Malware ‘Bip’ tersembunyi baru sangat berfokus pada menghindari deteksi

Malware tersembunyi baru bernama ‘Beep’ ditemukan minggu lalu, menampilkan banyak fitur untuk menghindari analisis dan deteksi oleh perangkat lunak keamanan.

Malware ditemukan oleh analis di Minerva setelah banyak sampel diunggah ke VirusTotal, platform online untuk pemindaian file dan deteksi konten berbahaya.

Meskipun Beep masih dalam pengembangan dan kehilangan beberapa fitur utama, saat ini memungkinkan pelaku ancaman untuk mengunduh dan mengeksekusi muatan lebih lanjut pada perangkat yang disusupi dari jarak jauh.

Pencuri info baru sedang dibuat

Beep adalah malware pencuri informasi yang menggunakan tiga komponen terpisah: penetes, injektor, dan muatan.

Penetes (“big.dll”) membuat kunci registri baru dengan nilai ‘AphroniaHaimavati’ yang berisi skrip PowerShell yang disandikan base64. Skrip PowerShell ini diluncurkan setiap 13 menit menggunakan tugas terjadwal Windows.

Saat skrip dijalankan, ia akan mengunduh data dan menyimpannya ke injektor bernama AphroniaHaimavati.dll, yang kemudian diluncurkan.

Injektor adalah komponen yang menggunakan berbagai teknik anti-debugging dan anti-vm untuk menyuntikkan muatan ke dalam proses sistem yang sah (“WWAHost.exe”) melalui proses lekukan untuk menghindari deteksi dari alat anti-virus yang berjalan di host.

Terakhir, muatan utama mencoba mengumpulkan data dari mesin yang disusupi, mengenkripsinya, dan mengirimkannya ke C2. Selama analisis Minerva, alamat C2 yang di-hardcode sedang offline, tetapi malware mencoba melakukan koneksi bahkan setelah 120 percobaan gagal.

​

Terlepas dari keterbatasan dalam analisis malware, Minerva masih dapat mengidentifikasi fungsi-fungsi berikut dalam sampel, yang dipicu oleh perintah C2:

• pengimbang – belum diimplementasikan
• init – belum diimplementasikan
• tangkapan layar – muncul untuk mengumpulkan daftar proses
• tugas – belum diimplementasikan
• menghancurkan – belum diimplementasikan
• shellcode – mengeksekusi kode shell tambahan
• dll – mengeksekusi file dll
• exe – mengeksekusi file .exe
• Tambahan – mengumpulkan info tambahan
• knock_timeout – mengubah interval C&C “keep-alive”.

Menghindari deteksi

Apa yang membuat malware Beep menonjol adalah penggunaan berbagai teknik di seluruh aliran eksekusinya untuk menghindari deteksi dan analisis oleh perangkat lunak dan peneliti keamanan.

Teknik penghindaran ini dirangkum di bawah ini:

1. Deobfuscation string dinamis – Menyembunyikan string penting dan menyalin hex byte ke dalam memori. Bip menghilangkannya saat dibutuhkan menggunakan instruksi perakitan xor/sub/add/not.
2. Pemeriksaan Bahasa Sistem – Bip akan memeriksa bahasa sistem default dan keluar jika bahasa Rusia, Ukraina, Belarusia, Tajik, Slovenia, Georgia, Kazakh, dan Uzbek (Sirilik) terdeteksi.
3. Implementasi perakitan fungsi IsDebuggerPresent API – Memeriksa apakah debugger mode pengguna sedang men-debug proses saat ini.
4. Bidang anti-debugging NtGlobalFlag – Tentukan apakah debugger membuat proses.
5. instruksi RDTSC – Tentukan kutu CPU sejak reset untuk menentukan apakah itu berjalan di VM.
6. Daftar Segmen Tumpukan – Mendeteksi jika program sedang dilacak.
7. Anti-vm CPUID – Dapatkan string Merek Hypervisor dan periksa apakah itu mengandung bagian dari kata ‘VMware.’
8. Kunci registri VBOX anti-vm – Periksa keberadaan kunci registri terkait VM.
9. Fungsi Bip API anti-kotak pasir – Bergantian dengan ‘Sleep API function’, ini menghasilkan nada bip pada speaker sambil menunda eksekusi malware (peringatan menunggu) untuk menghindari deteksi kotak pasir.

Selain hal di atas, komponen injektor juga menerapkan teknik penghindaran berikut:

1. INT 3 anti-debug – Hasilkan pengecualian yang akan memaksa debugger berhenti bekerja.
2. INT 2D anti-debugging – Hasilkan pengecualian yang akan memaksa debugger berhenti bekerja.
3. CheckRemoteDebuggerPresent() API anti-debugging – Menentukan apakah debugger terpasang pada proses saat ini.
4. IsDebuggerPresent() API anti-debugging – Tentukan apakah debugger mode pengguna sedang men-debug proses saat ini.
5. ProcessDebugPort anti-debugging – Tentukan nomor port debugger untuk proses tersebut.
6. VirtualAlloc() / GetWriteWatch() anti-debugging – Lacak halaman yang ditulis dalam memori untuk mendeteksi debugger dan hook.
7. OutputDebugString() anti-debugging – Teknik deteksi debugger mengandalkan hasil pengembalian panggilan.
8. QueryPerformanceCounter() dan GetTickCount64() anti-debugging – Ukur penundaan antara instruksi dan eksekusi untuk menentukan apakah debugger berjalan di sistem.

Bip adalah contoh malware yang sangat berfokus pada penghindaran, setelah menerapkan beberapa mekanisme anti-analisis sebelum menyelesaikan kumpulan fitur lengkap untuk pencurian data dan pelaksanaan perintah.

Meskipun operasinya di alam liar tetap terbatas untuk saat ini, Bip mungkin menjadi ancaman yang harus diwaspadai.