Thursday, May 17, 2012

2 Duqu Trojan Gunakan Bahasa Pemrograman Tak Dikenal

Date: Thursday, May 17, 2012 5:12 AM
Category:
Author: kasepogi
Share:
Responds: 2 Comment
Beberapa waktu belakangan, Duqu Trojan semakin populer sebagai malware yang berbahaya pengincar data intelijen. Duqu ditemukan pertama kali pada September 2011. Namun menurut Kaspersky Lab, jejak Duqu sudah terlacak sejak Agustus 2007. Kaspersky Lab menemukan bahwa Duqu Trojan ditulis dalam bahasa pemrogaman yang tidak dikenal. Duqu merupakan Trojan canggih yang diciptakan oleh orang yang sama yang membuat Stuxnet. Malware ini memiliki tujuan sebagai backdoor sebuah sistem dan memfasilitasi pencurian data rahasia.

Kaspersky mencatat korban terbesar berada di Iran. Duqu umumnya mencari informasi mengenai sistem manajemen produksi di berbagai sektor industri, juga informasi mengenai hubungan dagang antara beberapa perusahaan di Iran.

Misteri terbesar Duqu Trojan yang belum terpecahkan adalah bagaimana program ini berkomunikasi dengan server Command and Control (C&C) saat berhasil menginfeksi korban. Modul Duqu yang berperan untuk berinteraksi dengan C&C adalah bagian dari Payload DLL Duqu. Setelah analisis komprehensif atas Payload DLL, peneliti Kaspersky Lab menemukan ada bagian khusus di dalam Payload DLL, yang khusus berkomunikasi dengan C&C, ditulis dalam bahasa pemrograman yang tak dikenal. Peneliti Kaspersky Lab menamakan bagian yang tak dikenal ini sebagai “Duqu Framework”.

Tidak seperti Duqu lainnya, Duqu Framework tidak ditulis dengan C++ dan tidak terkompilasi dengan Visual C++ 2008 milik Microsoft. Kemungkinan pembuatnya menggunakan framework in-house untuk menghasilkan intermediary C code, atau menggunakan bahasa pemrograman yang sama sekali berbeda. Namun, peneliti Kaspersky Lab telah menyatakan bahwa bahasa tersebut adalah object-oriented dan melakukan sejumlah kegiatan yang sesuai dengan aplikasi network.
Bahasa Framework Duqu sangat spesial dan memungkinkan Payload DLL untuk beroperasi secara independen dengan modul Duqu lainnya dan menghubungkannya dengan C&C melalui beberapa jalur seperti Windows HTTP, network sockets dan proxy server. Ia juga memungkinkan Payload DLL memproses permintaan server HTTP langsung dari C&C, secara diam-diam memindahkan duplikat informasi yang dicuri dari perangkat yang terinfeksi ke C&C, bahkan bisa mendistribusikan payload berbahaya lain ke dalam perangkat lain dalam  jaringan, dan menciptakan bentuk terkontrol dan laten yang menyebarkan infeksi ke komputer lain.

“Melihat besarnya Duqu project, mungkin yang membuat framework Duqu adalah tim tersendiri yang berbeda dari grup yang menciptakan driver dan yang menulis sistem infeksi yang dieksploitasi,” ujar Alexander Gostev, Chief Security Expert Kaspersky Lab. “Melihat tingginya tingkat kustomisasi dan ekslusivitas pada bahasa pemrograman yang diciptakan, sangat mungkin program ini diciptakan tidak hanya untuk mencegah pihak luar mengetahui operasi mata-mata cyber ini dan interaksinya dengan C&C, namun juga untuk membedakannya dari kelompok internal Duqu lainnya yang bertanggungjawab menulis bagian lain dari program ini.”

Menurut Alexander Gostev, pembuatan bahasa pemrograman tersendiri menunjukkan betapa tingginya kemampuan para pengembang program dalam mengerjakan proyek ini, dan menunjukkan kemampuan sumber daya keuangan dan SDM yang dimobilisasi untuk memastikan proyek ini berjalan.

Kaspersky Lab mengajak komunitas programer atau siapapun yang mengenali framework, toolkit atau bahasa pemrograman tak dikenal Duqu Trojan untuk menghubungi stopduqu@kaspersky.com.

Courtesy CHIP.co.id

Artikel Terkait :



2 comments

April 22, 2017 at 4:55 AM

I'm using AVG Anti virus for a number of years, I would recommend this product to you all.

November 16, 2017 at 11:10 PM

BlueHost is ultimately one of the best hosting provider with plans for all of your hosting needs.

Post a Comment