Malware tanpa file adalah jenis perangkat lunak berbahaya yang disempurnakan yang menjalankan muatan berbahayanya tanpa perlu menyimpan file yang dapat dieksekusi secara terus-menerus pada disk sistem.

Ini sangat berbeda dengan malware tradisional, yang sangat bergantung pada file biner yang dapat dengan mudah dideteksi dan ditandai oleh solusi antivirus berbasis tanda tangan. Sebaliknya, malware tanpa file secara licik menggunakan utilitas sistem yang sah, seperti:

• PowerShell.
• Windows Management Instrumentation (WMI).
• Bahkan skrip yang disematkan (misalnya, makro VBA).

Ia beroperasi sepenuhnya dalam memori volatil, meninggalkan jejak forensik yang jauh lebih kecil dan membuatnya jauh lebih sulit dipahami oleh metode deteksi konvensional, sehingga meningkatkan kemampuannya untuk menghindari pertahanan perimeter.

Dalam hal bagaimana sistem terinfeksi, sering kali melalui teknik rekayasa sosial, seperti email phishing yang membawa lampiran atau tautan berbahaya. Ketika ini diaktifkan, mereka memicu eksekusi skrip dalam proses tepercaya.

Setelah malware aktif dan berjalan, malware dapat membangun persistensi melalui mekanisme seperti perubahan pada registri atau tugas terjadwal, sementara secara bersamaan memenuhi tujuan seperti eksfiltrasi data, eskalasi hak istimewa, atau pergerakan lateral dalam jaringan. Penggunaan alat sistem asli yang cerdik oleh malware menyamarkan aktivitas berbahayanya di tengah kebisingan proses yang sah.

Hal ini memerlukan penggunaan strategi deteksi tingkat lanjut—seperti analisis perilaku, forensik memori, atau sistem deteksi dan respons titik akhir (EDR)—untuk mengidentifikasi dan mengurangi ancaman secara efektif.

Baca juga: Operasi Besar Malware di film

Karakteristik Malware Tanpa File

Menghindari Langkah Keamanan Konvensional

Desain malware tanpa file memungkinkannya untuk menghindari perangkat lunak antivirus umum dan sistem keamanan tingkat lanjut seperti EDR. Sistem ini terutama mendeteksi ancaman dengan membandingkan file dengan pola ancaman yang sudah ada. Namun, malware tanpa file tidak meninggalkan file untuk dipindai, berada di memori daripada di hard drive dan dengan demikian, melewati pertahanan ini tanpa diketahui.

Meninggalkan Bukti Minimal

Tanpa file yang disimpan di sistem, malware tanpa file mempersulit investigasi pasca-serangan. Beroperasi terutama dalam memori sementara yang terhapus saat komputer dinyalakan ulang, malware ini meninggalkan sedikit bukti nyata untuk analisis, sehingga menghambat upaya untuk mengidentifikasi pelaku.

Memanfaatkan Alat Sistem Tepercaya

Varian malware ini memanipulasi program sistem bawaan, seperti PowerShell atau WMI, yang secara inheren dipercayai komputer. Dengan menggunakan alat-alat biasa ini untuk aktivitas berbahaya, malware ini menyatu dengan operasi rutin, sehingga menyulitkan tim keamanan untuk membedakan antara tindakan yang aman dan berbahaya.

Kemampuan Siluman dan Persisten

Malware tanpa file dapat secara diam-diam mengubah pengaturan sistem atau menjadwalkan tugas berulang untuk memastikan operasinya terus berlanjut. Hal ini memungkinkan malware tetap aktif bahkan setelah sistem dinyalakan ulang, sekaligus mempertahankan profil rendah untuk menghindari deteksi.

Teknik Malware Tanpa File

Exploit Kit: Injeksi Memori Otomatis

• Exploit kit adalah perangkat canggih yang mengotomatiskan proses eksploitasi kerentanan perangkat lunak. Biasanya, perangkat ini menargetkan kerentanan di browser web, plugin, dan sistem operasi. Saat korban mengunjungi situs web yang disusupi atau membuka lampiran email berbahaya, perangkat eksploit memindai sistem mereka untuk mencari perangkat lunak yang rentan. Jika kerentanan ditemukan, perangkat tersebut menyuntikkan kode berbahaya langsung ke memori sistem, melewati pertahanan berbasis file tradisional.
• Perangkat eksploit modern menggunakan teknik seperti pemrograman berorientasi pengembalian (ROP) dan penyuntikan kode untuk mengeksekusi kode arbitrer dalam memori, bahkan jika sistem target mengaktifkan pencegahan eksekusi data (DEP).
• Contoh: Bayangkan situs web dengan pemutar Flash yang sudah ketinggalan zaman. Perangkat eksploit mendeteksi hal ini dan menjalankan kode untuk menyuntikkan powershell langsung ke memori proses pemutar flash. Kode powershell ini kemudian dapat mengunduh dan menjalankan kode berbahaya lebih lanjut.

Baca juga: Meyembunyikan Email dalam File ZIP

Malware Residen Registri: Ketahanan Melalui Konfigurasi Sistem

• Registri Windows adalah basis data hierarkis yang menyimpan pengaturan konfigurasi untuk sistem operasi dan aplikasi. Penyerang dapat menyematkan kode berbahaya dalam kunci registri untuk mencapai ketahanan.
• Contohnya, mereka mungkin memodifikasi kunci “Jalankan” untuk mengeksekusi skrip berbahaya setiap kali sistem dimulai. Malware seperti Poweliks dan Kovter terkenal karena teknik yang tersimpan di registri. Mereka sering mengenkripsi kode berbahaya dan menyimpannya di beberapa kunci registri, sehingga sulit dideteksi dan dihapus.
• Contoh: Skrip berbahaya disimpan dalam format terenkripsi di dalam registri. Kunci registri kemudian dibuat untuk menjalankan powershell, yang mendekode dan kemudian menjalankan skrip yang tersimpan. Ini akan terjadi setiap kali pengguna masuk.

Malware Hanya Memori: Hidup Sepenuhnya di RAM

• Malware hanya memori beroperasi sepenuhnya di dalam RAM sistem, tanpa meninggalkan jejak di hard drive.
• Jenis malware ini sering mengeksploitasi kerentanan dalam aplikasi atau layanan sistem yang sah untuk menyuntikkan kodenya ke dalam ruang memori mereka.
• Malware Duqu 2.0, yang digunakan dalam serangan yang ditargetkan terhadap infrastruktur penting, adalah contoh utama malware hanya memori. Malware ini menggunakan proses infeksi multi-tahap yang kompleks agar tidak terdeteksi dalam waktu lama.
• Contoh: Seorang penyerang mengeksploitasi kerentanan dalam layanan yang sedang berjalan. Penyerang menyuntikkan kode berbahaya ke dalam ruang memori layanan tersebut. Kode berbahaya tersebut kemudian melakukan tindakannya, seperti mencuri data atau membuat backdoor, tanpa pernah menulis apa pun ke disk.

Fileless Ransomware: Enkripsi dalam Memori

• Ramsomware tanpa file memanfaatkan bahasa skrip dan alat sistem untuk mengenkripsi file secara langsung di memori.
• Penyerang sering menggunakan PowerShell atau WMI untuk menjalankan proses enkripsi, sehingga sulit dideteksi dan dihentikan. Jenis ransomware ini dapat mengenkripsi file dengan cepat dan efisien, meninggalkan jejak forensik yang minimal.
• Contoh: Makro berbahaya yang disematkan dalam dokumen Microsoft Word mengeksekusi skrip PowerShell saat dokumen dibuka. Skrip tersebut mengenkripsi file dalam folder “Dokumen” pengguna dan menampilkan catatan tebusan, semuanya tanpa membuat file yang dapat dieksekusi di disk.

Baca juga:  Menyembunyikan Kode dalam Atribut File

Tahap Lanjutan Serangan Malware Tanpa File

Akses Awal: Pijakan

• Penyerang menggunakan berbagai teknik untuk mendapatkan akses awal, termasuk email phishing, situs web yang disusupi, dan perangkat eksploitasi.
• Mereka sering menargetkan kerentanan dalam aplikasi web, protokol desktop jarak jauh (RDP), dan layanan jaringan lainnya.
• Alat seperti China Chopper atau web shell dapat digunakan untuk membuat pintu belakang dan mendapatkan akses jarak jauh ke sistem yang disusupi.

Pencurian Kredensial: Pergerakan Lateral

• Begitu berada di dalam jaringan, penyerang menggunakan alat pengumpul kredensial seperti Mimikatz untuk mencuri kredensial pengguna.
• Kredensial yang dicuri memungkinkan mereka untuk bergerak secara lateral melintasi jaringan, mengakses sistem dan data sensitif.
• Serangan pass-the-hash dan pass-the-ticket merupakan teknik umum yang digunakan untuk mengeksploitasi kredensial yang dicuri.

Persisten: Mempertahankan Akses

• Penyerang membangun kegigihan dengan memodifikasi pengaturan konfigurasi sistem, seperti entri registri, tugas terjadwal, dan program startup.
• Mereka juga dapat membuat akun pengguna tersembunyi atau memasang backdoor untuk memastikan akses berkelanjutan.
• Penghindaran “Sticky Keys”, yang memungkinkan penyerang memperoleh hak istimewa administratif dengan mengganti Sticky Keys yang dapat dieksekusi dengan prompt perintah, merupakan contoh klasik dari teknik kegigihan.

Penyerobotan Data: Tahap Akhir

• Penyerang menggabungkan data sensitif, mengompresnya menggunakan alat bawaan seperti compact, dan mengekstraknya melalui saluran terenkripsi atau protokol jaringan tepercaya.
• Mereka dapat menggunakan teknik seperti pengaburan data dan steganografi untuk menyembunyikan data yang diekstraksi dalam lalu lintas jaringan yang sah.
• Penyerobotan dapat dilakukan melalui FTP, HTTPS, atau bahkan DNS tunneling.

 

 

Baca artikel lainnya:  Tahukah Anda dengan Cara Ini Malware Masuk ke Perangkat Mengajari Anak Mengenal Malware Malware Tanpa Jejak Menguras ATM di 40 Negara Dendam! Pengembang Malware Serangan Layanan Ransomware The Book of Eli Malware Incar Daerah Konflik Crypton dan Malware Dropper Mengenal Malware as a Service Malware Pembajak Ponsel Hook

 

Sumber berita:

 

Prosperita IT News