Presentasi tentang Fileless Malware

Pada tulisan sebelumnya saya sudah share materi presentasi pada acara Indonesia Malware Summit 2017. Namun masih ada satu materi yang belum saya share, yaitu tentang Fileless Malware. Pada pertemuan ini, saya yang diminta bercerita tentang Fileless Malware. Di awal presentasi saya cerita tentang laporan Kaspoersky lab yang menemukan malware yang menginfeksi 140 perusahaan di dunia. Perusahaan yang jadi korban ada dari perbankan, perusahaan Telekomunikasi, maupun pemerintahan. Perusahaan-perusahaan ini melaporkan komputernya dihack, namun setelah dilakukan analisa tidak ditemukan ada jejak2 serangan maupun malware. Setelah dilakukan analisa secara mendalam, Kaspersky menemukan bahwa serangan ini menggunakan teknik Fileless malware, sebuah tipe serangan baru.

Fileless Malware

Fileless Malware ini sebuah tipe serangan baru, dimana malware bersembunyi di dalam registry maupun memory. Malware ini mengeksploitasi fitur Powershell dan WMI pada windows. Dengan cara ini malware dapat mengelabui Antivirus. Memang penulis malware selalu berinovasi mencari cara baru untuk mengelabui anti virus. Beberapa teknik pengelabuan malware adalah:

  • Memory resident (malware bersembunyi di dalam memory);
  • Rootkit
  • Bersembunyi di windows registry

Salah satu jenis Fileless Malware yang pertama muncul adalah poweliks. Malware ini termasuk dalam jenis malware trojan click bot. Makssudnya bila komputer kita terinfeksi malware ini, maka komputer kita diam diam akan membuka sebuah alamat tertentu dan mengklik sebuah link tertentu. Misalnya mengklik sebuah halaman iklan. Biasanya setiap satu iklan yang diklik, si penuliss malware akan mendapat bayaran.semakin banyak iklan yang diklik maka semakin banyak juga bayaran yang dia dapat.

Malware jenis ini sebenarnya tidak terlalu berbahaya, namun yang membedakan poweliks dengan malware lainnya adalah, poweliks bersembunyi di registry. Jadi kalau kita melakukan analisa terhadap komputer korban, kita tidak akan menemukan sampel malware. Namun kalau kita membuka windows registry maka akan kita temukan sesuatu yang mencurigakan. Di sebuah registry key berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[ ]

ada sebuah entry yang null [ ]. Isi registry ini tidak bisa dibaca. Bagian registry ini membuat malware ini akan dijalankan setiap kali komputer dihidupkan. Namun kalau kita menggunakan tools registry dump, maka akan terlihat isi entry dari registry ini adalah perintah untuk menjalankan sebuah javascript.

Selain itu ada juga payload malware yang fungsinya adalah untuk menguji apakah pada komputer korban terdapat powershell dan .net. Payload ini diencode dengan base64 dan dipasang di registry. Bila pada komputer tidak ditemukan adanya powershell, maka malware akan mengunduh dari powershell dari web microsoft. Powershell adalah sebuah fitur yang disediakan microsoft untuk memudahkan admin jaringan. Fungsinya seperti shell pada unix. Selain itu script ini akan memasang file .dll, serta menerima perintah dari server C&C (Command & Control). Dengan adanya powershell maka malware dapat menjalankan script berbahaya. Script ini juga diencode dulu dengan base64. Kemudian dipasang di windows registry. Dengan cara ini maka akan sulit bagi antivirus untuk mendeteksi malware ini.

Infeksi Fileless Malware

Selain poweliks beberapa malware yg menggunakan teknik ini, diantaranya Gootkit. Gootkit adalah sebuah malware jenis banking trojan. Secara umum ada beberapa tahapan infeksi dari fileless malware pada komputer korban, yaitu:

  • Auto-Start Registry
  • Loader di Registry yang menjalankan script à Powershell
  • Execute binary – memory

Sementara itu sumber infeksi fileless malware ini adalah berasal dari

  • Website yang terinfeksi malware
  • Email spam

Bila kita mengunjungi sebuah website yang menyebarkan exploit kit Fileless malware, website tersebut akan melakukan scanning terhadap browser kita. Yang dicari adalah browser yang masih memiliki celah keamanan. Selain itu malware akan melakukan scanning untuk mencari Flash, Java dan Microsoft Silverlight pada komputer korban

Beberapa saran pencegahan agar komputer kita tidak terinfeksi Fileless Malware:

  • Hati-hati Email Spam
  • Perhatikan alamat pengirim, Subjek, Isi Pesan, URL
  • Update
  • Web Reputation
  • Behaviour analysis

Bila anda melakukan analisa terhadap komputer yang terkena Fileless Malware, perhatikan beberapa bagian berikut:

  • Process –> rundll32.exe ; dllhost.exe
  • Prefetch
  • Registry

Sementara itu para pakar malware memprediksi teknik fileless ini akan semakin banyak digunakan. Diantaranya digunakan pada:

  • Kovter —> Cryptowall
  • AnglerEK –> mencari sistem PoS (Point of Sale)
  • AnglerEK –> Teslacrypt
  • Hacked website, install script

Demikian sharing saya pada acara indonesia malware summit. Semoga bermanfaat!

Slide presentasi dapat dilihat pada web berikut:

http://www.cert.id/media/files/Jul-_fileless_Malwarev2.pdf

Silahkan tuliskan tanggapan, kritik maupun saran