Apa itu Bitfrost? Ini Penjelasannya
September 13, 2019
Comment
Bifrost menggunakan konfigurasi khas server, pembangun server, dan program pintu backdoor klien untuk memungkinkan penyerang jarak jauh, yang menggunakan klien, untuk mengeksekusi kode arbitrer pada mesin yang dikompromikan (yang menjalankan server yang perilakunya dapat dikendalikan oleh editor server).
Komponen server (berukuran sekitar 20–50 kilobyte, tergantung pada varian) dijatuhkan ke C:\Program Files\Bifrost\server.exe.di samping pengaturan default dan, saat berjalan, terhubung ke alamat IP yang telah ditentukan pada port TCP 81, menunggu perintah dari pengguna jarak jauh yang menggunakan komponen klien. Namun, direktori instalasi dan port TCP dapat diubah.
Koneksi TCP dienkripsi dengan kata sandi (default: "pass"), tetapi ini dapat diubah juga.
Dapat diasumsikan bahwa setelah ketiga komponen operasional, pengguna jarak jauh dapat mengeksekusi kode arbitrer sesuka hati pada mesin yang dikompromikan. Komponen server juga dapat dijatuhkan ke C:\Windows dan atribut file diubah menjadi "Read Only" dan "Hidden". Pengguna biasa mungkin tidak melihat direktori secara default karena atribut "tersembunyi" yang ditetapkan pada direktori. Beberapa program anti-virus (mis. AVG - 17 Februari 2010) tampaknya melewatkan file seluruhnya.
Komponen pembuat server memiliki kemampuan berikut:
Komponen klien memiliki kemampuan berikut:
Pada 28 Desember 2005, eksploitasi Windows WMF digunakan untuk menjatuhkan varian baru Bifrost ke mesin. Beberapa solusi dan tambalan tidak resmi diterbitkan sebelum Microsoft mengumumkan dan mengeluarkan tambalan resmi pada 5 Januari 2006. Eksploitasi WMF dianggap sangat berbahaya.
Varian Bifrost yang lebih lama menggunakan porta yang berbeda, mis. 1971, 1999; memiliki muatan berbeda, mis. C:\Winnt\system32\system.exe; dan atau menulis kunci registri Windows yang berbeda.
Bifrost dirancang pada saat Windows UAC (diperkenalkan dengan Windows Vista) belum diperkenalkan. Untuk alasan ini, Bifrost tidak dapat menginstal sendiri pada sistem Windows modern, kecuali jika diluncurkan dengan hak administrator.
Komponen server (berukuran sekitar 20–50 kilobyte, tergantung pada varian) dijatuhkan ke C:\Program Files\Bifrost\server.exe.di samping pengaturan default dan, saat berjalan, terhubung ke alamat IP yang telah ditentukan pada port TCP 81, menunggu perintah dari pengguna jarak jauh yang menggunakan komponen klien. Namun, direktori instalasi dan port TCP dapat diubah.
Koneksi TCP dienkripsi dengan kata sandi (default: "pass"), tetapi ini dapat diubah juga.
Dapat diasumsikan bahwa setelah ketiga komponen operasional, pengguna jarak jauh dapat mengeksekusi kode arbitrer sesuka hati pada mesin yang dikompromikan. Komponen server juga dapat dijatuhkan ke C:\Windows dan atribut file diubah menjadi "Read Only" dan "Hidden". Pengguna biasa mungkin tidak melihat direktori secara default karena atribut "tersembunyi" yang ditetapkan pada direktori. Beberapa program anti-virus (mis. AVG - 17 Februari 2010) tampaknya melewatkan file seluruhnya.
Komponen pembuat server memiliki kemampuan berikut:
- Buat komponen server
- Ubah nomor port komponen server dan / atau alamat IP
- Ubah nama yang dapat dieksekusi komponen server
- Ubah nama entri startup registri Windows
- Sertakan rootkit untuk menyembunyikan proses server
- Sertakan ekstensi untuk menambahkan fitur (menambahkan 22.759 byte ke server)
- Gunakan ketekunan (membuat server lebih sulit untuk dihapus dari sistem yang terinfeksi)
Komponen klien memiliki kemampuan berikut:
- Manajer Proses (Jelajahi atau matikan proses yang sedang berjalan)
- Manajer file (Jelajahi, unggah, unduh, atau hapus file)
- Window Manager (Jelajahi, tutup, maksimalkan / perkecil, atau ganti nama windows)
- Dapatkan informasi sistem
- Ekstrak kata sandi dari mesin
- Log keystroke
- Cuplikan Layar
- Webcam capture
- Desktop logoff, reboot atau shutdown
- Editor pendaftaran
- Shell jarak jauh
Pada 28 Desember 2005, eksploitasi Windows WMF digunakan untuk menjatuhkan varian baru Bifrost ke mesin. Beberapa solusi dan tambalan tidak resmi diterbitkan sebelum Microsoft mengumumkan dan mengeluarkan tambalan resmi pada 5 Januari 2006. Eksploitasi WMF dianggap sangat berbahaya.
Varian Bifrost yang lebih lama menggunakan porta yang berbeda, mis. 1971, 1999; memiliki muatan berbeda, mis. C:\Winnt\system32\system.exe; dan atau menulis kunci registri Windows yang berbeda.
Bifrost dirancang pada saat Windows UAC (diperkenalkan dengan Windows Vista) belum diperkenalkan. Untuk alasan ini, Bifrost tidak dapat menginstal sendiri pada sistem Windows modern, kecuali jika diluncurkan dengan hak administrator.
0 Response to "Apa itu Bitfrost? Ini Penjelasannya"
Post a Comment