A Windows living-off-the-land binary (LOLBin) yang dikenal sebagai Regsvr32 melihat peningkatan besar dalam penyalahgunaan akhir-akhir ini, para peneliti memperingatkan, terutama menyebarkan trojan seperti Lokibot dan Qbot.
LOLBins adalah utilitas asli yang sah yang digunakan setiap hari di berbagai lingkungan komputasi , yang digunakan penjahat dunia maya untuk menghindari deteksi dengan membaur dengan pola lalu lintas normal. Dalam hal ini, Regsvr32 adalah utilitas baris perintah yang ditandatangani Microsoft di Windows yang memungkinkan pengguna untuk mendaftar dan membatalkan pendaftaran perpustakaan. Dengan mendaftarkan file .DLL, informasi ditambahkan ke direktori pusat (Registry) sehingga dapat digunakan oleh Windows dan dibagikan di antara program.
Jangkauan panjang ini sangat cocok untuk penyerang cyber, yang dapat menyalahgunakan utilitas melalui teknik "Squiblydoo" , Peneliti Uptycs memperingatkan.
“Aktor ancaman dapat menggunakan Regsvr32 untuk memuat skrip COM untuk mengeksekusi DLL,” mereka menjelaskan dalam artikel hari Rabu. “Metode ini tidak membuat perubahan pada Registry karena objek COM sebenarnya tidak terdaftar, tetapi [sebaliknya] dijalankan. Teknik ini [memungkinkan] aktor ancaman untuk melewati daftar putih aplikasi selama fase eksekusi rantai pembunuhan serangan.”
Koneksi .OCX
Penggunaan Regsvr32 yang berbahaya telah memuncak akhir-akhir ini di telemetri Uptycs, para peneliti memperingatkan, dengan penjahat dunia maya yang secara khusus mencoba mendaftarkan .OCX file di Registry melalui berbagai jenis dokumen Microsoft Office berbahaya. Sebagai kelas, file .OCX berisi kontrol ActiveX, yang merupakan blok kode yang dikembangkan Microsoft untuk memungkinkan aplikasi menjalankan fungsi tertentu, seperti menampilkan kalender.
“Tim Riset Ancaman Uptycs telah mengamati lebih dari 500+ sampel malware menggunakan Regsvr32. exe untuk mendaftarkan file .OCX [berbahaya],” para peneliti memperingatkan. “Selama analisis kami terhadap sampel malware ini, kami telah mengidentifikasi bahwa beberapa sampel malware milik Qbot dan Lokibot yang mencoba mengeksekusi file .OCX…97 persen dari sampel ini milik dokumen Microsoft Office berbahaya seperti file spreadsheet Excel.”
Sebagian besar dari file Microsoft Excel yang diamati dalam serangan membawa akhiran .XLSM atau .XLSB, mereka menambahkan, yang merupakan jenis yang berisi makro yang disematkan. Selama serangan, ini biasanya mengunduh atau menjalankan muatan berbahaya dari URL menggunakan rumus di makro.
Demikian pula, beberapa kampanye menggunakan Microsoft Word, data Rich Text Format, atau Dokumen Komposit (.DOC, .DOCX, atau file .DOCM yang disematkan dengan file berbahaya makro, menurut Uptycs.
Identifying Suspicious regsvr32 Executions
Karena Regsvr32, seperti LOLBin lainnya, digunakan untuk operasi harian yang sah, penyalahgunaannya sering kali menghindari pertahanan keamanan siber tradisional. Namun, peneliti mencatat bahwa tim keamanan dapat memantau beberapa perilaku tertentu untuk melacak aktivitasnya:
< ul>
- iDan, dapat diidentifikasi dengan mencari eksekusi Regsvr32 yang memuat scrobj.dll, yang mengeksekusi skrip COM.
