NanoCore RAT Memanfaatkan Windows Task Scheduler untuk Menangkap Ketikan dan Tangkapan Layar

2025-02-11 14:15:21 | Sumber : https://cyberpress.org/nanocore-rat-exploits-windows-task-scheduler/

Pada tanggal 10 Februari 2025, analisis mendalam mengenai NanoCore Remote Access Trojan (RAT) mengungkapkan teknik canggih yang digunakan malware ini untuk mengeksploitasi sistem Windows. NanoCore dikenal luas karena kemampuannya dalam spionase dan pencurian data.

Teknik Obfuscation dan Deobfuscation

  • Identifikasi Sample: Sample NanoCore yang dianalisis memiliki hash MD5 18B476D37244CB0B435D7B06912E9193.
  • Penggunaan Eazfuscator: Malware ini menggunakan Eazfuscator untuk menghalangi rekayasa balik.
  • Deobfuscation: Dengan menggunakan de4dot, peneliti berhasil mendekode kode tersebut, mengungkap struktur dan fungsionalitasnya.

Persistensi Melalui Windows Task Scheduler

  • Penggunaan schtasks.exe: NanoCore memanfaatkan Windows Task Scheduler untuk mempertahankan persistensi.
  • Penyimpanan di Direktori Tersembunyi: Malware ini menyalin dirinya ke direktori tersembunyi dan membuat entri registri di HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
  • Lokasi File: Komponen disimpan di direktori seperti C:\Program Files (x86)\SAAS Monitor dan C:\Users\User\AppData\Roaming.

Kemampuan Ekstraksi Data yang Kuat

  • Pengambilan Data: NanoCore dapat menangkap ketikan, data clipboard, dan tangkapan layar, menyimpannya secara lokal sebelum mengirimkannya ke server Command-and-Control (C2).
  • Analisis Jaringan: Terungkap bahwa malware ini terhubung ke domain simpletest.ddns.net dan Google DNS (8.8.8.8) melalui port 9632.

Arsitektur Modular dan Plugin

  • Fleksibilitas: Arsitektur modular NanoCore memungkinkan penyerang untuk memperluas kemampuannya melalui plugin.
  • Plugin SurveillanceEx: Plugin ini meningkatkan fitur spionase, seperti menangkap tangkapan layar dan memantau aktivitas pengguna.

Indikator Kompromi (IOCs)

  • File Hash: 18B476D37244CB0B435D7B06912E9193
  • Kunci Registri: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\saasmon.exe
  • Lokasi File:
    • C:\Program Files (x86)\SAAS Monitor\saasmon.exe
    • C:\Users\User\AppData\Roaming\81E42A3A-6BA0-4784-B7EC-E653E9E1A8ED
  • Indikator Jaringan:
    • Domain C2: simpletest.ddns.net
    • IP: 8.8.8.8
    • Port: 9632

Kesimpulan

NanoCore RAT merupakan contoh ancaman yang terus berkembang dari malware modular. Kemampuannya untuk mengeksploitasi Windows Task Scheduler untuk persistensi, ditambah dengan teknik ekstraksi data yang canggih, menjadikannya risiko signifikan bagi organisasi.

Rekomendasi: Kewaspadaan melalui pemantauan jaringan, intelijen ancaman, dan langkah-langkah keamanan proaktif sangat penting untuk mengurangi ancaman semacam ini secara efektif.