Ransomware White Rabbit: Difference between revisions
No edit summary |
|||
| Line 36: | Line 36: | ||
Keyakinan hubungan ransomware dengan FIN8, menurut peneliti, karena versi terbaru BADHATCH itu memiliki kemiripan dengan backdoor F5 yang dipakai oleh FIN8. | Keyakinan hubungan ransomware dengan FIN8, menurut peneliti, karena versi terbaru BADHATCH itu memiliki kemiripan dengan backdoor F5 yang dipakai oleh FIN8. | ||
==Penggunaan kata sandi baris perintah== | |||
Salah satu aspek yang paling menonjol dari serangan White Rabbit adalah bagaimana biner muatannya memerlukan kata sandi baris perintah khusus untuk mendekripsi konfigurasi internalnya dan melanjutkan rutinitas ransomware-nya. Metode menyembunyikan aktivitas berbahaya ini adalah trik yang digunakan keluarga ransomware Egregor untuk menyembunyikan teknik malware dari analisis. | |||
Payload White Rabbit tidak mencolok pada pandangan pertama, menjadi file kecil sekitar 100 KB tanpa string penting dan tampaknya tidak ada aktivitas. Tanda asalnya yang berbahaya adalah adanya string untuk logging, tetapi perilaku sebenarnya tidak akan mudah diamati tanpa kata sandi yang benar. | |||
==Pencegahan== | ==Pencegahan== | ||