Seputar Tekno

Fileless Malware, Jenis Ancaman Baru yang Mulai Marak

Peningkatan kemampuan scan program-program keamanan anti-malware membuat para pencipta malware menyimpang dari metode infeksi tradisional. Sekarang, tidak lagi cukup bagi suatu malware hanya dengan menaruh file-file tertentu di lokasi tertentu serta menggunakan taktik seperti pemanfaatan fitur autostart untuk memastikan bahwa mereka akan terus berjalan di komputer korban. Program anti-malware yang baik dapat dengan mudah mendeteksi dan memblokir ancaman semacam ini.

Fileless Malware, Jenis Ancaman Baru yang Mulai Marak

Baru-baru ini, ditemukan beberapa malware yang menginfeksi komputer korban ‘tanpa menggunakan file’. Berbeda dengan malware secara umum, “fileless malware” alias malware tanpa file menyembunyikan diri di tempat yang sulit dipindai maupun dideteksi. Fileless malware hidup dan berwujud hanya di memori – mereka dituliskan langsung di RAM alih-alih di hard drive. Ialah POWELIKS yang memulai trend fileless malware. Dideteksi tahun 2014, Ia memanfaatkan Windows PowerShell dan menyembunyikan kode jahatnya di Windows Registry.

Phasebot, Reinkarnasi Solarbot
Contoh lain dari fileless malware yakni Phasebot, yang dapat ditemukan bersarang di website-website yang menjual malware dan tool kejahatan online sejenis. Phasebot terdiri atas rootkit dan metode eksekusi tanpa file. Jika diperhatikan, ia memiliki banyak kemiripan dengan Solarbot, yang cukup populer di tahun 2013 lalu. Phasebot memiliki kemampuan tambahan seperti deteksi Virtual Machine (VM) dan pemuatan modul eksternal, yang memungkinkannya untuk menambahkan atau menghapus fitur di komputer korban. Dibandingkan dengan Solarbot, Phasebot lebih menekankan mekanisme pengelakan dan penyembunyian diri. Ia mengenkripsi komunikasinya dengan Server C&C dengan menggunakan password acak setiap kali terhubung.

Malware ini didesain untuk memeriksa terlebih dahulu apakah sistem komputer korban memiliki .NET Framework Version 3.5 dan Windows PowerShell. Jika ya, Phasebot akan menuliskan beberapa registry baru yang mengandung kode terenkripsi. Jika tidak, ia akan menaruh salinan dirinya sendiri di folder %User Startup%. Ia kemudian memanipulasi file API guna membuat filenya tak tampak di mata pengguna serta memanfaatkan NtReadVirtualMemory untuk menyembunyikan aktivitasnya. Kemudian, pelaku dapat memerintahkan Phasebot untuk mencuri informasi dari komputer korban, memanfaatkan komputer korban untuk melakukan serangan Distributed Denial of Service (DDoS), mengunduh dan menjalankan file, juga mengakses URL tertentu.

Phasebot dan PowerShell
Yang sangat menarik ialah pemanfaatan Windows PowerShell oleh si malware, sebuah tool administrasi sistem operasi Windows yang sah dan hadir built-in dari Windows 7 ke atas. Phasebot memanipulasi PowerShell untuk menjalankan komponennya yang tersembunyi di Windows Registry guna menghindari deteksi dari program keamanan. Hal ini sangat strategis dan bukan hanya kebetulan, sebab .NET Framework Version 3.5 juga hadir dalam Windows 7 ke atas.

Masa Depan Fileless Malware
Kemungkinan besar, fileless malware akan semakin populer. Mereka tidak bakal cuma menggunakan Windows Registry untuk menyembunyikan diri. Mereka tetap dapat memanfaatkan fitur lain tanpa perlu menaruh file.

Kebanyakan pengguna komputer mungkin sudah mulai terbiasa untuk memeriksa dan berhati-hati terhadap file dan folder yang tak dikenal. Namun, pasti kita tak menduga untuk memeriksa Windows Registry. Vendor-vendor program keamanan juga mendapatkan tantangan baru. Kini mereka tidak bisa hanya mengandalkan metode scan file untuk mendeteksi infeksi. Amat penting untuk menambah kemampuan behavior monitoring atau semacamnya.

Pencegahan
Untuk mencegah infeksi malware, pertama-tama, selalu perbarui program-program Anda terutama program-program keamanan. Beberapa software anti-malware papan atas sudah mulai dipersenjatai dengan kemampuan behavior monitoring untuk mengantisipasi serangan fileless malware. Selain itu, sebagai pengguna yang cerdas, Anda perlu berhati-hati untuk tidak sembarangan membuka e-mail spam dan website berbahaya, apalagi mengunduh file dan menginstal program dari sumber yang tak dapat dipercaya, sebab hal-hal tersebut merupakan jalan masuk utama infeksi.

Semoga bermanfaat!