Doppelgänging Senjata Baru Ransomware SynAck

Malware cenderung berkembang, pengembang malware selalu mencoba membuat karya ciptaannya lebih baik dengan menambahkan fungsi dan teknik baru untuk membantu menghindari deteksi oleh program antivirus. Terkadang, evolusi malware ini berlangsung cepat. Seperti halnya ransomware SynAck.

SynAck yang dideteksi ESET sebagai Win32/Filecoder.SynAck telah dikenal sejak September 2017, ketika pertama kali kemunculannya digolongkan sebagai ransomware biasa aja atau hanya rata-rata, tidak terlalu pintar. Baru-baru ini sesuatu telah terjadi, ransomware kelas bawah ini telah mengalami perombakan menjadi ancaman yang sangat canggih dengan kemampuan menghindari deteksi dengan efektivitas yang belum pernah terjadi sebelumnya dan menggunakan teknik baru yang disebut Proses Doppelgänging.

Doppelgänging

Proses Doppelgänging diperkenalkan ke dunia pada acara tahunan Black Hat Europe 2017. Teknik ini memanfaatkan mekanisme Microsoft Windows yang disebut NTFS Transactions yang merupakan standar pada semua versi Windows. Mekanisme ini menjadi keuntungan besar bagi pengembang malware karena mereka dapat mengandalkan proses yang sudah ada pada sistem target daripada harus mengolahnya ke dalam kode mereka. Bahkan lebih dari itu, karena teknik ini memanfaatkan kemampuan default Windows sehingga tidak mungkin untuk ditambal.

Kunci utamanya adalah sebagian besar perangkat anti malware mengawasi perubahan tak terduga pada sistem file, atau kode yang tidak diharapkan berjalan di memori yang tidak berasal dari program pada sistem file. Dengan memanfaatkan transaksi NTFS, ransomware SynAck dapat berjalan di memori dengan kedok program yang sah yang disimpan di disk tanpa mengubah file yang akan mematikan semua alarm. Transaksi NTFS adalah aktivitas Windows normal sehingga semuanya tampak normal ke sistem. Dengan teknik ini, SynAck menjadi ransomware pertama yang menggunakan Doppelgänging.

Fitur lain SynAck

Doppelganging bukan satu-satunya fitur yang membedakan varian SynAck baru dari alat ransomware lainnya.

Sebelum fitur ini dimasukkan sebagai tambahan, pengembang ransowmare SynAck biasanya menggunakan perangkat lunak pengemasan khusus untuk melindungi kode ransomware. Akan tetapi para pakar keamanan siber sadar dengan trik ini dan begitu mengetahuinya dengan mudah membongkar paket-paket tersebut.

Alasan yang menyebabkan para pengembang SynAck memilih cara memanfaatkan teknik obfuscation atau mengaburkan kode sebelum mengkompilasinya. Teknik mengaburkan kode untuk membuat kode tidak terbaca sehingga membuat solusi keamanan tidak akan mengenali malware. Fitur ini terbukti secara signifikan mempersulit deteksi solusi keamanan

Versi terbaru SynAck juga dapat mendeteksi apakah ia berjalan dari Sandbox otomatis, jika demikian, ia akan segera keluar dari Sandbox. Sebelum benar-benar mulai mengenkripsi file, SynAck juga memeriksa hash dari semua proses yang berjalan di komputer yang disusupi, dan mencoba untuk membunuh proses apa pun yang cocok dengan daftar proses yang di-hardcode ke malware

Proses yang dirancang SynAck untuk dimatikan di antaranya termasuk mesin virtual, aplikasi database, sistem cadangan, dan aplikasi game, cara ini tampaknya menjadi trik tersendiri bagi pengembang ransowmare untuk membuatnya lebih mudah dalam mendapatkan file bernilai tinggi yang mungkin terikat pada proses yang sedang berjalan.

Fitur terbaru yang dimiliki SynAck yang lain adalah memeriksa apakah ia diinstal pada komputer dengan keyboard yang disetel ke skrip tertentu, yaitu Cyrillic, yang merupakan teknik umum untuk membatasi malware ke wilayah tertentu.

Mawas Diri

Walaupun SynAck penyebarannya masih terbatas pada beberapa negara tertentu, bukan berarti kemudian hari tidak ada kemungkinan jika ransomware ini tidak akan disebar secara luas dan masif. Belum terjadi bukan berarti tidak akan pernah terjadi, jadi persiapkan diri sebaik mungkin sedini mungkin menjadi langkah pencegahan yang terbaik.

Di sisi lain keberadaannya adalah tanda yang jelas bahwa ransomware sedang berkembang, menjadi semakin canggih dan lebih sulit untuk dideteksi. Utilitas decryptor akan lebih jarang muncul ketika pengembang ransowmare belajar untuk menghindari kesalahan yang membuat pembuatan dekripsi itu mungkin. Ransomware masih merupakan tren global yang besar, dan mengetahui cara melindungi terhadap semua ancaman tersebut adalah suatu keharusan bagi setiap pengguna Internet.

Berikut adalah beberapa tips dari ESET yang dapat membantu Anda menghindari infeksi atau meminimalkan konsekuensinya.

  • Mencadangkan data secara teratur, simpan cadangan di media terpisah yang tidak tersambung secara permanen ke jaringan atau ke Internet.

  • Jika Anda tidak menggunakan Windows Remote Desktop dalam proses bisnis, baiknya dinonaktifkan.

  • Gunakan solusi keamanan terbaik dan super ringan seperti antivirus ESET yang memiliki antiransomware dengan perlindungan berlapis dan terbukti mampu mendeteksi SynAck.

Sumber berita:

www.darkreading.com

securityaffairs.co