Sementara kelompok penjahat siber Lazarus dan Telebot yang terkenal dengan kejahatan sibernya yang mendunia melalui WannaCry atau Petya seperti tertelan bumi tanpa kabar, bukan berarti dunia bisa damai, masih banyak operasi malware lain yang tidak terlalu agresif tapi lebih canggih dan lebih menguntungkan beraksi di luar sana.
Salah satu operasi tersebut telah berlangsung paling tidak sejak bulan Mei 2017, dengan cara menginfeksi webserver Windows yang tidak terpakai dengan penambang criptocurrency berbahaya. Tujuannya menggunakan daya komputasi server untuk menambang Monero (XMR), salah satu alternatif criptocurrency yang lebih baru daripada Bitcoin.
Untuk mencapai hal ini, pelaku memodifikasi open surce software Mining Monero yang legitimate dan memanfaatkan kerentanan yang diketahui di Microsoft IIS 6.0 untuk secara diam-diam memasang penambang di server yang tidak ditambal atau update. Selama tiga bulan, penjahat di balik operasi tersebut telah menciptakan botnet yang terdiri dari beberapa ratus server yang terinfeksi dan menghasilkan monero senilai USD 63.000.
Bagi pengguna ESET tidak perlu khawatir dengan malware Monero karena ESET mampu melindungi komputer pengguna dari upaya eksploitasi kerentanan CVE-2017-7269, meskipun mesin mereka tidak ditambal dengannya, seperti yang terjadi pada EternalBlue, eksploitasi yang digunakan untuk menyebarkan WannaCryptor.
Mungkin banyak yang bertanya-tanya kenapa pengembang malware malah mengincar Monero ketimbang Bitcoin, ada alasan jelas di balik pertanyaan ini, jika dibandingkan dengan Bitcoin yang memiliki nilai mata uang yang lebih tinggi, Monero memiliki banyak kelebihan namun, juga beberapa hal yang menarik perhatian bagi malware penambang cryptocurrency. Transaksi yang tidak dapat dilacak dan algoritma yang disebut CryptoNight.
Monero menggunakan Cryptonight dan bukan SHA-2. Yang dirancang untuk mengurangi kesenjangan kinerja antara CPU, GPU, dan ASIC dengan menuntut jumlah memori yang relatif besar. Ini berarti bahwa penambangan CPU masih dimungkinkan, sedangkan di Bitcoin, penambangan CPU sama sekali tidak ada gunanya. Hal ini juga berakibat padda nilai tukarnya, yang awalnya melompat dari 40 USD/XMR hingga 150 USD/XMR selama bulan lalu, kemudian jatuh kembali ke 100 USD/XMR.
Penambang Crypto
Malware Monero pertama kali dilihat pada 26 Mei 2017. Software penambangan ini merupakan open source Monero yang sah yang disebut dengan nama xmrig, versi 0.8.2 yang dirilis 26 Mei 2017. Pengembang malware saaat menggarap software penambang kripto tidak mengubah sama sekali basis kode source code-nya, selain menambahkan baris perintah hardcode dari alamat wallet dan URL penambang.
Penyebaran malware penambang ke komputer korban adalah bagian tersulit dari operasi ini, namun pelaku dapat melakukannya dengan pendekatan termudah. Ada dua alamat IP yang kami identifikasi sebagai sumber pemindaian brute force untuk kerentanan CVE-2017-7269 dan keduanya mengarah ke server di awan Amazon Web Services.
Ini adalah kerentanan dalam layanan WebDAV yang merupakan bagian dari Microsoft IIS versi 6.0, server web pada Windows Server 2003 R2. Buffer overflow yang berbahaya dalam fungsi ScStoragePathFromUrl terpicu saat server yang rentan memproses permintaan HTTP berbahaya. Celah keamanan ini sangat rentan terhadap eksploitasi, karena terletak di layanan webserver, yang dalam banyak kasus hal ini dapat dilihat dari internet dan oleh karena itu dapat dengan mudah diakses dan dieksploitasi oleh siapapun.
Pemindaian selalu dilakukan dari satu alamat IP, yang tampaknya merupakan mesin yang diinangi di server awan Amazon yang disewa pelaku untuk menyebarkan software pemindaian mereka, dan terus menggunakannya untuk meluncurkan serangan.
Deteksi dan Mitigasi
ESET mendeteksi binari berbahaya dari penambang sebagai trojan Win32/CoinMiner.AMW dan upaya eksploitasi pada lapisan jaringan dengan nama deteksi webDAV/ExplodingCan.
Microsoft mengakhiri dukungan update reguler untuk Windows Server 2003 pada bulan Juli 2015 dan tidak merilis patch untuk kerentanan ini sampai Juni 2017, ketika beberapa kerentanan kritis untuk sistem yang lebih tua ditemukan dan menjadi perhatian para pengembang malware.
Kabar baiknya adalah, terlepas dari status sistem yang sudah berakhir, Microsoft memutuskan untuk menambal kerentanan kritis ini untuk menghindari serangan destruktif skala besar yang serupa dengan wabah WannaCryptor (alias WannaCry). Namun, menjaga agar Windows Server 2003 tetap up to date mungkin sulit karena fakta bahwa pembaruan otomatis tidak selalu berjalan dengan lancar.
Akibatnya, banyak dari sistem ini yang masih rentan sampai hari ini. ESET sangat menyarankan pengguna Windows Server 2003 untuk menerapkan KB3197835 dan patch penting lainnya sesegera mungkin (jika pembaruan otomatis gagal maka unduh dan pasang pembaruan keamanan secara manual!).
Pelaku sangat aktif pada akhir Agustus namun terlihat tenang sejak awal bulan ini tanpa ada infeksi baru yang masuk. Hal ini disebabkan karena penambang tidak memiliki mekanisme persistensi, Pelaku perlahan mulai kehilangan mesin yang sudah dikompromikan, dan tingkat hash total telah turun sampai turun 60 kH/s pada saat ini. Ini bukan pertama kalinya para penjahat maya beristirahat dan ada kemungkinan operasi baru akan diluncurkan dalam waktu dekat.
Jumlah korban belum diketahui secara pasti, namun dapat diperkirakan dari total tingkat hash yang dihasilkan oleh pelaku. Menurut tolok ukur CPU, konsumen high-end prosesor Intel i7 memiliki tingkat hash sekitar 0,3-0,4 kH/s. Namun, mengingat fakta bahwa eksploitasi terbatas pada sistem yang menjalankan Windows Server 2003, yang kemungkinan besar akan berjalan pada perangkat keras lama dengan CPU lebih lemah, tingkat hash rata-rata per korban akan jauh lebih rendah dan jumlah mesin yang terinfeksi mungkin jauh lebih tinggi.
