Image credit: Freepix
Saat Foto Menjadi Senjata Siber – Sebuah kampanye malware baru yang sangat canggih telah terdeteksi menggunakan Remote Access Trojan (RAT) bernama PureRAT untuk menyusup ke sistem Windows secara diam-diam.
Hal yang membuat kampanye ini menonjol adalah kemampuannya menyembunyikan kode berbahaya di dalam file gambar PNG yang tampak biasa.
Begitu infeksi berhasil menetap, malware ini berjalan sepenuhnya di dalam memori perangkat. Teknik yang dikenal sebagai fileless execution (eksekusi tanpa file).
Ini membuat PureRAT hampir tidak meninggalkan jejak pada cakram keras (disk), sehingga sangat sulit dideteksi oleh alat keamanan tradisional yang biasanya mengandalkan pemindaian file statis.
|
Baca juga: Operasi Senyap di Asia Bawa Malapetaka |
Sembunyi di Balik Gambar
PureRAT menggunakan rantai infeksi multitahap yang dirancang untuk mengelabui mata manusia dan mesin. Serangan dimulai dengan file .lnk berbahaya sebuah pintasan (shortcut) Windows yang sering dipercayai pengguna karena menyerupai ikon aplikasi reguler.
Ketika korban membuka pintasan tersebut, sebuah perintah PowerShell rahasia akan berjalan di latar belakang tanpa sepengetahuan pengguna.
Perintah ini kemudian menghubungi server jarak jauh dan mengunduh gambar PNG yang menyimpan muatan (payload) berbahaya menggunakan teknik steganografi.
Secara kasat mata, gambar tersebut terlihat normal, namun di dalamnya terdapat file Portable Executable (PE) yang dikodekan dalam Base64, siap untuk didekode dan dimuat langsung ke memori sistem.
Para peneliti mencatat bahwa pemuat (loader) tahap kedua yang berbasis PowerShell ini sangat dikaburkan (obfuscated) dengan tambahan data sampah untuk menyesatkan analisis otomatis.
Selain itu, malware ini memiliki kemampuan untuk mendeteksi lingkungan virtual seperti VMware dan QEMU; jika ia mendeteksi sedang berada dalam kotak pasir (sandbox) analisis, PureRAT akan segera menghentikan operasinya untuk menghindari deteksi peneliti.
Mekanisme Kerja PureRAT dalam Sistem
Setelah berhasil menyusup, PureRAT melakukan pemindaian sidik jari (fingerprinting) terhadap inang untuk mengumpulkan detail produk keamanan yang terpasang, identitas perangkat keras, dan hak istimewa pengguna. Berikut adalah beberapa teknik canggih yang digunakannya:
- Bypass UAC: Mengelabui kontrol akun pengguna menggunakan alat sistem sah seperti cmstp.exe.
- Process Hollowing: Menyuntikkan kode berbahaya ke dalam biner msbuild.exe yang sah. Dengan cara ini, kode jahat berjalan di bawah proses Windows yang tepercaya, sehingga biner asli pada disk tetap tidak tersentuh dan tetap berstatus sebagai file digital yang sah.
- Komunikasi C2 Dinamis: Terhubung ke server perintah dan kontrol (C2) untuk menerima instruksi tambahan, seperti memasang plugin untuk perekaman ketukan tombol (keylogging), pemantauan layar, atau akses desktop jarak jauh.
Persistensi dalam sistem dijaga melalui tugas terjadwal pada registry Windows, memastikan malware akan berjalan kembali secara otomatis setiap kali sistem dinyalakan.
|
Baca juga: Pembajakan Kendali Situs Web |
Teknis Eksekusi Tanpa File
Inti dari kecanggihan PureRAT terletak pada pengiriman muatan langsung di memori. Setelah skrip PowerShell mengunduh gambar PNG, skrip tersebut akan:
- Mengidentifikasi indeks awal dan akhir muatan tersembunyi.
- Mengekstraknya, melakukan penggantian karakter.
- Membalikkan data.
- Mendekodenya menjadi larik bita (byte array).
Larik bita ini kemudian dimuat langsung ke memori sebagai perakitan .NET menggunakan fungsi System.Reflection.Assembly Load(). Seluruh operasi berjalan di dalam memori proses PowerShell.
Di tahap berikutnya, sebuah DLL .NET yang tersembunyi akan melakukan dekripsi menggunakan rutinitas Triple DES untuk menyelesaikan rantai pengiriman yang sepenuhnya tanpa file.
Memperkuat Pertahanan
Menghadapi ancaman yang mampu “menghilang” di dalam memori seperti PureRAT, langkah-langkah pengamanan harus ditingkatkan melampaui pemindaian antivirus biasa:
- Perketat Kebijakan Eksekusi: Terapkan kebijakan eksekusi yang ketat untuk skrip PowerShell dan VBS di seluruh endpoint. Konfigurasikan perlindungan untuk mendeteksi aktivitas di dalam memori seperti Process Hollowing.
- Batasi Biner Windows: Pantau dan batasi penggunaan alat sistem seperti cmstp.exe dan msbuild.exe yang sering disalahgunakan dalam rantai serangan ini.
- Gunakan Intelijen Ancaman: Blokir domain C2 dan alamat IP yang diketahui berbahaya serta pantau lalu lintas jaringan pada port non-standar.
- Lakukan Penambalan Rutin: Selalu terapkan pembaruan keamanan secara berkala untuk menutup celah yang mungkin dieksploitasi penyerang saat akses awal.
Sumber berita:
