan kejahatan lalu tertangkap, dan jika seseorang hanya bisa memikirkan setengahnya saja, dia sudah bisa dianggap jenius.
Analisis backdoor yang di-obfuscate: Diperlukan analisis terhadap obfuscation pada backdoor itu sendiri. Biner dianalisis menggunakan Ghidra, tetapi karena tidak familiar dengan mekanisme ifunc yang mencegat eksekusi, analisis selanjutnya diserahkan kepada orang lain. Karena backdoor tersebut disediakan sebagai biner terenkripsi, diduga sebagian kodenya juga dienkripsi.
Menyediakan tautan alternatif: Menyediakan tautan nitter.poast.org sebagai alternatif untuk theaderapp.com.
Pentingnya penemuan ini: Untungnya backdoor ini ditemukan sebelum menyebar luas. Jauh lebih buruk jika semua pihak bisa mengaksesnya daripada hanya satu pihak yang memiliki RCE (eksekusi kode jarak jauh).
Tidak adanya diskusi tentang penyerang: Meski tidak mengikuti kasus ini secara rinci, terasa aneh bahwa hampir tidak ada diskusi sama sekali tentang para penyerang.
Kekhawatiran tentang strategi jangka panjang: Seperti para penyerang meluangkan waktu membangun 'infrastruktur' untuk membuat backdoor, kemungkinan mereka juga berniat memainkan permainan jangka panjang bahkan setelah serangan terjadi di lapangan. Ada rasa penasaran apakah permainan seperti itu masih berlangsung sekarang.
Permintaan penjelasan tentang pengujian performa: Ada permintaan untuk penjelasan atau panduan pengantar yang baik mengenai pengujian performa yang digunakan untuk menemukan backdoor ini, dari seseorang yang ingin belajar cara mengukur performa.
Pujian untuk penulis asli: Meski belum ada yang menyebutkannya, penulis asli artikel ini layak mendapat pujian besar. Pekerjaan yang sangat mengesankan.
1 komentar
Opini Hacker News
ifuncyang mencegat eksekusi, analisis selanjutnya diserahkan kepada orang lain. Karena backdoor tersebut disediakan sebagai biner terenkripsi, diduga sebagian kodenya juga dienkripsi.