Belum lama ini, blog secureList kami diterbitkan a pos (Bahasa Rusia saja) Tentang serangan terhadap perusahaan industri menggunakan pintu belakang phantompyramid, yang menurut para ahli kami dengan tingkat kepercayaan diri yang tinggi dengan kelompok kepala kuda. Serangan itu cukup standar-email yang mengklaim berisi informasi rahasia, dengan arsip yang dilindungi kata sandi yang berisi malware, dan kata sandi untuk membongkar yang terletak tepat di badan email. Tetapi metode yang dengannya para penyerang menyembunyikan kode berbahaya mereka – dalam file yang tampaknya tidak berbahaya – cukup menarik: untuk melakukannya mereka menggunakan teknik poliglot.
Apa teknik polyglot?
Dalam matriks MITER ATT & CK, file polyglot dijelaskan sebagai file yang sesuai dengan beberapa jenis file sekaligus, dan yang beroperasi secara berbeda tergantung pada aplikasi di mana mereka diluncurkan. Mereka terbiasa menyamarkan malware: untuk pengguna, serta untuk beberapa mekanisme perlindungan dasar, mereka terlihat seperti sesuatu yang sama sekali tidak berbahaya, misalnya gambar atau dokumen, tetapi sebenarnya ada kode jahat di dalamnya. Selain itu, kodenya bisa tertulis Dalam beberapa bahasa pemrograman sekaligus.
Penyerang menggunakan berbagai kombinasi format. Unit42 sekali diselidiki Serangan menggunakan file bantuan di Microsoft menyusun format bantuan HTML (ekstensi .chm), yang juga merupakan aplikasi HTML (file .hta). Peneliti juga menggambarkan Penggunaan gambar .jpeg di dalamnya, pada kenyataannya, adalah arsip PHP .phar. Dalam kasus serangan yang diselidiki oleh para ahli kami, kode yang dapat dieksekusi disembunyikan di dalam file arsip .zip.
File polyglot dalam kasus phantompyramid
File yang dikirim oleh penyerang (mungkin grup kepala kuda) memiliki ekstensi .zip dan dapat dibuka dengan aplikasi pengarsipan standar. Tetapi sebenarnya itu adalah file yang dapat dieksekusi biner, di mana ujung arsip kecil ditambahkan. Di dalam arsip ada file pintasan dengan ekstensi ganda .pdf.lnk. Jika korban, yakin bahwa mereka berurusan dengan file PDF reguler, mengkliknya, jalan pintas mengeksekusi skrip PowerShell, yang memungkinkan file .zip berbahaya diluncurkan sebagai file yang dapat dieksekusi, dan juga membuat file PDF umpan di direktori sementara untuk menunjukkannya kepada pengguna.
Bagaimana tetap aman
Untuk mencegah peluncuran kode berbahaya, kami sarankan untuk melengkapi semua komputer yang memiliki akses internet solusi keamanan yang andal. Selain itu, karena sebagian besar serangan siber dimulai dengan email rekayasa berbahaya atau sosial, bukan ide yang buruk untuk memasang solusi keamanan di tingkat gateway surat perusahaan.
Dan untuk memiliki data terkini tentang teknik, taktik, dan prosedur penyerang, kami sarankan menggunakan data ancaman yang disediakan oleh kami Layanan Ancaman Intelijen.