Backdoor SmokeLoader adalah aplikasi berbahaya yang bertujuan untuk memberikan akses jarak jauh kepada penyerang ke PC Anda. Tujuan umum dari akses tersebut dalam kasus backdoor ini adalah untuk mengunduh berbagai jenis malware lainnya. Meskipun sudah sangat tua, backdoor ini masih sulit ditangani dan tetap aktif dan populer dalam serangan dengan berbagai profil. Mari kita lihat mengapa SmokeLoader begitu kuat meskipun usianya yang sudah tua.
Apa itu malware backdoor?
Sebelum membahas analisis SmokeLoader, mari kita lihat apa itu backdoor. Jenis malware ini memiliki sejarah yang panjang dan berliku, dan saat ini merupakan ancaman yang sangat serius. Sasaran utama dari malware backdoor adalah menciptakan jalan bagi para penjahat siber untuk terhubung secara jarak jauh ke PC target dan melakukan berbagai tindakan yang memungkinkan. Untuk tujuan tersebut, mereka tidak segan menggunakan kerentanan dalam sistem yang ditargetkan, serta menyisipkan diri ke dalam sistem sebagai trojan.
Penggunaan utama untuk komputer yang terinfeksi backdoor adalah partisipasinya dalam botnet. Jaringan besar sistem zombie yang melakukan serangan DDoS, mengirimkan email spam, dan melakukan aktivitas jahat lainnya sudah dikenal selama dekade terakhir. Untuk tujuan itu, penjahat menggunakan backdoor otomatis – yang membutuhkan perintah minimum dari server kontrol dan komando dan dapat berjalan sendiri. Aplikasi lain dari backdoor – tepatnya, yang dikendalikan secara manual – adalah pencurian data dan implementasi malware. Karena pada kasus terakhir backdoor berfungsi sebagai lokomotif untuk muatan jahat, terkadang diklasifikasikan sebagai worm.
Deskripsi malware SmokeLoader
Backdoor SmokeLoader pertama kali muncul pada tahun 2014 – di awal era ransomware. Hanya sedikit malware lain yang dapat membanggakan tetap aktif selama 8 tahun setelah diluncurkan. Backdoor ini memiliki banyak fitur yang memungkinkannya tetap relevan meskipun usianya sudah tua. Pertama dan terutama, ukurannya sangat kecil – payload hanya sekitar 30 kilobita. Malware reguler dari jenis itu biasanya memiliki ukuran file paling tidak 100 KB, biasanya sekitar 150-200 kilobita. Itu sudah membuatnya lebih mudah untuk ditangani dalam sistem yang terlindungi, karena beberapa aturan YARA yang digunakan untuk mendeteksi malware memperhatikan ukuran file.
Tawarkan untuk membeli SmokeLoader di forum Darknet
Salah satu fitur lain yang membedakan SmokeLoader dari yang lain adalah bahwa ia ditulis dalam bahasa C dan Assembly. Kedua bahasa tersebut adalah bahasa tingkat rendah, yang menunjukkan kemampuannya untuk menggali sangat dalam ke dalam sistem. Kode pasti dari backdoor ini sangat tersembunyi. Ini merupakan tindakan efektif melawan program anti-malware, tetapi saat ini setiap jenis penyamaran yang terdeteksi dianggap berbahaya. Saat ini, hal itu hanya membuat membalik rekayasa malware ini menjadi lebih sulit.
Fitur kunci dari backdoor ini terkait dengan fungsi loader-nya, seperti yang mungkin Anda duga dari namanya. Sebagian besar waktu, SmokeLoader digunakan untuk mengirimkan malware lain ke sistem yang terinfeksi. Namun, itu bukanlah satu-satunya tujuan dari malware ini – pengembangan yang berkelanjutan membawa kemampuan untuk menggunakannya sebagai alat pencurian. Ini juga cocok untuk implementasi botnet – tetapi hanya ada beberapa kasus penggunaan seperti itu. Ini masih menerima pembaruan setiap tahun, jadi fungsionalitasnya dapat diperluas di masa depan.
Analisis teknis SmokeLoader
Paket awal dari malware SmokeLoader hanya berisi fungsi dasar – menyediakan koneksi jarak jauh ke PC yang terinfeksi. Pengambilan data, pemantauan proses, modul DDoS, dan sebagainya harus diinstal setelahnya. Secara keseluruhan, reverse engineering menunjukkan bahwa ada 9 modul berbeda yang dapat ditangani oleh SmokeLoader secara bersamaan.
| Nama modul | Fungsionalitas |
| Pengambil formulir | Perhatikan formulir di jendela yang terbuka untuk mendapatkan kredensial |
| Pelacak kata sandi | Memantau paket Internet yang masuk dan keluar untuk mengendus kredensial |
| DNS palsu | Modul untuk memalsukan permintaan DNS. Mengarahkan pengalihan lalu lintas ke situs yang Anda butuhkan |
| Penyadap kunci (keylogger) | Mencatat semua penekanan tombol di lingkungan yang terinfeksi |
| Procmon | Modul pemantauan proses, mencatat proses yang berjalan di dalam sistem |
| Pencarian file | Alat pencarian file |
| Perampas email | Mengambil buku alamat Microsoft Outlook |
| PC jarak jauh | Kemampuan untuk membuat kendali jarak jauh yang serupa dengan utilitas akses jarak jauh (seperti TeamViewer) |
| DDoS | Memaksa PC yang terinfeksi untuk ikut serta dalam serangan DDoS pada server yang ditunjuk |
Payload dari malware ini selalu dikemas dengan cara yang unik. Satu sampel digunakan oleh sekelompok kecil pengguna, sehingga menemukan sampel yang sama di dunia nyata tidaklah mudah. Namun, teknologi ini bukan hal baru – sebagian besar malware melakukan hal yang sama, dan beberapa bahkan menghasilkan sampel yang dikemas secara unik untuk setiap serangan. Selain itu, setelah dikemas, terdapat persyaratan dari distributor untuk mengompresi atau mengenkripsi tambahan sebelum injeksi. Itulah, tepatnya, rantai lain dari tindakan anti-deteksi.
Sistem target menerima sampel SmokeLoader yang sepenuhnya dikemas – itulah yang ada di disk. Semua tahap berikutnya dieksekusi di memori sistem, sehingga pemindaian dengan perangkat lunak anti-malware lama hanya akan mendeteksi sampel yang terkemas dengan sangat dalam. Tahap pertama dari eksekusi SmokeLoader mencakup pemeriksaan wajib yang penting – lokasi sistem yang diserang. Malware ini tidak dapat dijalankan di Commonwealth of Independent States, terlepas dari pengaturan yang Anda lakukan sebelumnya. Pemeriksaan lainnya mencakup pemindaian untuk mesin virtual dan deteksi sandbox. Jika semua hal tersebut terlewati, malware tersebut akan sepenuhnya terdekripsi dan diluncurkan dengan cara biasanya.
Saat berjalan, SmokeLoader menerapkan teknik obfuskasi yang sangat unik. Hampir 80% dari kode-nya dienkripsi sepanjang periode eksekusi. Setiap kali perlu menggunakan fungsi lain, malware ini mendekripsinya sambil mengenkripsi elemen yang digunakan sebelumnya. Aturan YARA, bersama dengan reverse engineering klasik, hampir tidak berguna melawan trik seperti ini. Malware ini memiliki payload 32-bit dan 64-bit yang dimuat dalam sistem dengan arsitektur yang sesuai selama pemeriksaan dari tahap awal hingga eksekusi akhir.
Enkripsi kode di SmokeLoader
File yang tepat yang disimpan di memori saat menjalankan SmokeLoader bukanlah file eksekusi yang valid, karena tidak memiliki header PE. Sebenarnya, kode backdoor ini diwakili sebagai shell code – dan oleh karena itu harus menemukan cara untuk dieksekusi secara manual. Secara umum, perintah rutin yang dieksekusi oleh SmokeLoader, seperti panggilan ke C&C atau unduhan, dilakukan melalui injeksi DLL. Tentu saja, hal ini diperlukan untuk menjaga kestealthan. Paling sering langkah ini melibatkan injeksi DLL atau panggilan konsol yang dibuat dari nama program lain. Para peretas yang mengelola SmokeLoader dapat mengirimkan file .exe dari malware yang ingin mereka instal dan hanya menentukan URL tempat backdoor dapat mendapatkan file tersebut.
Header file SmokeLoader .exe tidak ada – ini bukan file yang dapat dieksekusi yang valid
SmokeLoader IoC
| Indicator | Value |
| С2 URL Addresses | azarehanelle19[.]top quericeriant20[.]top xpowebs[.]ga venis[.]ml paishancho17[.]top mizangs[.]tw mbologwuholing[.]co[.]ug Quadoil[.]ru ydiannetter18[.]top tootoo[.]ga eyecosl[.]ga host-file-host6[.]com host-host-file8[.]com fiskahlilian16[.]top bullions[.]tk |
| IP addresses | 216.128.137.31 8.209.71.53 |
| SHA-256 Hashes | 5318751b75d8c6152d90bbbf2864558626783f497443d4be1a003b64bc2acbc2 79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10 Ebdebba349aba676e9739df18c503ab8c16c7fa1b853fd183f0a005c0e4f68ae Ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a D618d086cdfc61b69e6d93a13cea06e98ac2ad7d846f044990f2ce8305fe8d1b 6b48d5999d04db6b4c7f91fa311bfff6caee938dd50095a7a5fb7f222987efa3 B961d6795d7ceb3ea3cd00e037460958776a39747c8f03783d458b38daec8025 F92523fa104575e0605f90ce4a75a95204bc8af656c27a04aa26782cb64d938d 02083f46860f1ad11e62b2b5f601a86406f7ee3c456e6699ee2912c5d1d89cb9 059d615ce6dee655959d7feae7b70f3b7c806f3986deb1826d01a07aec5a39cf |
Daftar varian SmokeLoader yang tersebar luas
Distribusi malware SmokeLoader
Cara penyebaran utama SmokeLoader bergantung pada spam email, perangkat lunak bajakan, dan keygen. Yang pertama lebih umum, karena lebih mudah dan masih cukup efektif. Dalam kasus ini, malware disembunyikan di dalam lampiran – biasanya file MS Word atau MS Excel. File tersebut berisi makro, dan jika Anda mengizinkan eksekusi makro seperti yang diminta, maka akan terhubung ke server perintah dan menerima payload (sebenarnya, hanya SmokeBot). Namun, analis mengatakan bahwa SmokeLoader muncul lebih sering melalui tautan berbahaya yang terlampir dalam pesan tersebut. Situs melalui tautan tersebut dapat mengandung eksploitasi, terutama teknik cross-site scripting.
Contoh spam email. File berisi makro berbahaya
Menyembunyikan malware di dalam aplikasi bajakan atau keygen/hacktools sedikit lebih sulit tetapi memiliki potensi yang lebih luas. Karena penggunaan perangkat lunak ilegal masih meluas, banyak orang dapat terancam. Tidak semua aplikasi bajakan mengandung malware – tetapi semuanya ilegal, baik bagi pengguna maupun penciptanya. Dengan menggunakannya, Anda mungkin berhadapan dengan tuntutan hukum atas pelanggaran hak cipta. Dan terinfeksi malware dalam kasus tersebut bahkan lebih tidak menyenangkan.
Ketika terjadi infeksi malware, kemunculan SmokeLoader biasanya mengarah pada instalasi berbagai aplikasi berbahaya lainnya. Penjahat yang berhasil membuat botnet kemudian menawarkan kepada distributor malware lain untuk menginfeksi komputer-komputer tersebut dengan apa pun yang mereka inginkan. Itu bisa berupa adware, browser hijacker, spyware, ransomware – tidak ada batasan yang nyata. Di balik tumpukan virus yang besar, para ahli keamanan sering kali melewatkan asal-usul semua kekacauan ini – sehingga SmokeLoader tetap tidak terdeteksi.
SmokeLoader ditawarkan sebagai alat pengiriman malware di forum
Kasus penyebaran terpisah, di mana SmokeLoader tidak bertindak sebagai pendahulu, adalah kombinasinya dengan ransomware STOP/Djvu. Tepatnya, bundel malware yang dikirim ke perangkat termasuk RedLine dan Vidar stealers. Yang pertama bertujuan untuk mencuri kredensial perbankan, yang kedua – informasi dompet kripto. Dengan cara ini atau cara lain, Djvu memberikan kontribusi signifikan dalam prevalensi SmokeLoader, karena merupakan salah satu ransomware paling tersebar dalam kelasnya.
Deskripsi ransomware Djvu
Ransomware STOP/Djvu adalah pemimpin dalam waktu yang lama dalam ransomware yang menyerang pengguna individu. Ia mengadopsi taktik yang memungkinkannya untuk mencakup sebanyak mungkin pengguna – dan itulah yang membuat ransomware ini menduduki posisi pertama, mengambil sekitar 75% dari total jumlah serangan. Namun, sepanjang paruh kedua tahun 2022, aktivitasnya menurun, sehingga para pengembangnya mulai mengganti penurunan tersebut dengan efisiensi muatan mereka. SmokeLoader, bersama dengan dua stealer – Vidar dan RedLine – berperan sebagai sumber pendapatan tambahan. Mereka mencuri kredensial pengguna yang terinfeksi, sehingga para penjahat dapat menjual data tersebut di pasar Darknet.
File yang dienkripsi oleh ransomware STOP/Djvu (varian BOWD)
Lindungi diri Anda dari malware backdoor
Backdoor sangat licik dan sulit terdeteksi, sehingga bahkan pengguna yang paling teliti pun tidak akan menemukannya dengan sendirinya. Dan itu masih merupakan pernyataan yang paling ringan – Anda dapat melihat bahwa backdoor dengan mudah menghindari alat anti-malware dasar. Itulah mengapa hal yang paling penting di sini adalah menjauhkan diri dari cara-cara penyebaran backdoor yang umum. Tidak memberinya kesempatan sama sekali jauh lebih baik daripada mencari cara untuk membuatnya kurang efektif setelah masuk ke sistem Anda.
Spam email, sebagai yang paling populer, menjadi titik perhatian pertama. Untungnya, Anda dapat dengan mudah mengenalinya – spam selalu memiliki tanda-tanda yang berbeda dari email asli. Beberapa surat spam umumnya mengandung kesalahan pengetikan, tata bahasa yang buruk, topik yang sangat aneh, dan desain yang menjijikkan. Pesan spam yang lebih canggih mungkin sangat meyakinkan, tetapi selalu ada tanda-tanda pemalsuan. Misalnya, penjahat tidak akan pernah dapat menggunakan alamat email perusahaan, jadi mereka mencoba menggunakan yang mirip atau bahkan kotak surat acak. Selain itu, tautan dalam pesan kemungkinan besar akan mengarah ke sumber daya eksternal – yang hampir tidak terkait dengan perusahaan yang digunakan sebagai penyamaran.
Software bajakan, keygen, dan hal-hal ilegal serupa adalah jenis hal lain yang harus Anda hindari. Menggunakannya dianggap melanggar hukum dalam sebagian besar kasus, dan kemungkinan adanya malware membuat semuanya menjadi lebih buruk. Penulis perangkat lunak ilegal biasanya mencari cara untuk menghasilkan uang dari pekerjaan mereka – dan hanya hal-hal ilegal yang sama yang muncul. Oleh karena itu, mereka tidak memiliki pilihan lain selain menambahkan malware ke program yang mereka retas. Dan dalam kasus backdoor, Anda mungkin tidak menyadari keberadaannya bahkan setelah jangka waktu yang lama sejak muncul di perangkat Anda. Keju gratis hanya ada dalam perangkap tikus – ingat aturan yang mudah ini.
Gunakan perangkat lunak anti-malware yang baik. Hal yang paling tidak menyenangkan adalah menghadapi musuh tanpa senjata. Langkah-langkah proaktif mungkin baik dan efektif, tetapi kadang-kadang malware datang dari sisi yang tidak terduga. Untuk kasus seperti itu, Anda harus menggunakan perlindungan anti-malware – program canggih yang mampu mendeteksi ancaman terbaru dan paling rumit. GridinSoft Anti-Malware akan menjadi yang terbaik untuk tujuan tersebut – sebagai aplikasi kompleks yang memiliki mekanisme deteksi dari 3 bagian independen. Konsumsi sumber daya yang rendah dan ukurannya yang kecil membuatnya ideal untuk perlindungan PC.
User Review
( votes) 
English 
German 
Japanese 
Spanish 
Portuguese, Brazil 
French 
Turkish 
Chinese (Traditional) 
Korean 
Hindi 
Italian
