Banyak versi Malware Vawtrak Perbankan tergantung pada alamat IP kode keras untuk komando dan kendali operasi mereka. Namun, pendekatan ini membuat domain (yang digunakan untuk mentransfer perintah ke mesin yang dikompromikan dan terinfeksi) yang relatif lebih mudah untuk mengidentifikasi melalui teknik analisis ancaman.
Teknik lain untuk meningkatkan ketahanan Vawtrak Malware melibatkan algoritma generasi DGA atau domain. DGA menciptakan set nama domain yang menggunakan malware untuk menerima perintah.
Hanya rasio kecil domain ini terdaftar oleh penjahat cyber di web karena Vawtrak memeriksa setiap nama sampai respon yang diperlukan tercapai.
Fortinet Raul Alvarez menjelaskan cara ini bagian dari karya malware. Menurut Alvarez, kode Vawtrak melibatkan beberapa nilai DWOTD, yang sesuai judul domain yang berbeda.
Dalam posting blog-nya Alvarez menyatakan:
"Setiap nilai DWORD adalah benih yang digunakan untuk menghasilkan nama domain. Biji ini disimpan sebagai nilai tetap dalam kode malware, sehingga menghasilkan nama-nama pseudo-acak sama domain. Untuk menghasilkan nama domain yang sesuai, Vawtrak menggunakan benih untuk menghasilkan karakter pseudo-acak dari nama domain. "
Namun, para peneliti dapat dengan mudah menemukan string yang dihasilkan oleh algoritma melanggar dan karena itu, ini bukan teknik bisa salah.
Versi baru dari ancaman tergantung pada Tor2Web. Ini adalah proxy yang menciptakan link langsung ke server Tor tanpa menggunakan alat tambahan.
String yang bisa dibuat oleh DGA adalah untuk lokasi Tor dan fungsi telah diimplementasikan oleh penulis yang mentransfer kemudian di layanan proxy Tor2Web.
Hal ini meskipun mungkin untuk melacak pengguna yang mencoba untuk terhubung ke layanan proxy ini Namun, sambungan dibuat setelah tidak dapat dilacak. Ini terjadi begitu karena lalu lintas Tor dienkripsi dan menggunakan berbagai mesin untuk rute itu. Mesin ini tidak menyimpan data lalu lintas termasuk asal-usul dan tujuan. Oleh karena itu, pengguna dapat mengakses server dengan anonimitas lengkap.
Vawtrak Malware melibatkan mekanisme perlindungan ganda misalnya, menonaktifkan antivirus, yang mengapa itu berhasil menghindari deteksi dan analisis. Setelah mesin dikompromikan dapat mencuri data pribadi dan aktivitas pengguna merekam atau tindakan seperti screenshot, keystrokes dan video.
Operator Vawtrak jarak jauh dapat mengakses sistem melalui saluran VNC. Operator dapat dengan mudah memodifikasi sesi web dengan menyuntikkan konten palsu untuk mengumpulkan password rekening bank online serta semua kode-kode lain yang diperlukan untuk mengakses akun tersebut.
0komentar:
Post a Comment