Cyberthreat.id – Para peretas bisa memanfaatkan kode-kode biner yang kompatibel di Windows 10 untuk penyebaran malicious software (malware) atau perkakas lunak jahat.

Baru-baru ini, kode biner Win10 yang mengatur gambar untuk desktop dan layar kunci ternyata bisa “membantu peretas mengunduh malware pada sistem yang diretas tanpa diketahui”

Dikenal sebagai “living-off-the-land binaries” (LoLBins), file-file ini terlihat memang sah dan tak mencurigakan. Hanya, file-file ini dipakai oleh penyerang dalam fase tahap selanjutnya setelah penyerang meretas sistem operasi.

“Penyerang dapat menggunakan LoLBins untuk mengunduh dan menginstal malware, memintas kontrol keamanan seperti UCA atau WDAC,” demikian tulis BleepingComputer, diakses Senin (6 Juli 20200.

Biasanya, serangan itu melibatkan malware tanpa file malware dan layanan cloud terkemuka.

Sebuah laporan dari Cisco Talos tahun lalu menyediakan daftar 13 executable asli Windows yang dapat mengunduh atau mengeksekusi kode berbahaya itu:

• powershell.exe
• bitsadmin.exe
• certutil.exe
• psexec.exe
• wmic.exe
• mshta.exe
• mofcomp.exe
• cmstp.exe
• windbg.exe
• cdb.exe
• msbuild.exe
• csc.exe
• regsvr32.exe

Peneliti dari SentinelOne menemukan, desktopimgdownldr.exe yang terletak di folder system32 Windows 10, juga dapat berfungsi sebagai LoLBins.

Yang dapat dieksekusi adalah bagian dari Personalisasi CSP (penyedia layanan konfigurasi) yang memungkinkan, antara lain, menentukan layar kunci dan gambar latar belakang desktop.

Dalam kasus itu, pengaturan menerima file JPG, JPEG, PNG yang disimpan secara lokal atau jarak jauh (mendukung URL HTTP / S).[]