Credit image: Freepix
Evolusi EDR Killer Baru Mengancam Keamanan Sistem – Dalam perang melawan serangan siber, tim keamanan selalu mengandalkan perangkat lunak Endpoint Detection and Response (EDR) untuk mendeteksi dan menghentikan ancaman.
Namun, para penjahat siber kini telah mengembangkan senjata baru yang sangat canggih untuk melumpuhkan EDR dan program antivirus (AV), sehingga mereka bisa melancarkan serangan ransomware dengan leluasa.
Sebuah alat baru yang dianggap sebagai evolusi dari “EDRKillShifter” telah ditemukan oleh peneliti keamanan dari peneliti. Alat ini digunakan oleh setidaknya delapan kelompok ransomware berbeda, termasuk RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx, dan INC.
Cara Kerja EDR Killer
Alat baru ini dirancang untuk membunuh proses keamanan tanpa terdeteksi. Cara kerjanya sangat cerdik dan berlapis:
- Kode Tersembunyi: Alat ini menggunakan file binary yang sangat tersembunyi (obfuscated). Kode aslinya baru akan terbaca saat alat ini dijalankan dan disuntikkan ke dalam aplikasi yang sah, membuatnya sulit dideteksi oleh sistem keamanan.
- Serangan BYOVD (Bring Your Own Vulnerable Driver): Alat ini mencari driver sah yang memiliki tanda tangan digital (baik yang dicuri atau kedaluwarsa). Driver ini memiliki nama acak dan sudah terprogram di dalam binary alat tersebut.
- Akses Tingkat Kernel: Jika driver yang dicari ditemukan, alat ini akan memuat driver berbahaya itu ke dalam kernel sistem operasi. Akses ke tingkat kernel ini sangat krusial karena memberikan kontrol penuh atas sistem, termasuk kemampuan untuk menonaktifkan semua program keamanan.
- Melumpuhkan Pertahanan: Setelah mendapatkan akses tingkat kernel, driver palsu yang menyamar sebagai driver sah (misalnya dari CrowdStrike Falcon Sensor Driver) akan mulai melumpuhkan semua proses dan layanan yang terkait dengan program keamanan.
Bukti Kolaborasi Antar Kelompok Penjahat Siber
Para peneliti menemukan bahwa meskipun setiap kelompok ransomware memiliki varian alat “EDR killer” yang berbeda, semuanya menggunakan teknik dasar yang sama, termasuk penggunaan packer bernama HeartCrypt. Ini mengindikasikan adanya kolaborasi dan berbagi alat di antara kelompok-kelompok penjahat siber yang bahkan mungkin saling bersaing.
Peneliti berpendapat bahwa ini bukan sekadar kebocoran satu file binary yang kemudian digunakan kembali, melainkan sebuah kerangka kerja pengembangan yang digunakan bersama. Taktik berbagi alat seperti ini bukanlah hal baru di dunia ransomware, yang menunjukkan ekosistem kejahatan siber yang semakin terorganisir.
Sebelumnya, alat sejenis seperti AuKill juga digunakan oleh beberapa geng ransomware seperti Medusa Locker dan LockBit, sementara peretas FIN7 juga menjual alat khusus mereka, AvNeutralizer, ke berbagai kelompok lain.
|
Baca juga: Ratusan Laptop Dell Rentan terhadap Serangan yang Sulit Dihapus |
Implikasi dan Langkah Perlindungan
Evolusi alat “EDR killer” ini menunjukkan bahwa penjahat siber terus berinvestasi besar dalam menemukan cara baru untuk menembus pertahanan. Serangan ini sangat berbahaya karena:
- Sangat Efisien: Alat ini memungkinkan para penyerang untuk melumpuhkan sistem keamanan dengan cepat dan diam-diam.
- Memanfaatkan Celah Sah: Serangan ini memanfaatkan kelemahan dalam desain sistem yang sah, seperti driver yang ditandatangani secara digital, membuatnya sulit dideteksi oleh sistem keamanan tradisional.
Untuk melindungi diri dari ancaman ini, langkah-langkah berikut bisa diterapkan:
- Tingkatkan Keamanan Endpoint: Meskipun EDR menjadi target, EDR yang modern dan terus diperbarui masih menjadi pertahanan terbaik. Pastikan perangkat keamanan Anda menggunakan teknologi terbaru untuk mendeteksi anomali pada tingkat kernel.
- Edukasi Karyawan: Berikan pelatihan reguler tentang serangan phishing dan taktik rekayasa sosial, karena serangan awal seringkali dimulai dari sana.
- Manajemen Patch yang Ketat: Selalu pastikan semua sistem operasi, aplikasi, dan driver Anda diperbarui ke versi terbaru untuk menutup celah keamanan yang bisa dieksploitasi.
- Isolasi Jaringan: Gunakan segmentasi jaringan untuk membatasi pergerakan penyerang (lateral movement) jika satu perangkat berhasil terinfeksi.
Ancaman ini menjadi pengingat penting bahwa industri keamanan siber harus terus beradaptasi dan mengembangkan pertahanan yang lebih kuat untuk menghadapi taktik yang semakin canggih dari para penjahat siber.
Demikian berita mengenai Evolusi EDR Killer Baru Mengancam Keamanan Sistem, semoga informasi tersebut dapat menambah wawasan dan memberi manfaat.
Sumber berita:
