Ancaman yang diberikan ransomware Locky masih terus meningkat dengan signifikan, mempengaruhi sejumlah jaringan dan user karena infeksi mematikan yang menyandera file korban untuk meminta uang tebusan sebagai gantinya. Bagaimana ancaman ini dapat menyusup masuk ke dalam sistem komputer dan membajak data? Melalui sebuah penelitian yang dilakukan di laboratorium ESET Amerika Latin, ESET menemukan metode dan langkah-langkah yang digunakan cybercriminal untuk menghindari berbagai lapisan keamanan yang disiapkan.
Diagram di bawah menunjukkan bagaimana proses infeksi Locky mengarah ke payload. Awalnya user akan menerima email berbasis sejumlah topik dalam berbagai bahasa. Email ini berisi dokumen Microsoft Office di lampiran (.DOC, .DOCM, atau .XLS). Dokumen ini menciptakan sebuah file BAT, yang pada gilirannya menciptakan file lain dalam kode VBScript. Di antara mereka, file kemudian akan mengunduh ransomware, yang dikenali ESET sebagai Win32/Filecoder.Locky.
Pada bagian berikut, ESET akan memberikan penjelasan langkah demi langkah pada setiap komponen dan bagaimana mereka menampilkan aksi jahat untuk mencapai tujuan mereka. Di bagian akhir kita akan melihat bagaimana deteksi proaktif dapat melindungi user.
-
Dokumen dengan Macro berbahaya
Dokumen palsu berisi macro berbahaya, yang dijalankan ketika user mengklik pada tombol “Enable Content”. Setelah macro diaktifkan, secara otomatis kode akan mengeksekusi dan memulai infeksi, seperti dalam gambar berikut:
Kita dapat melakukan analisis yang lebih mendalam untuk melihat macro yang menciptakan bagian pertama dari infeksi. Di antara mereka, kita bisa menyoroti tiga baris kode tertentu yang menciptakan file BAT yang disebut “Ugfdxafff.bat”. Kita bisa lihat fungsi “Write” yang akan menulis kode enkripsi base64 dan akhirnya, fungsi “Shell” mengeksekusi file BAT, terlihat dalam screenshot di bawah:
-
BAT dan VBS Script
Tujuan dari file “ugfdxafff.bat” adalah untuk membuat file VBScript, yang akan bekerja bersamanya, termasuk URL untuk men-download payload, dalam hal ini diberi label sebagai “asddddd.exe”.
File BAT akan mengeksekusi file BAT menggunakan command “start asddddd.exe” dan menghapus VBS, seperti halnya ia akan menghapus dirinya sendiri untuk menghilangkan bukti dari sistem. Urutan aksi ini dapat dilihat pada screenshot berikut:
-
Deteksi Proaktif
Salah satu poin terpenting untuk diingat saat dihadapkan dengan bagaimana Locky bekerja adalah dengan memahami bahwa langkah-langkah perantara yang diambil merupakan kombinasi dari tindakan keamanan proaktif dengan kesadaran dan edukasi yang baik dari user, yang akan memblokir setiap serangan sebelum mampu mencapai inbok atau sebelum macro aktif.
Penerimaan email spam oleh user atau karyawan perusahaan adalah salah satu titik masuk untuk tipe ancaman seperti ini, sehingga dapat membajak data perusahaan dan menyebabkan masalah besar bagi user dan perusahaan.
Kesimpulan
Sangat penting untuk memperhitungkan risiko yang didapat apabila menggunakan macro dalam dokumen Microsoft Office, karena hal ini dapat membahayakan data, file pribadi atau pekerjaan, belum lagi jaringan perusahaan secara keseluruhan.
Inilah sebabnya mengapa sangat penting bagi semua user diedukasi tentang tren terkini dalam kejahatan komputer dan pengaruh ancaman seperti ransomware. Mereka harus terpapar pemahaman pengamanan terbaik pada komputer. Hal utama tentu saja adalah menggunakan program antivirus yang dikonfigurasi dengan benar untuk menghindari malicious code merusak sistem.
Analisis data
Win32/Filecoder.Locky.A
Md5: dba9a404a71358896100f9a294f7c9a3
VBA/TrojanDownloader.Agent.AUD
Md5: c7d3afbe92d91cd309cce2d61d18f268
BAT/TrojanDownloader.Agent.NHW
Md5: 30f0378659496d15243bc1eb9ba519ef
VBS/TrojanDownloader.Agent.NZN
Md5: 048820a62c0cef4ec6915f47d4302005
Sumber:
welivesecurity.com
