Trojan AllAple dan 10 Serangan Siber Dahsyat ke RI, Waspada!

Lidya Julita S, 博彩网站

06 March 2021 17:02

Jakarta, 博彩网站 - Badan Siber dan Sandi Negara (BSSN) mencatat semakin banyak serangan dari para peretas. Hal ini sejalan dengan semakin banyaknya pengguna internet selama masa pandemi covid-19.

Salah satu perangkat lunak berbahaya yang digunakan oleh peretas adalah Trojan. Perangkat lunak ini dapat merusak sebuah sistem atau jaringan. Berbeda dengan virus ataupun worm, trojan bersifat tidak terlihat, dan seringkali menyerupai program, atau file yang
wajar, seperti file .mp3, software gratis, antivirus palsu, atau game gratis.

Dari laporan BSSN yang dikutip Sabtu (6/3/2021) ada banyak jenis serangan siber yang terjadi selama ini. Mulai dari jenis trojan lainnya seperti AllAple hingga CobaltStrike.

Berikut 10 serangan dahsyat siber ke Indonesia:

1. AllAple

Win.Trojan.Allaple merupakan sebuah trojan yang memungkinkan penyerang untuk mengunduh dan mengeksekusi arbitrary file, termasuk malware tambahan. Malware ini secara eksklusif dapat dikaitkan dengan malware family dari Net-worm:W32/Allaple.
Malware Allaple adalah jenis polymorphic malware yang dirancang untuk menyebar melalui Local Area Network (LAN) dan Internet.

Malware Allaple ditemukan pada akhir tahun 2006. Awalnya malware ini dirancang oleh customer yang tidak puas pada perusahaan asuransi untuk melakukan serangan Distributed Denial-of-Service (DDoS) pada beberapa situs web di Estonia.

Penyebarannya ketika diunduh oleh korban, malware ini akan mendekripsi dirinya sendiri setelah mengalokasikan memori untuknya dan kemudian meneruskan kontrol ke kode yang
didekripsi di dalam memori. Pasca melakukan dekripsi yang melibatkan pemanggilan fungsi melalui obfuscated interface, selanjutnya kode ini akan menginstalasi dirinya sendiri sebagai suatu layanan dan mencari file .htm / .html di dalam logical drive yang
ditetapkan pada sistem, menginstalasi salinan dirinya yang diberi nama secara acak di dalam direktori system32 selama setiap pencarian file .htm / .html.

2. ZeroAccess

Win.Trojan.ZeroAccess adalah malware jenis Trojan Horse yang menyerang sistem operasi Microsoft Windows. Trojan ini digunakan untuk mengunduh malware lain pada mesin yang terinfeksi botnet sambil tetap tersembunyi menggunakan teknik rootkit. Trojan ini disebut ZeroAccess karena string yang ditemukan di kode driver kernel yang mengarah ke folder proyek asli yang disebut ZeroAccess.

Botnet ZeroAccess ditemukan sekitar Mei 2011. Rootkit ZeroAccess yang bertanggung jawab atas penyebaran botnet diperkirakan telah ada tersebar setidaknya di 9 juta sistem. Perkiraan ukuran botnet berbeda-beda di setiap sumber. Vendor antivirus Sophos memperkirakan ukuran botnet sekitar 1 juta mesin aktif dan terinfeksi pada kuartal ketiga 2012, dan firma keamanan Kindsight memperkirakan 2,2 juta sistem yang terinfeksi dan aktif.

ZeroAccess disebarkan melalui beberapa cara. Beberapa situs web yang telah disusupi, mengarahkan lalu lintas ke situs web jahat yang menjadi host Trojan.ZeroAccess dan mendistribusikannya menggunakan Blackhole Exploit Toolkit dan Bleeding Life Toolkit.

Trojan ini juga memperbarui dirinya sendiri melalui jaringan peer-to-peer, dan memungkinkan si pembuat malware untuk memperbaikinya serta berpotensi menambah fungsionalitas baru.

3. ScadaMoxa

Sistem kontrol industri / Industrial Control System (ICS), termasuk sistem kontrol pengawasan dan akuisisi data / Supervisory controland data acquisition (SCADA), digunakan dalam industri seperti penyedia energi, manufaktur, dan penyedia infrastruktur penting untuk mengontrol dan memantau berbagai aspek dari berbagai proses industri. Sistem ICS menggunakan banyak mekanisme dan protokol yang juga digunakan dalam sistem dan jaringan TI tradisional.

Peretas pada awalnya dapat memasukkan malware ke dalam pabrik karena terdapat kecacatan dalam prosedur keamanannya yang memungkinkan akses ke beberapa stasiunnya, serta jaringan kontrol keamanannya. Peretas menyebarkan RAT pada tahap kedua dari eksploitasi mereka, yang pertama untuk malware yang menargetkan sistem kontrol industri. Malware ini bekerja menggunakan shellcode.

4. WillExec

Trojan.WillExec dibuat pada bulan Juni tahun 2009 lalu, di mana untuk pertama kalinya diluncurkan pada bulan November tahun 2017. Tipe trojan ini adalah executable file yang dapat dijalankan pada sistem operasi Windows 32 bit atau Win32 EXE.

Beberapa perangkat anti-virus juga mendeteksi malware ini dengan nama Win.Trojan.WillExec, Win32:Malware-gen dan Trojan:Win32/Lethic.Q!bit. Kerentanan ini masuk ke dalam golongan malware kategori trojan yang menyamar dan mengelabui pengguna seolah-olah merupakan perangkat lunak yang sah. Trojan juga digunakan oleh penyerang sebagai backdoor untuk dapat mengakses data-data sensitif milik korban.

Cara kerja malware ini yaitu dengan memasukkan trojan ke dalam suatu proses kemudian mematikan fitur keamanan pada perangkat komputer. Setelah berhasil masuk ke dalam proses tersebut Trojan.WillExec akan mencoba terhubung dengan berbagai domain menggunakan jaringan UDP lalu bersembunyi di dalam proses tersebut dan menunggu instruksi dari penyerang untuk dijalankan.

Modul yang dijalankan oleh malware ini yaitu advapi32.dll, dimana modul ini memiliki fungsi yang penting untuk memastikan suatu aplikasi pada perangkat dapat dieksekusi saat aplikasi dijalankan oleh pengguna.

5. CVE-2017-11882

Gagalnya Microsot Office menangani objek berbahaya pada memori mengakibatkan adanya kerentanan remote code execution. Penyerang yang sukses mengeksploitasi kerawanan remote code execution tersebut dapat menjalankan arbitrary code pada korban yang terkena eksploitasi. Jika korban tersebut log-in sebagai admin, penyerang dapat mengambil kendali atas sistem dari korban. Penyerang kemudian dapat memasang program, melihat, mengubah atau menghapus data, kemudian membuat akun baru dengan hak admin lainnya.

Kerentanan CVE-2017-11882 ini bahkan ditemukan sebagai cara untuk dapat menyebarkan malware berbahaya lainnya untuk mencuri informasi penting milik korban. Caranya tersebut adalah dengan menyisipkan malware tersebut di dalam file yang dirancang khusus dengan versi Microsoft Office. Berdasarkan CVSS v3.1,
kerentanan ini memiliki nilai 7.8 yang dapat dikategorikan HIGH.

Halaman Selanjutnya >> Generic Trojan Sampai Cobalt Strike

6. Generic Trojan

Generic Trojan merupakan virus dengan format program atau file yang memiliki ciri mirip dengan trojan. Sama seperti trojan, Generic Trojan merupakan program yang dapat merusak perangkat kita. Trojan ini teridentifikasi sebagai Malware/Win32.Generic.C1960796. Selain itu trojan ini termasuk ke dalam file exe atau file yang dapat dieksekusi. Malware ini pertama kali teridentifikasi melalui web Virus
Total pada tahun 2014.

Generic Trojan dapat menyebar melalui beberapa cara seperti melalui email spam, pembaharuan palsu, ataupun ketika mengklik video di website yang mencurigakan. Pada link yang diarahkan oleh apabila kita menekan link tersebut bukan video yang akan keluar melainkan file executable (.exe) yang akan langsung terunduh.

7. Gamarue

Win32/Gamarue adalah malware berjenis worm komputer. Malware ini dapat menginfeksi komputer korban dan menyebabkan perubahan pengaturan keamanan. Perubahan pengaturan keamanan membuat malware ini melakukan pengunduhan file tanpa persetujuan dari pengguna. File yang diunduh oleh malware ini menyebabkan
komputer korban menampilkan pop-up iklan, bahkan dapat menyebabkan pencurian informasi kredensial, hingga kartu kredit, yang menjadikannya ancaman besar.

Malware ini dapat menyebar melalui berbagai cara. Malware ini dapat terinstall di komputer melalui exploit kit atau malware lain, melalui lampiran pada email, ataupun dari USB Flash Drive yang telah terinfeksi.

8. Mining Trojan

Mining Trojan dikenal dengan istilah Trojan.BitCoinMiner, yaitu untuk program yang melakukan aktivitas crypto-currency mining tanpa diketahui oleh pengguna sistem dan menggunakan sumber daya (resource) dari mesin komputer. Kegiatan mining memerlukan banyak resource, sehingga pelaku mencoba menggunakan mesin orang lain untuk melakukan mining

Program ini menggunakan banyak resource untuk mengoptimalkan penghasilan crypto-coin, sehingga pengguna akan mendapati kemungkinan mesin yang kinerjanya menjadi lambat. Selain memperlambat mesin, apabila pelaku mengatur agar mesin bekerja pada level maksimalnya dalam waktu yang lama, maka dapat menyebabkan kerusakan pada mesin.

9. Glupteba

Glupteba merupakan trojan yang digunakan sebagai backdoor untuk menyerang sistem operasi Windows. Glupteba lebih sering dikenal sebagai zombie atau bot (kependekan dari robot perangkat lunak ) yang dapat dikendalikan dari jarak jauh oleh penjahat yang menggunakannya.

Glupteba pertama kali didistribusikan pada tahun 2011 sebagai payload sekunder oleh Alureon Trojan untuk melakukan clickjacking menggunakan iklan. Kemudian pada September 2019, Glupteba menggunakan blockchain Bitcoin untuk memperbarui domain C2 dari transaksi Bitcoin yang ditandai dengan opcode skrip OP_RETURN.

Penyerang biasanya meletakkan file malware ini pada iklan mencurigakan, lampiran email, "crack" aplikasi palsu ataupun bajakan, dan social engineering.

10. CobaltStrike

Cobalt Strike sebenarnya merupakan produk berbayar untuk melakukan penetration testing. Produk ini mengizinkan penyerang untuk mengirimkan agen bernama "Beacon" pada perangkat korban.

Beacon berisi sangat banyak fungsi diantaranya adalah key logging, pengiriman berkas, SOCKS proxying, privilege escalation, mimikatz, scanning port, dan juga lateral movement. Selain itu, Cobalt strike juga dapat digunakan untuk mencari kerentanan baik itu bugs dan flaws.