Maaf sila aktifkan javascript.

Sorebrect: Code-Injecting, Fileless Ransomware - Ancaman Terbaru Muncul


Serangan ransomware dan ancaman 'fileless' bukan perkara baharu. Cuma apabila ciri-cirinya bergabung, maka timbul pula masalah-masalah baru muncul yang menyebabkan pencegahannya menjadi sedikit lambat.

SOREBRECT, ialah contoh dari permasalahan ini.

Ransomware ini memanipulasi utiliti baris perintah PsExec untuk melakukan enkripsi terhadap fail dan membuat injeksi atau suntikan kod.

Antara ciri-ciri ransomware terbaru ini ialah ia mampu 'melindungi dirinya' dari pengesanan, dengan cara memusnah diri (self-destruct). Ransomware ini memasukkan (inject) kod ke dalam proses sistem yang kemudiannya akan menjalankan rutin enkripsi, dan selepas itu ia akan menghapuskan binary dirinya.

Rantaian Serangan Sorebrect

Terdapat juga ransomware sebelum ini yang memanipulasi PsExec seperti SAMSAM dan Petya, yang menggunakan ia untuk memasang ransomware pada pelayan-pelayan yang telah dijangkiti.

Namun Sorebrect adalah versi lebih terkedepan dalam hal ini di mana ia memanipulasikan PsExec dengan melakukan injeksi kod, ke dalam fail svchost.exe, sebuah fail proses sistem Windows, sambil binary utamanya memusnahkan diri.

Atas sebab inilah ia menjadi ancaman 'fileless' atau tanpa fail, kerana sebaik sahaja ia memusnah diri, proses seterusnya iaitu enkripsi fail akan diambil alih oleh svchost.exe.

Untuk mengaburi penjejakan ke atasnya, Sorebrect juga menggunakan wevtutil.exe untuk memadam log pada sistem, dan vssadmin untuk memadam 'shadow copies'. Proses sistem svchost.exe yang telah disuntik dengan kod itu tadi melakukan kerjanya, membuat enkripsi pada fail-fail yang berada dalam mesin lokal dan yang bersambung dengan rangkaian perkongsian.

Selain itu Sorebrect juga menggunakan protokol rangkaian Tor untuk melindungi sambungan pelayan command-and-control (C&C).

Sorebrect juga boleh membuat enkripsi pada fail-fail lain yang berada dalam satu rangkaian, melalui mesin yang telah dijangkiti. Ia melakukannya dengan cara mengimbas rangkaian tersebut lalu menyenarai kesemua perkongsian pada fail, folder, dan lain-lain kandungan. Apabila satu live host telah dikenalpasti, ia akan cuba melakukan sambungan selepas menjumpai perkongsian tersebut. Jika ia adalah perkongsian terbuka, maka pengesahan melalui kata laluan adalah tidak diperlukan. Jika fail tersebut mempunyai akses read-and-write, maka ia akan dienkrip.

Imbasan Rangkain Oleh Sorebrect

Langkah-Langkah Pencegahan

Sekat write permissions untuk pengguna

Kebanyakan dari malware, ransomware, dan lain-lain ancaman memanipulasi kebenaran ubah fail atau write permissions yang diberikan secara penuh kepada pengguna. Pantau setiap pengguna dalam Domain akan permissions yang ada pada mereka. Jika perlu, hadkan.

Hadkan tahap kebolehan penggunaan PsExec

Jadikan PsExec hanya dapat dijalankan oleh akaun administrator sahaja. Ini langkah yang lebih selamat memandangkan jika ia dimanipulasi oleh ancaman 'fileless' atau tanpa fail ini, pengesanan terhadapnya akan menjadi terlambat.

Buat salinan sandaran

Salinan sandaran adalah sangat-sangat-sangatlah kritikal ketika ini. Ancaman sudah berevolusi dan ia tidak akan terhenti. Maka adalah sebaiknya buat salinan sandaran setiap hari, dalam dan luar talian.

Kemaskini sistem dan rangkaian

Kerentanan boleh jadi datang dari sistem yang tidak dikemaskini sekian lama. Pastikan anda periksa kemaskini sistem anda setiap hari bagi mendapatkan tampalan-tampalan sekuriti terbaru yang akan memastikan sistem anda lebih selamat.

Pupuk kesedaran terhadap keselamatan siber

Kesedaran terhadap ancaman-ancaman terbaru perlu dipupuk dan dididik dalam minda pengguna. Tidak kiralah tahap mana mereka berada, pekerja biasa atau bos, mereka perlu tahu ancaman dan jenis-jenisnya, serta bagaimana pula cara atau langkah pencegahan.

Jalankan mekanisma sekuriti lapisan berbilang

Untuk mencegah fail selain sistem dari dilancarkan dan menghalang modifikasi yang tidak dimahukan berlaku dalam sistem, maka setiap jabatan, syarikat, atau orang perseorangan sekalipun perlu meningkatkan pendekatan terhadap pertahanan dalam sekuriti siber. Gunakan sepenuhnya firewall dan antivirus pada tetapan paling optimum. Jangan sesekali pandang rendah kepada evolusi ancaman.

Via: TrendLabs Security
Powered by Blogger.