Industri IT telah mengalami peningkatan serangan malware. Menurut Laporan Cyber Threat 2022 dari SonicWall, hampir 2.8 miliar serangan malware terdeteksi pada tahun 2022. Sekitar 30% dari serangan malware tersebut dilakukan menggunakan email yang berisi link dan attachment berbahaya.
Pada 10 Juni 2022, salah satu malware yaitu Dark Crystal, atau dikenal juga sebagai DCRat, mengguncang Ukraina. Serangan ini merupakan Remote Access Trojan (RAT) yang telah menerima upgrade berkala dan modul baru sejak 2018. Malware DCRat mencakup Integrated Development Environment (IDE) miliknya sendiri, yang memungkinkan akses dan kontrol perangkat yang terinfeksi dari jarak jauh.
Bagaimana serangan DCRat dilakukan?
Serangan DCRat biasanya menggunakan beragam strategi licik, seperti malspam, phishing, spear phishing, pemanfaatan software komersial bajakan seperti software updater palsu, serta penggunaan software antivirus yang sudah diretas seperti Microsoft Defender, untuk mengunduh dan menjalankan .NET payload DCRat pada sistem korban.
Metode distribusi DCRat bergantung pada kampanye spam yang mengirim ribuan email penipuan. Pada email tersebut, dokumen Microsoft 365 berbahaya diselipkan dan dikirim kepada korban potensial. Dokumen ini berisi macro code yang akan menjalankan batch script bernama c:\user\public\new.bat. Ketika korban membuka dokumen, script akan dijalankan di PowerShell untuk mengunduh payload tahap kedua, yang bertugas untuk mengunduh dan menjalankan malware DCRat sesungguhnya.
Berikut ini adalah proses dari serangan DCRat:
Fig 1: Workflow serangan DCRat.
Tabel di bawah ini memuat daftar berbagai taktik dan teknik dari framework ATT&CK yang relevan dengan serangan malware DCRat.
|
Taktik |
Teknik |
Deskripsi |
|
Reconnaissance |
Gather Victim Host Information (T1592.001) (T1592.002 ) Gather Victim Network Information (T1590.005 ) |
Penyerang mendapatkan akses ke informasi tentang perangkat target. Informasi ini dikumpulkan melalui berbagai teknik, seperti phishing dan active scanning. Penyerang mencoba mengumpulkan IP address korban yang dapat digunakan ketika menarget mereka. |
|
Initial access |
Phishing: Spearphishing attachment (T1566.001) |
Penyerang berusaha mendapatkan akses ke perangkat yang terjangkit serangan melalui email spear phishing. |
|
Execution |
Command and Scripting Interpreter: PowerShell (T1059.001) Command and Scripting Interpreter: Windows Command Shell (T1059.003 ) |
Penyerang menyalahgunakan command dan script PowerShell untuk menjalankan serangan. Selain itu, penyerang juga dapat menyalahgunakan Windows Command Prompt untuk mengendalikan berbagai aspek sistem korban dengan tingkatan izin yang berbeda. |
|
Execution, Persistence, and Privilege execution |
Scheduled Task/Job: Scheduled Task (T1053.005) |
Penyerang akan menyalahgunakan Windows Task Scheduler untuk menjalankan kode berbahaya. Mereka menggunakan .NET wrapper untuk penjadwalan tugas tertentu. |
|
Defense Evasion |
Masquerading (T1036) |
Penyerang memanipulasi fitur agar terlihat resmi dan meyakinkan di mata pengguna. |
|
Defense Evasion |
Obfuscated Files or Information (T1027) |
Penyerang mengenkripsi isi file agar sulit dianalisis. |
|
Defense Evasion |
System Binary Proxy Execution: Mshta (T1218.005) |
Penyerang dapat menyalahgunakan mshta.exe untuk mengeksekusi file HTA dan JavaScript berbahaya melalui utilitas Windows tepercaya. |
|
Discovery |
System Time Discovery (T1124) |
Penyerang mencoba mencari zona waktu pada sistem remote dengan bantuan .NET executables. |
|
Command and Control |
Ingress Tool Transfer (T1105) |
Penyerang mengirim tool atau file dari sistem eksternal mereka ke sistem yang telah terjangkit malware. |
|
Impact |
Data Destruction (T1485 ) |
Penyerang mencoba menghancurkan, memodifikasi, membuat, atau menimpa (overwrite) file pada sistem tertentu. |
|
Impact |
System Shutdown/Reboot (T1529) |
Penyerang dapat mencoba reboot atau shut down sistem untuk menginterupsi akses. |
Best practice untuk menghindari serangan RAT
1. Update OS, program, dan software antivirus Anda secara berkala. Biasanya, update software dapat memperbaiki kelemahan yang rentan dieksploitasi oleh RAT.
2. Pastikan firewall diaktifkan pada setiap perangkat Anda untuk menghindari koneksi masuk dan keluar yang tidak disetujui.
3. Jangan mengunduh file dari website yang mencurigakan karena berpotensi memiliki file berbahaya. Gunakan software antimalware atau antivirus yang tepercaya, lalu pindai sistem secara berkala untuk menemukan dan menghilangkan potensi RAT atau malware.
4. Lakukan safe browsing dan tetap berhati-hati ketika berinteraksi online. Waspada terhadap email phishing, pesan phishing, dan link mencurigakan.
5. Backup file penting secara berkala dan simpan file tersebut di tempat yang aman. Ketika terjadi infeksi RAT atau insiden keamanan lainnya, backup memungkinkan Anda untuk mengembalikan data tanpa membayar tebusan atau mengalami kerugian signifikan.
Bagaimana solusi SIEM mampu menangani serangan tersebut?
Solusi SIEM yang efektif mampu mendeteksi, memprioritaskan, menginvestigasi, dan merespons ancaman keamanan. Solusi ini juga mampu mendeteksi dan memitigasi berbagai serangan malware, termasuk DCRat.
Aktivitas di bawah ini dapat dilakukan dengan solusi SIEM yang efektif:
-
Mengaudit PowerShell untuk melihat script yang dijalankan pada sistem Anda. Audit ini memberikan informasi tentang orang yang menjalankan script dan kapan script dijalankan.
-
Memantau semua perubahan file, termasuk perubahan nama, pembuatan file, modifikasi, dan penghapusan file.
-
Mendapatkan peringatan tentang aktivitas mencurigakan, termasuk aktivitas malware.
-
Menganalisis berbagai event yang terjadi di seluruh jaringan Anda untuk mengidentifikasi ancaman.
-
Memantau dan mengaudit network share pada organisasi Anda
-
Melacak aktivitas mencurigakan pada file server dan perangkat endpoint.
-
Memantau event logon dan logoff.
Jika Anda ingin melindungi organisasi Anda dari serangan malware seperti DCRat, gunakan solusi SIEM ManageEngine Log360. Solusi SIEM ini memiliki kemampuan keamanan data dan keamanan cloud yang dapat Anda lihat lebih dalam pada sesi demo yang dipersonalisasi.
