Tentang Fileless Malware

Baru-baru ini para peneliti keamanan disibukan dengan bahasan tentang fileless malware. Penyebabnya karena Kaspersky baru saja melaporkan 140 perusahaan dari 40 negara menjadi korban infeksi fileless malware. Nah, sebenarnya apa sih fileless malware?

Fileless malware sebenernya istilah untuk menggambarkan sebuah serangan malware yang tidak menggunakan file. Biasanya bila komputer anda terinfeksi sebuah malware, penyebabnya karena ada sebuah file malware yang menginfeksi Harddisk kita. File malware ini lah yang coba dideteksi oleh antivirus. Bila file malware ditemukan, biasanya akan dipindahkan ke karantina oleh antivirus.

Untuk menghindari deteksi antivirus, penulis malware mengembangkan teknik fileless malware. Jadi serangan dilakukan tanpa meninggalkan sebuah file pada komputer korban. Dengan cara ini maka serangan akan sulit untuk dideteksi. Ada beberapa jenis serangan fileless malware:

  1. Bersembunyi di memory (RAM)
  2. Menggunakan Rootkit
  3. Menggunakan fungsi Registry pada Windows

Serangan Fileless Malware pertama ditemukan pada tahun 2014 yaitu serangan Poweliks Trojan. Serangan ini untuk melakukan click Fraud. Maksudnya ketika serangan ini dilakukan, komputer korban akan mengunduh banyak iklan dan mengklik secara otomatis iklan tersebut. Dengan cara ini korban akan mendapat banyak uang dari iklan tersebut.

Namun saat ini fileless malware telah berkembang pesat dan memiliki berbagai fungsi, diantaranya:

  1. Menambahkan malware baru pada komputer korban
  2. Mencuri informasi dari komputer korban
  3. Menggunakan exploit kit
  4. Mengeksploitasi berbagai celah keamanan zero-day
  5. Memasang Ransomware

Ok, mungkin anda bertanya, kalau penyerang tidak memasang sebuah file malware pada komputer korban, lantas bagaimana serangan dilakukan? Ada beberapa cara, berikut saya beri contoh sebuah serangan fileless malware yang memasang Ransomware

  1. Korban menjalankan browser yang memiliki plugin Flash versi lama (belum diupdate)
  2. Korban membuka sebuah halaman website yang mengandung script exploit kit Angler.
  3. Exploit kit akan melakukan scanning untuk mencari celah keamanan pada komputer korban, dan menemukan plugin flash yang belum diupdate.
  4. Kemudian penyerang akan menjalankan payload yang dijalankan di memori (RAM)
  5. Komputer korban akan terhubung dengan server C&C (Command & Control) kemudian mulai memasang Ransomware.

Exploit Kit memegang peranan penting dalam serangan ini. Selain Angler telah ditemukan juga beberapa exploit kit lainnya, diantaranya Kovter yang digunakan untuk menyebarkan spam. Bahkan telah ditemukan layanan cloud Exploit-kits-as-a-service.

Walaupun serangan ini sulit dideteksi, namun ada beberapa langkah yang dapat kita lakukan untuk mencegah serangan ini, diantaranya:

  1. Selalu mengupdate aplikasi dan sistem operasi kita
  2. Blok halaman web yang menjalankan exploit kit
  3. Blok IP server C&C (command & Control)
  4. Bila IP penyerang telah diketahui, blok IP Penyerang

Demikian semoga bermanfaat:

Beberapa bahan bacaan

https://heimdalsecurity.com/blog/fileless-malware-infections-guide/

https://www.virusbulletin.com/conference/vb2016/abstracts/one-click-fileless-infection

https://www.mcafee.com/in/resources/solution-briefs/sb-quarterly-threats-nov-2015-1.pdf

https://blog.malwarebytes.com/cybercrime/2016/03/fileless-infections-an-overview/

https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/

Analisa Symantec tentang  malware Poweliks

Analisa tentang exploit kit Angler EK 

Analisa malware Fessleak: Ransomware yang memanfaatkan Zero-Day Driven 

Penanganan serangan malware Poweliks

 Pembahasan tentang serangan yang menggunakan Exploit kit

Silahkan tuliskan tanggapan, kritik maupun saran