Image credit: magnific
Manipulasi Driver Kernel Demi Spionase Senyap – Kelompok penjahat siber tingkat tinggi (Advanced Persistent Threat/APT) asal Chengdu, Cina, yang dikenal dengan nama FishMonger (alias Earth Lusca, TAG-22, atau Aquatic Panda), dilaporkan telah memperluas radar operasi mereka.
Tim peneliti keamanan siber dari ESET baru saja mengidentifikasi dua varian Windows teranyar dari pintu belakang (backdoor) SprySOCKS senjata siber yang sebelumnya dikenal hanya mampu menyerang sistem operasi Linux.
Berdasarkan data telemetri yang dihimpun, aktivitas varian Windows ini terdeteksi aktif melancarkan kampanye spionase siber berskala luas.
Target utamanya berfokus membidik berbagai institusi dan organisasi pemerintahan di beberapa negara, meliputi Honduras, Taiwan, Thailand, dan Pakistan.
Kemunculan versi Windows ini menandai lompatan kapabilitas lintas platform (cross-platform) yang signifikan dari FishMonger, kelompok yang diyakini beroperasi di bawah kontraktor siber I-SOON.
Dua Varian Baru
Hasil pembedahan forensik digital menyingkap bahwa peretas menandai kedua varian baru SprySOCKS versi Windows ini dengan nama internal WIN_DRV dan WIN_PLUS.
Kedua varian ini dibangun di atas basis arsitektur Trojan kendali jarak jauh (Remote Access Trojan/RAT) sumber terbuka bernama Trochilus, serta memiliki kesamaan karakteristik dengan malware RedLeaves.
Meskipun fungsi inti spionase dari kedua varian ini sangat mirip, terdapat perbedaan mencolok pada tingkat visibilitas dan metode penyamaran di dalam sistem korban:
1. Varian WIN_PLUS.
Merupakan versi standar tanpa dukungan driver kernel (driverless). Varian ini mengandalkan mekanisme penulisan pustaka kode di dalam folder sistem cetak (print processor) untuk memicu persistensi otomatis.
2. Varian WIN_DRV.
Merupakan versi premium yang dibekali dengan komponen kernel driver tingkat tinggi. Modul driver kernel ini memberikan tingkat siluman (advanced stealth) yang luar biasa.
Karena mampu menyembunyikan eksistensi file, proses biner, hingga jaringan komunikasi malware dari deteksi sistem operasi.
Siasat Licik Membocorkan Hak Istimewa ”Root”
Analisis terhadap arsip sampel awal bernama klelam00007.zip mengungkap bagaimana varian WIN_DRV membangun benteng pertahanannya secara bertahap di komputer target melalui alur eksekusi taktis berikut:
Pemasangan Backdoor via Skrip Batch.
Eksekusi bermula dari berkas klelam00007.bat yang bertugas menyalin seluruh dokumen malware ke dalam direktori Fonts sistem (%SystemRoot%\Fonts\).
Skrip ini mendaftarkan tugas otomatis (scheduled task) bernama ApphostRagistreationVerifier untuk memicu biner legal yang telah ditandatangani digital milik ThinPrint (ApphostRagistreationVerifier.exe) agar berjalan otomatis dengan hak istimewa setingkat SYSTEM pada setiap booting.
Eksploitasi Taktik DLL Side-Loading.
Peretas menggunakan biner legal tersebut untuk memuat pustaka kode palsu buatan mereka sendiri, tpsvcloc.dll.
Sebelum shellcode dieksekusi, komponen pemuat (loader) akan melakukan pemindaian awal untuk mendeteksi keberadaan lingkungan virtual sandbox serta produk keamanan siber (seperti pustaka SbieDll.dll).
Jika kondisi aman, malware akan meluncurkan proses tiruan svchost.exe melalui teknik Process Doppelgänging.
Penyelundupan Driver fsdiskbit.sys Lewat Sertifikat Bocoran.
Guna melewati sistem penegakan tanda tangan driver (Driver Signature Enforcement/DSE) yang ketat pada Windows modern, peretas menandatangani file driver mereka (fsdiskbit.sys) menggunakan sertifikat digital sah yang bocor di internet melalui proyek PastDSE di GitHub.
|
Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah |
Manipulasi Trafik Jaringan
Setelah driver fsdiskbit.sys berhasil dimuat ke dalam kernel, komponen ini bertindak sebagai pemuat memori (Memory Loader) untuk mengaktifkan fungsi utama dari komponen inti bernama RawWNPF (terdaftar sebagai objek driver \Device\RawWNPF).
Komponen RawWNPF inilah yang bertanggung jawab penuh terhadap kemampuan evasi dan manipulasi tingkat tinggi malware WIN_DRV melalui serangkaian fungsi kontrol I/O (IOCTLs) khusus:
Penyembunyian Proses dan File Aktif: Melalui IOCTL 0x220350, driver melakukan pembajakan (hooking) terhadap panggilan sistem NtQuerySystemInformation.
Jika sistem operasi mencoba mengidentifikasi daftar aplikasi yang sedang berjalan, driver secara otomatis memotong dan menghapus ID Proses (PID) milik malware dari output pemindaian.
Driver ini juga bertindak sebagai minifilter driver untuk memalsukan status file malware di direktori Fonts agar mengembalikan respons error STATUS_NO_SUCH_FILE saat coba dibuka oleh admin.
Pengalihan Trafik Otomatis via Platform WFP: Melalui IOCTL 0x220200, driver memanipulasi fungsi IoCompletionRoutine pada driver kernel jaringan bawaan Windows (nsiproxy.sys).
Langkah ini membuat koneksi aktif malware tidak akan pernah tercantum pada perintah pemantau jaringan seperti netstat.exe.
Lebih jauh lagi, driver ini mendaftarkan objek filter paket khusus menggunakan Windows Filtering Platform (WFP) untuk memantau lalu lintas data IPv4 yang masuk dan keluar.
Jika driver mendeteksi adanya paket data TCP acak yang memuat struktur kode data khusus buatan peretas, driver akan secara otomatis mengalihkan (divert) lalu lintas data tersebut langsung ke port rahasia milik server internal SprySOCKS.
Taktik pengalihan pasif (passive backdoor) ini sangat berbahaya karena peretas tidak perlu menanamkan alamat IP C2 statis di dalam biner.
Serta mampu menerima perintah dari peretas melalui port TCP acak mana pun tanpa membocorkan nomor port asli server malware saat dipindai menggunakan aplikasi penganalisis seperti Wireshark.
Modus Operasi Spionase
Varian WIN_PLUS dan WIN_DRV mengimplementasikan fungsi kontrol inti yang serupa, mendukung tiga jalur protokol komunikasi, yaitu TCP, UDP, dan WebSocket, menggunakan pustaka jaringan HP-Socket serta enkripsi AES-128 mode ECB berbasis kunci statis QFTHEYjzX3RBOMgZ.
Malware ini dibekali dengan lebih dari 30 baris perintah kendali (C2 Commands) untuk mengeksfiltrasi data dapur organisasi korban, yang diidentifikasi melalui baris kode pesan (Message ID) sebagai berikut:
1. Message ID 0x09
Menguras informasi spesifikasi gawai secara komprehensif, mulai dari:
- Nama komputer.
- Versi OS.
- Status adapter jaringan.
- Kapasitas CPU/memori.
- Bahasa sistem.
- Status hak istimewa pengguna aktif.
2. Message ID 0x0A – 0x0D
- Meluncurkan.
- Menulis.
- Dan menghentikan konsol perintah interaktif (interactive console)
Tujuannya adalah untuk eksekusi instruksi lanjutan secara langsung di komputer korban.
3. Message ID 0x11 – 0x13
- Melakukan pencatatan massal (enumeration) terhadap modul aplikasi yang sedang berjalan.
- Memiliki kemampuan untuk membunuh paksa proses tertentu berdasarkan PID.
4. Message ID 0x1E – 0x22
- Mengambil alih manajemen kontrol layanan Windows.
- Mengonfigurasi tipe peluncuran aplikasi.
- Menghapus paksa layanan tertentu dari sistem.
5. Message ID 0x2A – 0x2D
Mengendalikan fungsi:
- Pengunduhan.
- Pengunggahan.
- Manajemen transfer dokumen internal organisasi korban.
6. Message ID 0x43
Memata-matai aktivitas harian pengguna dengan menguras daftar dokumen yang baru saja dibuka melalui folder riwayat Windows (\Microsoft\Windows\Recent\ dan \Microsoft\Office\Recent\).
Selain perintah di atas, malware ini juga dilengkapi dengan fungsi pencatat ketukan papan tik (keylogger) terenkripsi XOR 0x44 yang akan merekam isi papan klip (clipboard).
Serta judul jendela aktif ke dalam file lg.dat, apabila mendeteksi adanya konfigurasi aktif pada folder Vault gawai.
|
Baca juga: Jebakan Email Makin Canggih Berkat AI |
Antisipasi Ancaman Infrastruktur
Berdasarkan analisis rekam jejak digital, FishMonger sering kali memanfaatkan celah keamanan lama yang tidak ditambal (N-day vulnerabilities).
Atau kesalahan konfigurasi pada aplikasi pelayan publik (public-facing servers) sebagai gerbang masuk awal untuk menembus perimeter jaringan organisasi.
Para peneliti juga menemukan adanya indikasi terbatas bahwa dalam beberapa skenario serangan, peretas mencoba mengombinasikan malware ini dengan komponen UEFI bootkit guna mengeksploitasi celah keamanan bypass enkripsi pada sistem start-up gawai.
Guna membentengi infrastruktur teknologi organisasi dari paparan varian Windows SprySOCKS, tim pertahanan siber disarankan untuk segera menerapkan langkah-langkah mitigasi berikut:
1. Audit Kebijakan Pemuatan Driver Kernel.
Tegakkan kebijakan kontrol sertifikat yang ketat pada tingkat kernel sistem operasi Windows. Blokir secara massal pemuatan file driver yang ditandatangani menggunakan sertifikat digital lama yang telah dinyatakan berkompromi atau bocor di publik (seperti manifes sertifikat dari proyek PastDSE).
2. Pantau Aktivitas Aturan Firewall Netsh.
Nyalakan alarm pemantauan otomatis jika mendeteksi adanya eksekusi utilitas netsh.exe mencurigakan yang mencoba menghapus atau menambahkan aturan pengecualian masuk (inbound rule) secara mendadak dengan penamaan generik seperti Core Networking – Packet Too Big(ICMPv6 – In).
3. Lacak Sidik Jari File SprySOCKS Tersembunyi.
Lakukan patroli telemetri titik ujung (endpoint telemetry) untuk mencari keberadaan file minifilter atau biner tersembunyi dengan nama spesifik seperti:
- SimpleRunPE.exe.
- tpsvcloc.dll.
- fsdiskbit.sys.
Serta folder enkripsi pada jalur \spool\drivers\color\config.dat.
4. Perketat Pemantauan Protokol WFP.
Lakukan audit terhadap objek filter paket yang terdaftar pada arsitektur Windows Filtering Platform.
Waspadai kemunculan nama filter tak dikenal yang mencoba mengikatkan diri pada lapisan Inbound/Outbound IP Packet v4 Layer untuk memfilter lalu lintas data TCP.
5. Terapkan Penambalan Kerentanan SQL dan Server.
Segera lakukan pemindaian kerentanan dan penambalan (patching) massal terhadap seluruh aplikasi pelayan publik dan server basis data perusahaan guna mengeliminasi peluang eksploitasi kode jarak jauh oleh aktor luar.
Tidak Bisa dengan Cara Biasa
Evolusi SprySOCKS dari platform Linux menuju Windows menjadi bukti otentik bahwa kelompok peretas FishMonger memiliki tingkat fleksibilitas dan sumber daya pengembangan perkakas siber yang sangat matang.
Kemampuan mereka memanfaatkan driver kernel untuk memanipulasi arus lalu lintas paket data WFP secara pasif meruntuhkan efektivitas alat pemantau jaringan tradisional.
Menghadapi taktik spionase yang kian tidak kasat mata ini, ketahanan digital organisasi tidak lagi bisa dipertahankan dengan sekadar mengandalkan pemindaian signature file antivirus standar.
Manajemen risiko yang proaktif, penerapan arsitektur Zero Trust, kedisiplinan driver aktivitas tingkat kernel, serta kecepatan dalam menutup celah keamanan server adalah kunci utama untuk melindungi kedaulatan data dan rahasia negara dari ancaman spionase internasional.
Sumber berita:
