Butuh waktu bagi para periset untuk menemukan satu jenis varian virus. Bisa hanya dalam 10 menit dengan AI untuk mendeteksi malware menggunakan data model. Tapi bisa jadi bertahun-tahun karena saking canggihnya malware tersebut. Contohnya yang baru-baru ini ditemukan oleh periset Kaspersky sebuah malware yang bisa dibilang sangat canggih dan multi fungsi, dinamakan StripedFly.
Awalnya mereka menemukan aktifitas mencurigakan pada proses WININIT.EXE pada sebuah komputer dengan Windows OS. Aktifitas ini sengat mirip dengan Equation malware yang pernah diobservasi sebelumnya. Setelah diselidiki lebih jauh, ternyata malware ini sudah pernah terdeteksi di tahun 2017 dan dikategorikan hanya sebagai sebuah cryptominer. Ternyata fungsi cryptominer ini hanyalah sebagai sebuah kedok agar tidak dibedah lebih jauh oleh para periset. Ternyata StripedFly memiliki kapabilitas untuk menjalankan perintah dan kode dari jarak jauh, mengambil gambar screen, merekam suara, mencuri password dan data sensitif lainnya dan menyebar ke endpoint sekitar dengan mudah. Bisa dibilang malware ini paket lengkap, semua fungsi sadis sebuah malware ada di StripedFly ini. Sangatlah jarang untuk sebuah malware dengan multi fitur seperti ini. Biasanya malware seperti ini disponsori oleh kalangan atas atau bahkan level pemerintah, walaupun belum ada bukti yang jelas.
Cara Kerja StripedFly
Periset Kaspersky ini mengungkapkan awal mula penyusupan StripedFly adalah dengan mengeksploitasi kerentanan EternalBlue pada Windows OS, sebuah eksploit yang bisa mengizinkan hacker untuk menjalankan perintah pada sebuah komputer Windows yang memiliki protokol file & printer sharing "Server Message Block (SMB) 1". Walaupun Microsoft telah merilis patch untuk menutup kerentanan ini, tapi masih banyak komputer yang belum menginstal hingga sekarang.
Begitu StripedFly menginjeksi shellcode nya ke WININIT.EXE, malware ini akan mulai mengunduh file tambahan dari hosting yang terpercaya seperti GitHub, GitLab dan Bitbucket. Begitu file-file ini terunduh dan dijalankan, malware ini melindungi diri dengan menjalankan fungsi TOR agar komunikasi rutin dengan pusat kontrol sulit terdeteksi. Para periset sangat terpana dengan dedikasi si pembuat malware ini dalam menyembunyikan pusat kontrol, menandakan betapa tingginya kemampuan mereka.
Setelah berhasil terinstal, modul-modul dari StripedFly dibawah ini akan aktif dan dapat dijalankan sesuai keinginan pusat kontrol.
- Upgrade/Uninstall: Melakukan update atau menghapus diri.
- Reverse Proxy: Mengizinkan menjalankan perintah secara remote.
- Credential Harvester: mengumpulkan data sensitif dan password dari fitur autofill.
- Command Handler: menjalankan shellcode dan mengambil gambar.
- Recon: Mengirim data komputer yang terinfeksi.
- SSH Infector: mengambil akun SSH untuk menyebar ke sistem lain pada satu jaringan.
- SMBv1 Infector: Menyebar ke sistem Windows lain menggunakan kerentanan EternalBlue.
- Cryptomining: menambang koin crypto sebagai fitur kamuflase.
Menurut perhitungan dari jumlah unduhan file StripedFly, total angkanya adalah satu juta. Bisa diartikan, malware ini sudah menginfeksi satu juta komputer. Dan tidak hanya menginfeksi mesin Windows tapi juga Linux. Yang masih menjadi misteri adalah maksud dari infeksi malware canggih ini. Biasanya setiap malware canggih memiliki motif finansial, atau biasa dibilang sebagai ransomware. Tapi setelah enam tahun berkeliaran di dunia maya, masih belum ada satu pihak pun yang mengklaim telah mengambil keuntungan pada komputer-komputer yang telah terinfeksi.
Cara Menghindari Infeksi
Seperti malware lainnya, StripedFly memanfaatkan kerentanan yang belum ditemukan dan diperbaiki oleh pemilik komputer. Jadi untuk memastikan sistem kita terhindar dari infeksi malware ini, kita harus menginstal versi/update terbaru secara reguler. Untuk sistem di lingkungan korporasi, peran SOC sangatlah penting untuk mendeteksi traffic yang mencurigakan. Memberikan peralatan terbaru pada tim SOC sangatlah krusial untuk mempermudah kerja mereka dalam mendeteksi malware. Dan terakhir, keamanan siber ini adalah peran semua orang. Kita sebagai pengguna sistem harus memastikan untuk lebih berhati-hati dalam membuka, mengklik tautan serta membagikan informasi sensitif.