Skip to content
[ root@retasan:~# Thursday, Jul 16, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Tools Cyberwarfare Data Breach Iklan
Exploit Development

COMLoaderAstharot: COM Hijack Loader untuk Chrome dan Microsoft Edge

// by retasan-news July 15, 2026 5 min read
Windows COM Hijack Exploit

Sebuah tool baru untuk melakukan COM Hijack telah dirilis di GitHub oleh Astharot15. COMLoaderAstharot menargetkan CLSID {9FC8E510-A27C-4B3B-B9A3-BF65F00256A8} yang digunakan oleh Google Chrome dan Microsoft Edge. Tool ini memanfaatkan callback LdrCallEnclave untuk menjalankan payload dan menggunakan event objects alih-alih mutex tradisional untuk sinkronisasi proses. COM object ini telah terbukti sangat stabil selama 6 bulan pengujian tanpa crash.

Apa yang Terjadi?

COMLoaderAstharot adalah proof-of-concept yang mendemonstrasikan teknik COM Hijack untuk mengeksekusi kode melalui browser Chrome dan Edge. Dalam teknik ini, penyerang mendaftarkan COM server palsu pada CLSID yang sama dengan yang digunakan oleh browser. Ketika browser atau explorer.exe mencoba memuat COM object tersebut, mereka akan memuat DLL yang ditentukan oleh penyerang alih-alih COM server yang sah.

Yang membuat tool ini menarik adalah beberapa pilihan teknis yang dilakukan oleh developer. Pertama, penggunaan LdrCallEnclave sebagai callback mechanism — ini adalah pendekatan yang relatif baru dan kurang dipahami oleh komunitas keamanan. Kedua, penggunaan event objects untuk sinkronisasi proses alih-alih mutex yang lebih konvensional dan lebih mudah dideteksi oleh EDR. Ketiga, switch dari wininet ke winhttp untuk fungsi download karena winhttp lebih sulit dideteksi oleh antivirus ketika dikompilasi sebagai DLL.

Detail Teknis

CLSID yang ditargetkan adalah {9FC8E510-A27C-4B3B-B9A3-BF65F00256A8}, yang merupakan COM object yang dimuat oleh Chrome dan Edge. Tool ini dikompilasi menggunakan C++ (87.5%) dan C (12.5%), dengan ukuran yang relatif kecil. Payload menggunakan winhttp untuk melakukan download dan eksekusi, yang dipilih karena deteksi antivirus yang lebih rendah dibandingkan wininet ketika berjalan sebagai in-process DLL.

Pengembang melaporkan bahwa versi .exe dari tool ini berhasil melewati deteksi antivirus, namun ketika dikompilasi sebagai DLL, wininet memicu deteksi. Oleh karena itu, beralih ke winhttp menjadi solusi yang lebih efektif. Fungsi download sendiri sebenarnya sudah dikomentari dalam source code, sehingga tool ini lebih difokuskan pada demonstrasi teknik COM Hijack itu sendiri daripada full attack chain. CLSID yang ditargetkan juga dapat dimuat melalui explorer.exe, namun kemungkinan besar akan menyebabkan crash.

Dampak Terhadap Indonesia

COM Hijack merupakan teknik persistence yang sangat efektif karena memanfaatkan mekanisme Windows yang sah dan sulit dideteksi oleh antivirus konvensional. Di Indonesia, di mana adopsi EDR masih belum merata — terutama di sektor pemerintah daerah dan UMKM — teknik ini memiliki potensi dampak yang signifikan. Chrome dan Edge adalah browser paling populer di Indonesia, sehingga CLSID yang ditargetkan oleh tool ini sangat relevan.

Berdasarkan data Kaspersky, Indonesia mengalami peningkatan serangan targeted attack sebesar 18% dalam 6 bulan terakhir, dan teknik COM Hijack sering digunakan dalam kampanye APT yang menargetkan instansi pemerintah. PDP Law menuntut organisasi untuk menjaga kerahasiaan dan integritas data pribadi, namun teknik persistence seperti COM Hijack memungkinkan penyerang mempertahankan akses jangka panjang yang sulit dideteksi. SKKNI Siber mencantumkan endpoint protection sebagai salah satu komponen keamanan wajib, dan tool seperti ini menjadi pengingat bahwa antivirus saja tidak cukup — diperlukan EDR yang mampu mendeteksi anomali pada level COM.

Rekomendasi Mitigasi

Langkah pertama adalah memantau dan mengaudit registry terhadap perubahan pada CLSID yang diketahui digunakan oleh aplikasi kritis. Gunakan tools seperti Sysinternals Autoruns untuk memeriksa COM object registration secara berkala. Kedua, implementasikan application whitelisting untuk membatasi DLL yang dapat dimuat oleh proses browser. Ketiga, pastikan EDR yang digunakan memiliki kemampuan untuk mendeteksi anomali pada level COM loading, termasuk deteksi callback seperti LdrCallEnclave.

Keempat, gunakan Windows Defender Application Control (WDAC) atau AppLocker untuk membatasi executable dan DLL yang dapat berjalan di sistem. Kelima, implementasikan monitoring terhadap perubahan registry pada path HKCR\CLSID dan HKLM\SOFTWARE\Classes\CLSID menggunakan Windows Event ID 4657. Terakhir, pastikan browser selalu di-update ke versi terbaru karena Chrome dan Edge secara berkala memperbarui CLSID yang mereka gunakan, yang dapat menggagalkan persistensi berbasis CLSID lama.

Analisa Retasan

COMLoaderAstharot menunjukkan bahwa teknik COM Hijack masih sangat relevan dan terus berevolusi meskipun telah dikenal selama bertahun-tahun. Penggunaan LdrCallEnclave sebagai callback mechanism menarik karena Enclave API dirancang untuk menjalankan kode dalam lingkungan terisolasi — abuse terhadap API ini untuk tujuan yang tidak diinginkan menunjukkan pola berulang di mana fitur keamanan Windows justru dimanfaatkan untuk mengelabui pertahanan. Ini mengingatkan pada tren serupa di mana attacker memanfaatkan features seperti WMI, BITS, dan AppLocker policy sendiri untuk persistence dan execution.

Pilihan untuk menggunakan event objects alih-alih mutex adalah keputusan defensif yang cerdik dari sisi attacker. Mutex merupakan indicator of compromise (IOC) yang sangat umum digunakan oleh EDR dan YARA rules untuk mendeteksi malware — hampir semua sandbox dan behavioral analysis memeriksa pembuatan mutex dengan nama yang mencurigakan. Dengan beralih ke event objects, attacker menghindari deteksi berbasis pattern ini tanpa mengorbankan fungsionalitas sinkronisasi. Pola evolusi ini menunjukkan bahwa deteksi berbasis IOC statis semakin tidak efektif dan komunitas defensif perlu beralih ke pendekatan behavioral yang lebih dinamis.

Dari perspektif Indonesia, COM Hijack tetap menjadi salah satu teknik persistence paling berbahaya karena kesederhanaannya dan kesulitan deteksi. Banyak organisasi di Indonesia masih mengandalkan antivirus konvensional yang hanya melakukan signature-based detection, yang jelas tidak mampu mendeteksi COM Hijack yang dilakukan dengan benar. Implementasi Sysmon dengan konfigurasi yang tepat (terutama event ID 7 — Image Loaded dan event ID 13 — Registry Value Set) dapat membantu mendeteksi teknik ini. Selain itu, audit rutin menggunakan Autoruns atau autorunsc.exe dari Sysinternals suite harus menjadi bagian dari prosedur incident response standar di setiap organisasi.

🔗 Sumber: github.com/Astharot15/COMLoaderAstharot

Tags: Browser Security COM Hijack DLL Persistence Red Team Windows
Share:

retasan-news

← Previous klist2ccache: Dump TGT Kerberos Secara Remote dan Konversi ke Format ccache
Next → COMLoaderAstharot: COM Hijack CLSID untuk Persistensi di Chrome dan Edge

Artikel Terkait

Zoom Peringatkan Kerentanan Kritis CVE-2026-53412 Skor CVSS 9.8: Account Takeover Tanpa Autentikasi

Zoom Peringatkan Kerentanan Kritis CVE-2026-53412 Skor CVSS 9.8: Account Takeover Tanpa Autentikasi

July 16, 2026
Pembaruan Keamanan Kritis Firefox, Chrome, Adobe, dan VMware Perbaiki Puluhan CVE Termasuk 8 ColdFusion Skor 9+

Pembaruan Keamanan Kritis Firefox, Chrome, Adobe, dan VMware Perbaiki Puluhan CVE Termasuk 8 ColdFusion Skor 9+

July 15, 2026
SonicWall Daruratkan Patch SMA1000: Dua Zero-Day yang Sedang Dieksploitasi Aktif

SonicWall Daruratkan Patch SMA1000: Dua Zero-Day yang Sedang Dieksploitasi Aktif

July 15, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.