Siapa yang bisa tahu jika di balik layar ada sebuah operasi dimana malware dropper teror Indonesia & dunia sehingga mengakibatkan korban berjatuhan dimana-mana.
Sebuah malware dropper yang multiguna dan misterius telah meneror server Linux di seluruh dunia selama bertahun-tahun, menginfeksi ribuan korban yang tak terhitung jumlahnya dengan malware cryptomining dan proxyjacking.
Sebuah analisis baru telah mengungkap rahasianya dan harta karun yang sangat besar berupa puluhan ribu jalur eksploitasi untuk membahayakan targetnya.
Sudah beberapa lama ini orang-orang di AS dan Rusia, Jerman dan Indonesia, Korea, Tiongkok, Spanyol, dan hampir di mana pun di antaranya telah melaporkan kasus “perfctl” (alias perfcc) yang menghabiskan semua daya komputasi mereka.
Ada banyak artikel yang menjelaskan cara membunuh perfctl, tetapi orang tidak dapat membunuhnya karena ia terus menyembunyikan dirinya sendiri, dan ia sangat persisten.
Malware tersebut mencari kerentanan dan kesalahan konfigurasi untuk dieksploitasi guna mendapatkan akses awal. Hingga saat ini malware tersebut kemungkinan telah menargetkan jutaan server Linux, dan membahayakan ribuan server. Setiap server Linux yang terhubung ke Internet menjadi incarannya, jadi setiap server yang belum pernah mengalami perfctl akan berisiko.
Baca juga: 7 Cara Malware Menyusup |
Serangan Multi Ancaman
Namun serangan ini tidak serta-merta berakhir dengan penambangan kripto dan proxyjacking. Peneliti telah mengamati malware tersebut menjatuhkan TruffleHog.
TruffleHog adalah alat pengujian penetrasi yang sah yang dirancang untuk menghilangkan rahasia yang dikodekan secara keras dalam source code
Jadi bayangkan, mereka mendapatkan uang tambahan dengan penambangan kripto dan proxyjacking, tetapi juga mencuri rahasia dan mungkin menjualnya di dunia maya bawah tanah menjual akses ke server yang terkait dengan perusahaan besar.
Volume dan variasi kesalahan konfigurasi server potensial yang dapat diidentifikasi dan dieksploitasi oleh perfctl sangat luas.
Dengan melacak infeksinya, para peneliti mengidentifikasi tiga server Web milik pelaku ancaman: dua yang sebelumnya telah disusupi dalam serangan sebelumnya, dan yang ketiga kemungkinan disiapkan dan dimiliki oleh pelaku ancaman.
20.000 Entri
Salah satu server yang disusupi digunakan sebagai basis utama untuk penyebaran malware. Server lain yang disusupi berisi temuan yang jauh lebih menarik: daftar jalur potensial untuk penelusuran direktori, hampir sepanjang 20.000 entri.
Daftar tersebut berisi:
- 12.000 kesalahan konfigurasi server yang diketahui,
- Hampir 2.000 jalur untuk mendapatkan kredensial, token, dan kunci yang tidak sah,
- Lebih dari 1.000 teknik untuk login yang tidak sah,
- Lusinan kemungkinan kesalahan konfigurasi dalam berbagai aplikasi (misalnya, hanya terkait dengan Apache RocketMQ, platform pengiriman pesan dan streaming terdistribusi sumber terbuka).
Peneliti menjelaskan bahwa jika Anda memiliki server HTTP, mungkin Anda mengekspos templat. Di Kubernetes, secara tidak sengaja, Anda dapat mengekspos rahasia, atau peran. Atau bahkan kata sandi yang lemah dapat menjadi kesalahan konfigurasi.
Bersamaan dengan daftar fuzzing ini pada server yang disusupi terdapat file lanjutan yang berisi eksploitasi untuk berbagai jenis kesalahan konfigurasi yang terdokumentasi.
Selain kesalahan konfigurasi, perfctl juga mampu memperoleh akses awal ke server melalui berbagai bug, seperti:
- CVE-2023-33246,
- Kerentanan eksekusi perintah jarak jauh (RCE) di Apache RocketMQ.
- CVE-2023-33246 memperoleh skor “kritis” 9,8 dari 10 pada Common Vulnerability Scoring System (CVSS) tahun lalu.
Baca juga: Judi Asia Tenggara Diancam Malware VPN |
Perfctl Menyembunyikan Aktivitas
Penambangan kripto dan proxyjacking pada dasarnya keras. Baik itu proxyware pihak ketiga atau penambang XMRig Monero, program yang dijatuhkan perfctl ke server yang disusupi akan menghabiskan sumber daya CPU-nya. Namun, perfctl sendiri tidak mudah dikenali atau disingkirkan, berkat lapisan mekanisme siluman dan persistensi yang canggih.
Misalnya, untuk memfasilitasi komunikasi siluman, program tersebut menjatuhkan pintu belakang dan mendengarkan komunikasi melalui Tor. Dan untuk menghindari deteksi dan mengaburkan bukti keberadaannya, ia menggunakan penyamaran proses, menyalin dirinya sendiri ke berbagai lokasi dengan nama yang memetakan ke proses sistem yang sah.
Nama yang diberikan oleh pembuatnya, “perfctl,” adalah bukti dari taktik yang sama: “perf” adalah alat pemantauan Linux, dan “ctl” umumnya digunakan sebagai sufiks untuk alat baris perintah yang mengendalikan komponen atau layanan sistem. Nama malware yang tampak sah, kemudian, memungkinkannya untuk lebih mudah berbaur dengan proses yang umum.
Lalu, setelah dijalankan, perfctl menghapus binernya tetapi tetap berjalan sebagai layanan di balik layar.
Untuk lebih menyembunyikan keberadaan dan aktivitas jahatnya dari perangkat lunak keamanan dan pengawasan peneliti, ia menggunakan beberapa utilitas Linux yang diubah fungsinya menjadi rootkit tingkat pengguna, serta satu rootkit tingkat kernel.
Rootkit kernel sangat kuat, terhubung ke berbagai fungsi sistem untuk mengubah fungsinya, seperti:
- Memanipulasi lalu lintas jaringan secara efektif.
- Merusak Modul Autentikasi yang Dapat Dipasang (PAM).
- Membangun persistensi bahkan setelah muatan utama terdeteksi dan dihapus, atau secara diam-diam mencuri data.
Dan ketika pengguna masuk ke server yang disusupi, perfctl langsung menghentikan perilakunya yang paling berisik, bersembunyi hingga pengguna keluar dan keadaan aman.
Singkatnya, itu adalah alat kuat yang dapat memutuskan untuk menghapus data, mencuri data, membeli mata uang kripto, melakukan proxyjacking terserah pelaku.
Baca juga: Mengenal Malware as a Service |
Mitigasi untuk perfctl & Malware Fileless
Para peneliti memperingatkan bahwa mereka yang menjalankan server Linux harus segera mengambil langkah-langkah untuk melindungi lingkungan mereka. Aqua merekomendasikan mitigasi berikut untuk perfctl dan ancaman serupa:
- Patch kerentanan: Pastikan semua kerentanan telah ditambal. Terutama aplikasi yang berhadapan dengan internet seperti server RocketMQ dan CVE-2021-4043 (Polkit). Selalu perbarui semua pustaka perangkat lunak dan sistem.
- Batasi eksekusi file: Tetapkan noexec pada /tmp, /dev/shm, dan direktori lain yang dapat ditulis untuk mencegah malware mengeksekusi biner secara langsung dari lokasi ini.
- Nonaktifkan layanan yang tidak digunakan: Nonaktifkan semua layanan yang tidak diperlukan, terutama yang dapat mengekspos sistem ke penyerang eksternal, seperti layanan HTTP.
- Terapkan manajemen hak istimewa yang ketat: Batasi akses root ke file dan direktori penting. Gunakan kontrol akses berbasis peran (RBAC) untuk membatasi apa yang dapat diakses atau dimodifikasi oleh pengguna dan proses.
- Segmentasi jaringan: Pisahkan server penting dari internet atau gunakan firewall untuk membatasi komunikasi keluar, terutama lalu lintas TOR atau koneksi ke kumpulan penambangan kripto.
- Terapkan perlindungan waktu proses: Gunakan alat deteksi perilaku dan anti-malware canggih yang dapat mendeteksi rootkit, penambang kripto, dan malware tanpa file seperti perfctl.
Demikian bahasan kali ini mengenai malware dropper teror Indonesia & dunia, semoga informasi tersebut dapat menambah wawasan dan bermanfaat.
Sampai di sini dulu pembahasan mengenai malware dropper teror Indonesia & dunia, semoga informasi yang disajikan dapat memberi manfaat pembacanya.
Sumber berita: