Ancaman Malware canggih saat ini menggunakan Teknik Injeksi Kode yang kuat yang disebut “Early Bird ” yang membantu untuk menghindari deteksi oleh perangkat lunak Anti-Malware.

Teknik injeksi kode memungkinkan malware menyuntikkan kode berbahaya ke dalam proses yang sah dan berjalan sebelum titik masuk dari proses dalam ancaman Utama.

Teknik Baru ini menyalahgunakan produk anti-malware untuk menghindari deteksi sejak proses injeksi berbahaya dimulai lebih awal sebelum Anti-Malware memulai proses pemindaiannya.

Karena kode berbahaya telah disuntikkan sebelum titik masuk dari proses yang sah, anti Malware scan hanya melakukan proses yang dilegitimisasi sehingga mengaburkan eksekusi kode berbahaya.

Berbagai Malware baru menggunakan teknik ini seperti DorkBot untuk menghindari deteksi dan kompromi komputer yang ditargetkan.

Bagaimana cara kerja Early Bird

Injeksi Early Bird Code dimulai dengan membuat proses yang ditangguhkan (proses baru yang dijalankan dan dilanjutkan dalam proses yang sedang berjalan) dan proses yang ditangguhkan ini ( svchost.exe ) kemungkinan besar adalah proses windows yang sah.

Setelah proses yang ditangguhkan ( svchost.exe ) akan dibuat maka malware mengalokasikan memori dan menulis kode berbahaya ke proses itu.

Setelah alokasi memori yang diperlukan, itu Menulis kode Berbahaya ke dalam ruang memori yang dialokasikan juga disebut infeksi proses berongga.

Kemudian Antrian itu panggilan prosedur asynchronous (APC) untuk mengeksekusi kode pada utas utama dan melanjutkan thread untuk eksekusi dan alamat awal menunjuk ke titik masuk kode berbahaya.

Early Bird

Menurut Microsoft,  Ketika APC mode pengguna diantrekan, benang yang antri tidak diarahkan untuk memanggil fungsi APC kecuali jika dalam keadaan siaga” sehingga APC akan berada dalam status siaga untuk mengeksekusi APC.

Menurut Penelitian cyberbit, “thread bahkan belum memulai eksekusinya karena proses itu dibuat dalam keadaan ditangguhkan. Bagaimana malware “tahu” bahwa untaian ini akan dapat dikosongkan pada titik tertentu? Apakah metode ini bekerja secara eksklusif pada svchost.exe atau apakah itu akan selalu berfungsi ketika proses dibuat dalam keadaan ditangguhkan? ”

Dalam hal ini, Malware dapat menyalahgunakan proses lain juga dan peneliti menganalisis proses yang mengungkapkan saat melanjutkan ancaman utama dan memuat kode berbahaya dalam tahap awal inisialisasi rangkaian, sebelum banyak produk keamanan menempatkan kaitnya yang memungkinkan malware melakukan tindakan jahat tanpa terdeteksi.

Video injeksi kode Early Bird

uzie......borot

Saya ini blogger paruh waktu asal Cilacap. Pekerjaan utama saya saat ini hanyalah tukang pijit di salah satu mall di Bogor.
ARTIKEL LAINYA:  Pengertian dan cara kerja virus trojan dalam dunia hacking

uzie......borot

Saya ini blogger paruh waktu asal Cilacap. Pekerjaan utama saya saat ini hanyalah tukang pijit di salah satu mall di Bogor.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *