Aktor berbahaya telah terlihat menggunakan terutama licik fileless malware teknik — reflektif dynamic-link library (DLL) injeksi — untuk menginfeksi korban dengan Netwalker ransomware di harapan membuat serangan tidak bisa dilacak saat frustasi analis keamanan.
Dalam sebuah perusahaan blog posting pada hari senin, Trend Micro ancaman analis Karen Victor menulis bahwa alih-alih menyusun malware dan menyimpannya ke disk, musuh menulis itu di PowerShell dan mengeksekusi itu secara langsung ke dalam memori.
“Teknik ini lebih tersembunyi daripada regular DLL injeksi karena selain tidak membutuhkan aktual DLL file pada disk, hal ini juga tidak memerlukan windows loader untuk itu harus disuntikkan. Hal ini menghilangkan kebutuhan untuk mendaftarkan DLL seperti dimuat modul dari sebuah proses, dan memungkinkan penghindaran dari DLL memuat alat-alat pemantauan,” Trend Micro posting blog yang menjelaskan.
“Ransomware itu sendiri menimbulkan ancaman tangguh bagi organisasi. Sebagai fileless ancaman, risiko meningkat karena dapat lebih efektif menghindari deteksi dan memelihara ketekunan,” posting blog terus. “Jenis serangan yang dapat mempengaruhi korban luar biasa, dan mereka dapat dengan susah payah sulit untuk pulih dari.”
Akhir tahun lalu, SC Media bernama ledakan fileless malware penggunaan salah satu tren teratas tahun 2019. Memang, di pertengahan tahun keamanan roundup laporan dari 2019, Trend Micro mengungkapkan bahwa fileless serangan malware pada semester pertama tahun ini melonjak 265 persen, dibandingkan dengan enam bulan pertama tahun 2018.
Trend Micro melaporkan bahwa PowerShell script, uang Tebusan.PS1.NETWALKER.B, menyembunyikan di bawah berbagai tingkat enkripsi, kebingungan dan pengkodean dalam rangka untuk menghindari deteksi dan analisis.
Victor laporan bahwa malware menempatkan API alamat dari fungsi ini membutuhkan dari kernell32.dll, 32-bit dynamic link library yang ditemukan dalam sistem operasi Windows, dan melakukan alamat memori perhitungan. “Dengan cara ini, script itu sendiri bertindak sebagai DLL sendiri kustom loader. Hal ini menghilangkan kebutuhan untuk tradisional windows loader, yang biasanya menggunakan fungsi LoadLibrary.”
“Naskah itu sendiri dapat menghitung dan menyelesaikan dibutuhkan alamat memori dan relokasi untuk memuat DLL dengan benar. Kemudian menentukan proses itu akan menyuntikkan ke; dalam hal ini pencarian untuk menjalankan Windows Explorer proses. Setelah itu, ia akan menulis dan mengeksekusi ransomware DLL ke dalam ruang memori explorer.exe…” Victor terus berlanjut.
Seperti Netwalker varian, uang Tebusan.PS1.NETWALKER.B mengenkripsi umum pengguna file menggunakan enam karakter acak sebagai perpanjangan dan tempat-tempat catatan tebusan dalam berbagai folder menuntut pembayaran untuk pemulihan file. Malware juga menghapus salinan Volume Shadow dan mengakhiri proses tertentu dan jasa, termasuk yang terkait dengan back-up perangkat lunak, data-data yang berhubungan dengan aplikasi dan perangkat lunak keamanan.
Trend Micro menyarankan perusahaan mengambil beberapa langkah-langkah untuk mempertahankan diri dari fileless ancaman alam ini — termasuk memanfaatkan PowerShell penebangan kemampuan untuk memantau perilaku mencurigakan, menggunakan perintah PowerShell seperti ConstrainedLanguageMode, dan, tentu saja, secara teratur back up data dan menerapkan patch perangkat lunak.
