Karena peningkatan keamanan dalam sistem operasi, penggunaan rootkit terus menurun selama beberapa tahun. Dengan demikian, pengembang malware, terutama mereka yang bekerja dalam kelompok spionase telah sibuk mengembangkan malware userland secara rahasia.
Baru-baru ini, para peneliti ESET telah menyelidiki backdoor canggih yang digunakan oleh kelompok spionase terkenal Turla, juga dikenal sebagai Snake. Backdoor ini dijuluki LightNeuron, telah secara khusus menargetkan server Microsoft Exchange mail sejak 2014. Meskipun tidak ada sampel yang tersedia untuk analisis, artefak kode dalam versi Windows membuat ESET percaya bahwa itu varian Linux.
Turla Di balik LightNeuron
ESET percaya dengan keyakinan tinggi bahwa Turla mengoperasikan LightNeuron. Artefak berikut, yang dikumpulkan selama investigasi yang dilakukan ESET menjadi bukti yang mendukung hal ini:
- Di satu server Exchange yang dikompromikan:
- Skrip PowerShell yang mengandung malware yang sebelumnya dikaitkan dengan Turla dibatalkan 44 menit sebelum skrip PowerShell digunakan untuk menginstal LightNeuron.
- Kedua skrip terletak di C:\windows\system32.
- Skrip yang digunakan untuk menginstal LightNeuron memiliki nama file -msinp.ps1- yang terlihat seperti nama file khas yang sering digunakan oleh Turla.
- Di server lain yang disusupi, IntelliAdmin yaitu alat administrasi jarak jauh yang dikemas dengan pengemas yang hanya digunakan oleh Turla – didrop oleh LightNeuron.
- Untuk setiap serangan LightNeuron, ada beberapa contoh malware Turla di jaringan yang sama.
- Alamat email yang digunakan oleh pelaku terdaftar di GMX dan menyamar sebagai karyawan dari organisasi yang ditargetkan. Penyedia yang sama digunakan untuk backdoor Outlook dan untuk backdoor PowerShell tidak berdokumen kami bernama PowerStallion.
Malware LightNeuron
LightNeuron, setahu ESET adalah malware pertama yang secara khusus menargetkan server email Microsoft Exchange. Ia menggunakan teknik persistensi yang belum pernah terlihat sebelumnya: Transport Agent. Dalam arsitektur server mail, ini beroperasi pada tingkat yang sama dengan produk keamanan seperti filter spam.
Dengan memanfaatkan akses Transport Agent, LightNeuron dapat:
- Baca dan modifikasi email apa saja yang melalui server mail.
- Tulis dan kirim email baru.
- Blokir semua email. Penerima asli tidak akan menerima email.
Alamat email yang digunakan dalam aturan ini dikustomisasi untuk setiap korban untuk menargetkan orang yang paling menarik. Di akhir rules, ada daftar handler yang dilaksanakan oleh LightNeuron. Fungsi-fungsi ini digunakan dalam aturan untuk memproses email.
Backdoor
Perintah handler berbeda dari yang lain yang melakukan modifikasi pada email. Ini sebenarnya adalah backdoor yang dikendalikan oleh email. Perintah disembunyikan dalam lampiran PDF atau JPG menggunakan steganografi.
Pelaku hanya perlu mengirim email yang berisi dokumen PDF atau gambar JPG yang dibuat khusus ke alamat email organisasi yang disusupi. Ini memungkinkan kontrol penuh atas server Exchange dengan menggunakan perintah.
Setelah email dikenali sebagai email perintah, perintah dieksekusi dan email diblokir langsung di server Exchange. Dengan demikian, sangat tersembunyi dan penerima asli tidak akan dapat melihatnya.
Steganografi
LightNeuron menggunakan steganografi untuk menyembunyikan perintahnya di dalam dokumen PDF atau JPG. Jadi, bahkan jika email dicegat, ia masih mungkin terlihat sah, karena mengandung lampiran yang valid.
Dalam kasus PDF, data perintah dapat di mana saja di dalam dokumen. Operator LightNeuron cukup menambahkan header di awal PDF untuk menentukan offset di mana data berada. Jika email yang berisi wadah perintah seperti itu tertanam dalam JPG atau dalam PDF, dikirim ke server yang dikompromikan oleh LightNeuron, kalkulator akan dijalankan di server Microsoft Exchange.
Mengatasi masalah
Membersihkan LightNeuron bukanlah tugas yang mudah. Hanya menghapus dua file berbahaya akan menghentikan Microsoft Exchange, mencegah semua orang di organisasi mengirim dan menerima email. Sebelum benar-benar menghapus file, transport agent berbahaya harus dinonaktifkan.
Selama beberapa tahun terakhir, ESET telah banyak meneliti dan merinci aktivitas grup Turla, termasuk serangan man-in-the-middle terhadap adobe.com atau malware userland canggih. Namun, untuk saat ini tampaknya LightNeuron telah menjadi malware yang paling canggih dalam jajaran persenjataan Turla.Selama beberapa tahun terakhir, ESET telah banyak meneliti dan merinci aktivitas grup Turla, termasuk serangan man-in-the-middle terhadap adobe.com atau malware userland canggih. Namun, untuk saat ini tampaknya LightNeuron telah menjadi malware yang paling canggih dalam jajaran persenjataan Turla.
Dengan memanfaatkan mekanisme persistensi yang sebelumnya tak terlihat, transport agent Microsoft Exchange, LightNeuron memungkinkan operatornya untuk tetap di bawah radar selama berbulan-bulan atau bertahun-tahun. Hal ini memungkinkan mereka untuk mengeksfiltrasi dokumen sensitif dan mengontrol mesin lokal lainnya melalui mekanisme C&C yang sangat sulit untuk dideteksi dan diblokir.
