Skip to content
[ root@retasan:~# Thursday, Jul 16, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Tools Cyberwarfare Data Breach Iklan
Tools

COMLoaderAstharot: COM Hijack CLSID untuk Persistensi di Chrome dan Edge

// by retasan-news July 15, 2026 5 min read
COMLoaderAstharot COM Hijack Persistensi Browser

Sebuah tool COM hijack bernama COMLoaderAstharot dirilis di GitHub, menargetkan CLSID spesifik {9FC8E510-A27C-4B3B-B9A3-BF65F00256A8} yang terkait dengan Google Chrome dan Microsoft Edge. Tool ini menggunakan callback LdrCallEnclave sebagai mekanisme eksekusi, event objects sebagai pengganti mutex untuk sinkronisasi proses, dan diklaim memiliki stabilitas tinggi tanpa crash selama enam bulan penggunaan.

Apa yang Terjadi?

Astharot15 merilis COMLoaderAstharot yang mengeksploitasi mekanisme COM (Component Object Model) di Windows untuk mendapatkan persistensi melalui browser Chrome dan Edge. CLSID yang ditargetkan — {9FC8E510-A27C-4B3B-B9A3-BF65F00256A8} — merupakan object yang akan dimuat secara otomatis oleh browser saat proses startup, sehingga DLL berbahaya yang didaftarkan pada CLSID tersebut akan dieksekusi setiap kali pengguna membuka browser.

Yang membedakan tool ini dari COM hijack konvensional adalah penggunaan LdrCallEnclave sebagai callback — sebuah API Windows Enclave yang relatif jarang digunakan dalam konteks offensive security. Enclave menyediakan region memori terisolasi yang dilindungi oleh hardware, dan penggunaan callback ini kemungkinan bertujuan untuk menghindari deteksi dari EDR yang fokus pada API calling patterns konvensional seperti LoadLibrary atau CreateRemoteThread.

Detail Teknis

COMLoaderAstharot ditulis dalam C++ (87.5%) dan C (12.5%), dan dirancang sebagai DLL yang dimuat oleh COM runtime saat Chrome atau Edge memulai prosesnya. Beberapa detail teknis menarik dari tool ini:

Callback LdrCallEnclave: Berbeda dari pendekatan konvensional yang menggunakan DllMain atau exported function, tool ini menggunakan LdrCallEnclave sebagai entry point callback. API ini merupakan bagian dari Windows Enclave API yang dirancang untuk menjalankan kode dalam environment terisolasi. Penggunaan callback ini memberikan advantage terhadap deteksi berbasis hooking pada API calling convention yang umum.

Event Objects: Tool menggunakan Windows event objects untuk sinkronisasi proses, bukan mutex yang lebih umum digunakan. EDR modern seringkali memantau pembuatan mutex dengan nama-nama mencurigakan sebagai IOC (Indicator of Compromise), sehingga pergeseran ke event objects mengurangi jejak deteksi tersebut.

WinHTTP untuk Download: Fungsi download asli menggunakan wininet, namun dialihkan ke winhttp karena wininet tertangkap oleh AV saat kompilasi sebagai DLL. WinHTTP umumnya memiliki reputasi yang lebih bersih di mata heuristic engine AV. Sebuah fungsi download yang menggunakan wininet dikomentari dalam source code dan masih berfungsi saat kompilasi sebagai executable.

Stabilitas Tinggi: Penulis mengklaim COM object ini telah bekerja selama enam bulan tanpa crash. Hal ini penting karena COM hijack yang tidak stabil seringkali menjadi penghalang utama penggunaan teknik ini dalam operasi jangka panjang, karena crash browser akan menarik perhatian pengguna dan administrator.

Dampak Terhadap Indonesia

Di Indonesia, Google Chrome dan Microsoft Edge adalah dua browser yang paling banyak digunakan di lingkungan perkantoran dan pemerintahan. COM hijack yang menargetkan CLSID spesifik kedua browser ini memiliki potensi dampak yang luas, terutama dalam skenario serangan advanced persistent threat (APT) di mana penyerang membutuhkan persistensi yang stabil dan sulit dideteksi pada workstation target.

Teknik COM hijack bukanlah hal baru, namun evolusi penggunaan API seperti LdrCallEnclave dan penggantian mutex dengan event objects menunjukkan bahwa offensive community terus berinovasi untuk menghindari deteksi. Tim keamanan siber Indonesia perlu memastikan bahwa EDR dan solusi endpoint protection yang digunakan oleh instansi pemerintah dan sektor kritis mampu mendeteksi tidak hanya teknik COM hijack konvensional, tetapi juga variasi yang menggunakan API calling patterns non-standar. SKKNI Siber sebaiknya memasukkan deteksi COM hijack sebagai bagian dari standar minimum keamanan endpoint.

Rekomendasi Mitigasi

Audit registry secara berkala untuk mendeteksi entri COM yang tidak valid atau mencurigakan pada CLSID yang diketahui digunakan oleh Chrome dan Edge. Implementasikan AppLocker atau WDAC untuk membatasi pemuatan DLL hanya dari publisher yang dipercaya. Aktifkan logging pada Sysmon Event ID 7 (Image Loaded) untuk memantau pemuatan DLL mencurigakan oleh proses browser. Implementasikan Windows Defender Application Guard (WDAG) untuk mengisolasi browsing session. Gunakan policy yang membatasi eksekusi COM object hanya dari publisher yang terverifikasi. Pantau penggunaan API LdrCallEnclave dari proses browser melalui telemetry EDR.

Analisa Retasan

COMLoaderAstharot menunjukkan evolusi yang menarik dalam teknik COM hijack. Penggunaan LdrCallEnclave sebagai callback mechanism adalah pendekatan yang cerdik — Windows Enclave API dirancang untuk menjalankan kode dalam region memori terisolasi yang dilindungi hardware, dan penggunaannya dalam konteks offensive security masih relatif jarang dipetakan oleh EDR vendor. Ini mirip dengan tren yang terlihat dalam penggunaan API seperti NtCreateThreadEx dan RtlCreateUserThread yang secara historis luput dari deteksi karena jarang digunakan oleh aplikasi legitimate. Pattern ini konsisten dengan apa yang dilakukan oleh beberapa APT group yang menggunakan Windows API yang tidak biasa untuk menghindari hooking berbasis IAT/EAT pada API konvensional.

Pergeseran dari mutex ke event objects untuk sinkronisasi proses juga merupakan evolusi yang signifikan. Banyak EDR dan tool deteksi yang membangun heuristic berbasis nama mutex mencurigakan — sebuah pola yang sudah berusia bertahun-tahun dalam deteksi malware. Dengan menggunakan event objects, penyerang menghindari seluruh kategori deteksi tersebut. Namun, ini bukan berarti deteksi menjadi mustahil — Sysmon Event ID 19/20/21 (Named Object Events) dapat dikonfigurasi untuk memantau pembuatan event objects yang mencurigakan, dan telemetri EDR yang cukup canggih seharusnya mampu membedakan pola penggunaan event objects yang benign dari yang malicious.

Dari perspektif Indonesia, COM hijack pada CLSID Chrome dan Edge sangat relevan mengingat dominasi kedua browser ini di lingkungan enterprise dan pemerintahan. Klaim stabilitas enam bulan tanpa crash menunjukkan tool ini dirancang untuk operasi jangka panjang — skenario yang sangat konsisten dengan profile serangan APT yang menargetkan organisasi di Indonesia. Tim blue team perlu memastikan bahwa pertahanan mereka tidak hanya mengandalkan signature-based detection, tetapi juga behavioral analysis yang mampu mengidentifikasi pola anomali dalam COM object loading, termasuk penggunaan API enclave yang tidak lazim dari konteks browser.

Sumber: GitHub – Astharot15/COMLoaderAstharot

Tags: Chrome COM Hijack Evasion LdrCallEnclave Microsoft Edge Persistensi Red Team
Share:

retasan-news

← Previous COMLoaderAstharot: COM Hijack Loader untuk Chrome dan Microsoft Edge
Next → Serangan Supply Chain AsyncAPI npm: Malware Disuntikkan ke Package dengan 2 Juta Download Mingguan

Artikel Terkait

klist2ccache: Dump TGT Kerberos Secara Remote dan Konversi ke Format ccache

klist2ccache: Dump TGT Kerberos Secara Remote dan Konversi ke Format ccache

July 15, 2026
Linux LPE Toolkit: Kumpulan 24 Exploit Privilege Escalation Multi-Arsitektur untuk Linux

Linux LPE Toolkit: Kumpulan 24 Exploit Privilege Escalation Multi-Arsitektur untuk Linux

July 15, 2026
CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.