Korea Internet & Security Agency (KISA) mengonfirmasi 8 varian malware tambahan saat memeriksa peretasan SKT

xguru · 2025-05-04T09:16:01+09:00

Saat menangani insiden pelanggaran SKT, selain 4 malware lama dari keluarga BPFDoor yang menargetkan sistem Linux, ditemukan juga 8 varian malware tambahan Karena merupakan backdoor untuk intrusi berkelanjutan yang tidak meninggalkan jejak, ada kemungkinan lebih banyak informasi telah bocor Selain smartadm yang diumumkan pada tahap pertama, dbus-srv, inode262394, rad dan lainnya juga telah ditambahkan, dengan fungsi seperti penyamaran sebagai proses sistem, rootkit, dan pemasangan backdoor Informasi terkait malware (karena merupakan varian, tidak dapat dikonfirmasi dengan nilai hash, sehingga ini adalah perkiraan informasi fungsi yang ditemukan berdasarkan nama) ○ dbus-srv Dijalankan dengan menyamar sebagai proses sistem dbus-daemon Memiliki fungsi mengumpulkan informasi sistem dan menjalankan perintah jarak jauh Menghindari deteksi melalui enkripsi dan obfuscation Diduga sebagai backdoor, dengan kemungkinan berkomunikasi dengan server C2 (Command-and-Control) eksternal ○ inode262394 Disembunyikan dengan menyamar sebagai struktur inode pada sistem file Melalui fungsi rootkit, malware ini menyembunyikan keberadaannya sendiri dan melakukan hal seperti hooking system call Mencoba melakukan eskalasi hak akses sistem dan mempertahankan akses secara persisten Penjelasan tambahan tentang BPFDoor BPFDoor adalah malware backdoor Linux dengan kemampuan bersembunyi jangka panjang yang menggunakan Berkeley Packet Filter (BPF) untuk pemantauan jaringan pasif, sehingga dapat memantau lalu lintas jaringan tanpa membuka port, menjadikannya alat serangan dengan kemampuan siluman tingkat tinggi Karena karakteristik BPF, malware ini dapat melewati firewall dan menyadap lalu lintas jaringan secara diam-diam Untuk menyamar sebagai proses sistem, malware ini dijalankan melalui jalur seperti /usr/libexec/postfix/master, sehingga tampak seperti layanan biasa dalam daftar proses Karena sebagian besar berjalan di memori dan tidak meninggalkan jejak di disk, malware ini juga unggul dalam menghindari analisis forensik Varian kuat yang muncul pada 2023 memiliki karakteristik utama berikut: Metode enkripsi: RC4 sebelumnya → enkripsi berbasis pustaka statis libtomcrypt Metode komunikasi: Bind Shell sebelumnya → Reverse Shell, di mana proses anak membangun koneksi balik Pemrosesan perintah: sebelumnya perintah di-hardcode → semua perintah kini diterima secara real-time Nama file: sebelumnya tetap → kini dibuat secara dinamis Bahkan setelah terdeteksi, malware ini memisahkan proses anak dan proses induk untuk menghindari respons deteksi Kode sumbernya telah dipublikasikan di GitHub

(boho.or.kr)

3 poin oleh xguru 2025-05-04 | 1 komentar | Bagikan ke WhatsApp

Saat menangani insiden pelanggaran SKT, selain 4 malware lama dari keluarga BPFDoor yang menargetkan sistem Linux, ditemukan juga 8 varian malware tambahan
- Karena merupakan backdoor untuk intrusi berkelanjutan yang tidak meninggalkan jejak, ada kemungkinan lebih banyak informasi telah bocor
Selain smartadm yang diumumkan pada tahap pertama, dbus-srv, inode262394, rad dan lainnya juga telah ditambahkan, dengan fungsi seperti penyamaran sebagai proses sistem, rootkit, dan pemasangan backdoor

Informasi terkait malware (karena merupakan varian, tidak dapat dikonfirmasi dengan nilai hash, sehingga ini adalah perkiraan informasi fungsi yang ditemukan berdasarkan nama)

○ dbus-srv

Dijalankan dengan menyamar sebagai proses sistem dbus-daemon
Memiliki fungsi mengumpulkan informasi sistem dan menjalankan perintah jarak jauh
Menghindari deteksi melalui enkripsi dan obfuscation
Diduga sebagai backdoor, dengan kemungkinan berkomunikasi dengan server C2 (Command-and-Control) eksternal

○ inode262394

Disembunyikan dengan menyamar sebagai struktur inode pada sistem file
Melalui fungsi rootkit, malware ini menyembunyikan keberadaannya sendiri dan melakukan hal seperti hooking system call
Mencoba melakukan eskalasi hak akses sistem dan mempertahankan akses secara persisten

Penjelasan tambahan tentang BPFDoor

BPFDoor adalah malware backdoor Linux dengan kemampuan bersembunyi jangka panjang yang menggunakan Berkeley Packet Filter (BPF) untuk pemantauan jaringan pasif, sehingga dapat memantau lalu lintas jaringan tanpa membuka port, menjadikannya alat serangan dengan kemampuan siluman tingkat tinggi
- Karena karakteristik BPF, malware ini dapat melewati firewall dan menyadap lalu lintas jaringan secara diam-diam
Untuk menyamar sebagai proses sistem, malware ini dijalankan melalui jalur seperti /usr/libexec/postfix/master, sehingga tampak seperti layanan biasa dalam daftar proses
Karena sebagian besar berjalan di memori dan tidak meninggalkan jejak di disk, malware ini juga unggul dalam menghindari analisis forensik
Varian kuat yang muncul pada 2023 memiliki karakteristik utama berikut:
- Metode enkripsi: RC4 sebelumnya → enkripsi berbasis pustaka statis libtomcrypt
- Metode komunikasi: Bind Shell sebelumnya → Reverse Shell, di mana proses anak membangun koneksi balik
- Pemrosesan perintah: sebelumnya perintah di-hardcode → semua perintah kini diterima secara real-time
- Nama file: sebelumnya tetap → kini dibuat secara dinamis
- Bahkan setelah terdeteksi, malware ini memisahkan proses anak dan proses induk untuk menghindari respons deteksi
Kode sumbernya telah dipublikasikan di GitHub

1 komentar

brainer 2025-05-04

Sepertinya kemungkinan semuanya memang sudah dibobol ..