JawaPos.com – Para ahli Kaspersky menemukan kampanye malware bertarget yang cukup spesifik dalam penyelidikan baru-baru ini. Aktivitas ini menonjol karena penggunaan yang inovatif dari Windows event logs untuk penyimpanan malware serta berbagai teknik penyerang yang mengesankan.

Pakar keamanan siber di Kaspersky menyebut kalau mereka telah berhasil mendeteksi kampanye malware bertarget yang menggunakan teknik unik, menyembunyikan malware “tanpa file” di dalam Windows event logs.

Infeksi awal sistem dilakukan melalui modul penetes dari arsip yang diunduh oleh korban. Kemudian, para penyerang menggunakan berbagai pembungkus antideteksi yang tak tertandingi untuk menjaga agar Trojan tahap terakhir tidak terlalu terlihat jelas.

Untuk menghindari deteksi lebih lanjut, beberapa modul ditandatangani dengan sertifikat digital. Penyerang atau hacker lalu menggunakan dua jenis Trojan untuk tahap terakhir. Ini digunakan untuk mendapatkan akses lebih lanjut ke sistem, perintah dari server kontrol dikirimkan dalam dua cara yakni melalui komunikasi jaringan HTTP dan menggunakan pipa bernama.

Beberapa versi Trojan berhasil menggunakan sistem perintah yang berisi puluhan perintah dari C2. Kampanye ini juga menyertakan alat uji penetrasi komersial, yaitu SilentBreak dan CobaltStrike.

Ini menggabungkan teknik terkenal dengan decryptors yang disesuaikan dan penggunaan Windows event logs pertama yang diamati untuk menyembunyikan shellcode ke sistem.

“Kami menyaksikan teknik malware bertarget baru yang menarik perhatian. Untuk serangan itu, penjahat siber menyimpan dan kemudian mengeksekusi shellcode terenkripsi dari Windows event logs. Itu adalah pendekatan yang belum pernah kami lihat sebelumnya dan sekaligus menyoroti pentingnya tetap waspada terhadap ancaman yang dapat membuat Anda lengah,” kata Denis Legezo, peneliti keamanan utama di Kaspersky.

Dia melanjutkan, penggunaan beberapa suite uji penetrasi komersial juga bukan hal yang Anda lihat setiap hari. Dan, untuk melindungi diri Anda dari malware tanpa file dan ancaman serupa, Kaspersky merekomendasikan beberapa hal.

Pertama, gunakan solusi keamanan titik akhir yang andal. Komponen khusus di Kaspersky Endpoint Security for Business dapat mendeteksi anomali dalam perilaku file dan mengungkapkan aktivitas malware tanpa file.

Penting juga untuk menginstal solusi anti-APT dan respon titik akhir (EDR), memungkinkan penemuan dan deteksi ancaman, investigasi, dan kemampuan remediasi insiden yang tepat waktu. Selain itu, berikan tim SOC Anda akses ke intelijen ancaman terbaru dan tingkatkan mereka secara teratur dengan pelatihan profesional.

Lalu, mengintegrasikan perlindungan titik akhir yang tepat dan layanan khusus yang dapat membantu melindungi dari serangan profil tinggi. Layanan Kaspersky Managed Detection and Response dapat membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang dapat mencapai tujuannya.

Editor : Edy Pramana

Reporter : Rian Alfianto