Pada tulisan sebelumnya saya ceritakan tentang malware Epic Turla. Tulisan kali ini dibahas lebih lanjut tentang operasi malware Epic Turla. Malware ini digunakan untuk operasi spionase. Setelah menentukan target yang akan diserang, korban akan akan dipancing untuk mengunjungi sebuah website dengan teknik social engineering. Pembuat malware telah menginjeksi kode tertentu pada website tersebut. Teknik ini disebut watering hole attack. Kode ini akan mengarahkan korban pada sebuah website lain yang diberi istilah Mothership. Website ini akan menginstall backdoor pada korban.
Setelah backdoor terpasang, maka malware akan menjalankan fungsi yang diperintahkan Command & Control Server pada komputer korban. Perintah yang dijalankan diantaranya menjalankan perintah pada cmd pada background process. Contohnya perintah:
arp -a
netstat
net view
net config
dll
Kemudian malware akan mencoba mengakses komputer-komputer yang terhubung pada jaringan. Selain itu malware akan mencoba menerobos komputer pada jaringan dengan menggunakan sejumlah kombinasi password list. Malware epic turla ini juga mampu mengunduh dan menginstall malware lainnya yang lebih kompleks, yaitu Carbon atau Cobra.
Komunikasi malware dengan server C&C ada yang dilakukan melalui proxy maupun VPN. Komunikasi ini dienkripsi. Pada komputer korban, malware mendeteksi apakah ada proses monitoring seperti wireshark, tcpdump atau ethereal yang sedang berjalan. Bila malware menemukan proses tersebut pada komputer korban, maka malware akan menghentikan aksinya. Peneliti malware masih terus penyelidikan terhadap malware ini. Diduga malware ini masih terus dikembangkan.
Beberapa bacaan tentang tema ini :
http://www.baesystems.com/what-we-do-rai/the-snake-campaign?r=ai
http://artemonsecurity.com/uroburos.pdf
https://www.circl.lu/pub/tr-25/
http://securelist.com/analysis/publications/65545/the-epic-turla-operation/
