[PERINGATAN KEAMANAN] HIDDEN COBRA – Trojan Korea Utara: Volgmer
    Dec. 15, 2017, 6:38 a.m. Posted by: aka56

    —------------------------------------------------------------------—

    PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

    Nomor: IDCERT 2017 – 0003

    Tanggal:15 DES 2017

    Diperbaharui: -

    Dibuatkan oleh: Muhammad Bainul Haqi

    =============================================

     

    HIDDEN COBRA – Trojan Korea Utara: Volgmer

     

    Sistem yang Terdampak

    Sistem Jaringan

    Garis Besar

    Peringatan Keamanan ini merupakan hasil upaya dari Department of Homeland Security (DHS) dan Federal Bureau of Investigation (FBI). DHS dan FBI bekerja sama dengan mitra pemerintah Amerika lainnya mengidentifikasi alamat IP dan indikator lainnya (IOC) yang terkait dengan varian malware Trojan yang digunakan pemerintah Korea Utara – yang dikenal dengan nama Volgmer. Pemerintah A.S. menghubungkan aktivitas cyber berbahaya oleh pemerintah Korea Utara dengan HIDDEN COBRA. Untuk informasi lainnya mengenai aktivitas HIDDEN COBRA, kunjungi https://www.us-cert.gov/hiddencobra.

    FBI menemukan bahwa pelaku HIDDEN COBRA menggunakan alamat IP-tercantum dalam file IOC-untuk mempertahankan kedudukan di jaringan korban dan untuk eksploitasi lebih lanjut. DHS dan FBI mendistribusikan alamat IP ini untuk membantu pertahanan jaringan dan mengurangi paparan aktivitas cyber berbahaya oleh pemerintah Korea Utara.

    Berikut adalah File IOC yang dapat dilihat:

    https://www.us-cert.gov/sites/default/files/publications/TA-17-318B-IOCs.csv

    https://www.us-cert.gov/sites/default/files/publications/TA-17-318B-IOCs.xml

    NCCIC melakukan analisis terhadap lima file yang terkait atau diidentifikasi sebagai malware Volgmer dan menghasilkan Malware Analysis Report (MAR). MAR-10135536-D meneliti taktik, teknik, dan prosedur yang dapat diamati. Untuk salinan MAR yang dapat didownload, lihat:

    https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF

    https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_stix.xml

    Deskripsi

    Volgmer adalah Trojan backdoor yang dirancang untuk memberikan akses rahasia ke compromised system. Sejak setidaknya 2013, pelaku HIDDEN COBRA telah diamati menggunakan malware Volgmer untuk menarget pemerintah, keuangan, industri otomotif, dan media.

    Diduga bahwa spear phishing adalah mekanisme penyampaian utama untuk infeksi Volgmer: Namun, pelaku HIDDEN COBRA menggunakan serangkaian tools buatan sendiri, beberapa diantaranya bisa digunakan untuk memulai compromised system. Oleh karena itu, ada kemungkinan malware HIDDEN COBRA tambahan dapat hadir pada infrastruktur jaringan yang dikompromikan dengan Volgmer.

    Pemerintah A.S. telah menganalisis infrastruktur Volgmer dan telah mengidentifikasinya pada sistem yang menggunakan alamat IP dinamis dan statis. Sedikitnya 94 alamat IP statis dan dinamis yang terdaftar di berbagai negara berhasil diidentifikasi. Titik konsentrasi dari alamat IP dinamis yang diidentifikasikan dapat dilihat di bawah ini dengan perkiraan presentase:



    • India (772 IPs) 25,4 persen




    • Iran (373 IPs) 12,3 persen




    • Pakistan (343 IPs) 11,3 persen




    • Saudi Arabia (182 IPs) 6 persen




    • Taiwan (169 IPs) 5,6 persen




    • Thailand (140 IPs) 4,6 persen




    • Sri Lanka (121 IPs) 4 persen




    • China (82 IPs, termasuk Hong Kong (12)) 2,7 persen




    • Vietnam (80 IPs) 2,6 persen




    • Indonesia (68 IPs) 2,2 persen




    • Russia (68 IPs) 2,2 persen



     

    Detail Teknis

    Sebagai Trojan backdoor, Volgmer memiliki beberapa kemampuan termasuk diantaranya: mengumpulkan informasi sistem, memperbarui kunci registri layanan, mengunduh dan mengunggah file, menjalankan perintah, menghentikan proses, dan mencantumkan direktori. Dalam salah satu sampel yang diterima untuk dianalisis, tim analisis menemukan fungsi pengendali botnet.

    Volgmer payloads teramati dalam bentuk 32-bit sebagai file executable (.exe) atau dynamic-link library (.dll). Malware ini menggunakan protokol biner khusus untuk berkomunikasi dengan command and control (C2) server, seringkali melalui port TCP 8080 atau 8088, dengan beberapa payloads menerapkan Secure Socket Layer (SSL) untuk mengaburkan komunikasi.

    Pelaku kejahatan biasanya mempertahankan eksistensinya di dalam sistem korban dengan menginstal malware sebagai service. Volgmer melakukan query pada sistem dan secara acak memilih service untuk menginstall salinan dirinya sendiri. Malware ini kemudian menimpa entri ServiceDLL di entri registri layanan yang dipilih. Dalam beberapa kasus, pelaku HIDDEN COBRA memberikan service buatan tersebut nama pseudo-random yang bisa terdiri dari berbagai kata yang di-hardcoded.

    Deteksi dan Respon

    Berkas IOC menyediakan indikator HIDDEN COBRA terbaru yang terkait dengan Volgmer. DHS dan FBI merekomendasikan agar administrator jaringan meninjau informasi yang diberikan, mengidentifikasi apakah alamat IP yang diberikan termasuk dalam ruang alamat IP yang dialokasikan organisasi mereka, dan-jika ditemukan-mengambil tindakan yang diperlukan untuk menghapus malware tersebut.

    Saat meninjau log perimeter jaringan untuk alamat IP, mungkin menemukan contoh alamat IP yang mencoba terhubung ke sistem mereka. Setelah meninjau lalu lintas dari alamat IP ini, pemilik sistem mungkin menemukan beberapa lalu lintas terkait dengan aktivitas berbahaya dan beberapa lalu lintas terkait dengan aktivitas yang sah.

    Network Signatures dan Host-Based Rules

    Bagian ini berisi network signature dan host-based rules yang dapat digunakan untuk mendeteksi aktivitas berbahaya yang terkait dengan HIDDEN COBRA. Meski dibuat dengan menggunakan proses pemeriksaan yang komprehensif, kemungkinan false positive tetap ada. Rules dan signature ini harus digunakan sebagai pelengkap dari analisis dan tidak boleh digunakan sebagai satu-satunya sumber untuk menghubungkan aktivitas ini dengan HIDDEN COBRA.

    Network Signatures

    alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)

     

    YARA Rules

    rule volgmer

    {

    meta:

        description = "Malformed User Agent"

    strings:

        $s = "Mozillar/"

    condition:

        (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s

    }

     

    Dampak

    Intrusi jaringan yang berhasil dapat berdampak berat pada korban, apalagi jika informasi sensitif terekspos dan menjadi konsumsi publik. Kemungkinan dampaknya meliputi



    • Kehilangan informasi sensitif atau yang dimiliki untuk sementara waktu bahkan selamanya




    • Mengganggu kegiatan kerja harian




    • Kerugian finansial yang timbul untuk memulihkan sistem dan file




    • Berpotensi merusak reputasi organisasi



    Solusi

    Strategi Mitigasi

    DHS merekomendasikan agar pengguna dan administrator menggunakan hal-hal berikut sebagai tindakan pencegahan untuk melindungi jaringan komputer mereka:



    • Gunakan whitelisting aplikasi untuk mencegah perangkat lunak berbahaya dan program yang tidak diinginkan berjalan. Whitelisting aplikasi adalah salah satu strategi keamanan terbaik karena hanya mengizinkan program tertentu yang dijalankan, sementara memblokir semua yang lain, termasuk perangkat lunak berbahaya.




    • Jaga agar sistem operasi dan perangkat lunak tetap up-to-date dengan patch terbaru. Aplikasi dan sistem operasi yang lemah merupakan target serangan yang paling banyak. Melakukan update terbaru membantu mengurangi titik masuk yang dapat dieksploitasi oleh penyerang.




    • Update antivirus terbaru dan pindai semua perangkat lunak yang di-download dari internet sebelum dijalankan.




    • Batasi kemampuan pengguna(permission) untuk menginstal dan menjalankan aplikasi perangkat lunak yang tidak diinginkan, dan terapkan prinsip “hak istimewa” untuk semua sistem dan layanan. Membatasi hak ini dapat mencegah malware bekerja atau membatasi kemampuannya untuk menyebar melalui jaringan.




    • Hindari mengaktifkan makro dari lampiran email. Jika pengguna membuka lampiran dan mengaktifkan makro, kode yang disematkan dapat mengaktifkan malware. Bagi perusahaan atau organisasi, mungkin sebaiknya memblokir pesan email dengan lampiran dari sumber yang mencurigakan.




    • Jangan mengklik tautan web yang tidak jelas pada email.



    Respon kepada Unauthorized Network Access

     

    Kirimkan komplain insiden yang terjadi ke <cert@cert.or.id>

    http://www.cert.or.id/

    Contact Desk: (+62)889-1400-700

     

    Referensi

    https://www.us-cert.gov/ncas/alerts/TA17-318B