Minggu, 09 Februari 2014

[Analisa] Cybergate RAT

Pada artikel ini, saya ingin menganalisa salah satu Trojan yang dideteksi oleh DrWeb dan Nano AntiVirus sebagai CyberGate. Cybergate adalah software Remote Administration Tool (RAT) berbayar yang dibuat oleh Cyber Software,meksipun begitu jika anda menjadi "korban" dari aksi Cybergate ini sangatlah tidak menyenangkan =)).

Cybergate ini persistence di memory sehingga sulit di remove secara manual, jika anda ingin mendeteksinya secara manual, anda bisa membaca artikel saya sebelumnya di Mendeteksi virus atau malware di memory.

Detail file CyberGate
Nama file : server.exe
Size : 568.0 KB ( 581632 bytes )
Compiler : VB 6
Platform : Win32
Hash MD5 : 57e19566a3963c6a04a607bab82e600c
Original Name : sabusa apurera.exe

Aksi

Ketika aktif di memory, CyberGate akan menginjeksi process IEXPLORE.EXE seperti gambar di bawah ini




Tidak hanya proses iexplore.exe, CyberGate juga menginjeksi process explorer.exe, sehingga process removal secara manual cukup sulit. Jika anda men-terminate process iexplore.exe, maka iexplore.exe akan aktif kembali, begitu pula jika anda men-terminate process explorer.exe.



Mencopy Diri 
 %WINDOWS%\system32\install\server.exe

Membuat File 
%Documents and Settings%\%user name%\Local Settings\Temp\UuU.uUu
keterangan : berisi date time saat file di jalankan

%Documents and Settings%\%user name%\Local Settings\Temp\XxX.xXx
keterangan : file yang digunakan oleh proses iexplore.exe yang di injeksi dan tidak bisa dicopy, dihapus dan sebagainya

Membuat Items Startup
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{RXXSXM0J-LB1Q-0QQ4-3R77-826WB7X34JES}\StubPath: "C:\WINDOWS\system32\install\server.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM: "C:\WINDOWS\system32\install\server.exe"

HKU\S-1-5-21-117609710-1532298954-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies: "C:\WINDOWS\system32\install\server.exe"

HKU\S-1-5-21-117609710-1532298954-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\HKCU: "C:\WINDOWS\system32\install\server.exe"

Membuat Key
HKU\S-1-5-21-117609710-1532298954-682003330-500\Software\victims

Membuat Value
HKU\S-1-5-21-117609710-1532298954-682003330-500\Software\victims\FirstExecution: "%date and time%"
HKU\S-1-5-21-117609710-1532298954-682003330-500\Software\victims\NewIdentification: "victims"


Melakukan Koneksi
36.76.58 [dot] 136 , port 81



Membuat Mutex
***MUTEX***
***MUTEX***_PERSIST

Hasil Dump Memory
0x240a8e58 (10): myshutdown
0x240a8efc (10): audiostop|
0x240aa3f8 (11): keyboardkey
0x240aa40c (14): webcaminactive
0x240aa424 (15): webcamgetbuffer
0x240aa4bc (10): disconnect
0x240aa4e4 (14): renameservidor
0x240aa574 (14): resumetransfer
0x240aa58c (12): listardrives
0x240aa5e0 (10): deletardir
0x240aa608 (11): renomeardir
0x240aa630 (10): criarpasta
0x240aa644 (12): desktoppaper
0x240aa694 (11): procurararq
0x240aa6a8 (13): getsharedlist
0x240aa6c0 (11): downloadrec
0x240aa6d4 (11): downloaddir
0x240aa6e8 (15): downloaddirstop
0x240aa700 (16): changeattributes
0x240aa740 (15): keyloggergetlog
0x240aa758 (17): keyloggereraselog
0x240aa774 (15): keyloggerativar
0x240aacb4 (12): msnconectado
0x240aad5c (14): audiogetbuffer
x240bf930 (10): getfirefox
0x240bf944 (10): getielogin
0x240bf9e0 (28): getpassword|getpasswordlist|
0x240bfa08 (29): getpassword|getpassworderror|

Karena dampak Trojan ini cukup berbahaya, tetap aktifkan Proteksi Real-Time AntiVirus anda dan tetap update virus definitionnya.Berdasarkan hasil scan di VirusTotal disini, ClamAV belum mendeteksinya.


Semoga Bermanfaat

Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.

0 komentar:

Posting Komentar

(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers