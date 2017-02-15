Ditulis oleh tim IBM X-Force Incident Response and Intelligence Services (IRIS).
Para peneliti dari tim IBM X-Force Incident Response and Intelligence Services (IRIS) mengidentifikasi mata rantai yang hilang dalam operasi aktor ancaman yang terlibat dalam serangan malware Shamoon baru-baru ini terhadap organisasi negara Teluk. Serangan ini, yang terjadi pada November 2016 dan Januari 2017, dilaporkan mempengaruhi ribuan komputer di berbagai organisasi pemerintah dan sipil di Arab Saudi dan di tempat lain di negara-negara Teluk. Shamoon dirancang untuk menghancurkan hard drive komputer dengan menghapus master boot record (MBR) dan data secara tidak dapat diperbaiki, tidak seperti ransomware, yang menyandera data dengan permintaan tebusan tertentu.
Melalui penyelidikan baru-baru ini, analis forensik kami menunjukkan vektor pembobolan awal dan operasi pasca-pembobolan yang mengarah pada penerapan malware Shamoon yang merusak pada infrastruktur yang ditargetkan. Perlu disebutkan bahwa, menurut X-Force IRIS, pembobolan awal terjadi beberapa minggu sebelum penerapan dan aktivasi Shamoon yang sebenarnya diluncurkan.
Karena insiden Shamoun menampilkan tahap infiltrasi dan eskalasi serangan yang ditargetkan, responden X-Force IRIS mencari titik masuk penyerang. Temuan mereka menunjukkan apa yang tampaknya menjadi titik awal pembobolan yang digunakan penyerang: dokumen yang berisi makro jahat yang, ketika disetujui untuk dieksekusi, mengaktifkan komunikasi C2 ke server penyerang dan shell jarak jauh melalui PowerShell.
Dokumen itu bukan satu-satunya yang ditemukan dalam gelombang serangan baru-baru ini. Peneliti X-Force IRIS telah melacak aktivitas sebelumnya yang terkait dengan dokumen berbahaya serupa yang sarat PowerShell bertema resume dan dokumen sumber daya manusia, beberapa di antaranya terkait dengan organisasi di Arab Saudi. Riset ini mengidentifikasi beberapa serangan aktivitas ofensif yang terjadi dalam beberapa bulan terakhir, yang mengungkapkan metode operasional serupa di mana penyerang menyajikan dokumen berbahaya dan malware lain yang dapat dieksekusi dari server web ke target mereka untuk membangun pijakan awal di jaringan.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Meskipun Shamoon sebelumnya didokumentasikan di blog riset, metode pembobolan jaringan spesifik yang mengarah ke serangan tetap tidak jelas dalam kasus-kasus yang dilaporkan. Peneliti X-Force IRIS mempelajari siklus hidup serangan Shamoon dan mengamati taktiknya di organisasi yang berbasis di Saudi dan perusahaan sektor swasta. Penelitian ini membuat mereka percaya bahwa aktor yang menggunakan Shamoon dalam serangan baru-baru ini sangat bergantung pada dokumen bersenjata yang dibangun untuk memanfaatkan PowerShell untuk membangun pijakan jaringan awal mereka dan operasi selanjutnya:
Gambar 1: Serangan Shamoon—Alur Kejadian yang Logis
X-Force IRIS mengidentifikasi dokumen berbahaya di bawah ini:
Peneliti kami memeriksa domain yang menghosting file berbahaya pertama, mol.com-ho[.]me. Berdasarkan catatan WHOIS domain tersebut, seorang pendaftar yang tidak disebutkan namanya mendaftarkan com-ho[.]me pada bulan Oktober 2016 dan menggunakannya untuk menyajikan dokumen berbahaya dengan fitur aktivasi makro yang serupa. Daftar dokumen berikut disertakan:
File-file ini kemungkinan besar dikirim melalui email phishing tombak untuk memikat karyawan agar tanpa disadari meluncurkan payload berbahaya.
Ulasan lebih dekat dari nama file mengungkapkan “IT Worx” dan “MCI.” Pencarian nama IT Worx memunculkan organisasi layanan profesional perangkat lunak global yang berkantor pusat di Mesir. MCI adalah Kementerian Perdagangan dan Investasi Arab Saudi. Ada kemungkinan nama-nama ini digunakan dalam email phishing tombak karena tampaknya tidak berbahaya bagi karyawan yang berbasis di Saudi dan memikat mereka untuk membuka lampiran.
Peneliti X-Force IRIS lebih lanjut mengidentifikasi bahwa aktor ancaman di balik dokumen berbahaya melayani banyak dari mereka menggunakan skema pemendekan URL dalam pola berikut: briefl[.]ink/{a-z0-9}[5].
Gambar berikut adalah contoh visual dari apa yang mungkin ditemui karyawan ketika mereka membuka file Word jahat yang dikirim kepada mereka sebagai persiapan untuk serangan Shamoon:
Gambar 2: Dokumen Word Berbahaya Disampaikan dalam Persiapan Serangan Malware Shamoon (Sumber: X-Force IRIS)
Hasil DNS pasif pada domain komunikasi yang terkait dengan serangan Shamoon mengungkapkan infrastruktur jaringan terkait, mengidentifikasi domain tambahan yang digunakan oleh aktor ancaman.
X-Force IRIS menemukan bahwa aktor ancaman menghosting setidaknya satu eksekusi berbahaya di server yang dihosting di ntg-sa[.]com. File ini menipu target agar percaya bahwa itu adalah penginstal Flash player yang akan menjatuhkan batch Windows untuk memanggil PowerShell ke dalam komunikasi C2 yang sama.
Analisis salah satu dokumen aktor ancaman menemukan bahwa jika dieksekusi, makro meluncurkan dua Skrip PowerShell terpisah. Yang pertama mengeksekusi skrip PowerShell yang disajikan dari hxxp: //139.59.46. 154:3485 /eiloshaegae1. Host ini mungkin terkait dengan serangan yang melayani Pupy RAT, alat akses jarak jauh lintas platform yang tersedia untuk umum.
Skrip kedua memanggil VirtualAlloc untuk membuat buffer, menggunakan memset untuk memuat shellcode terkait MetaSplit ke dalam buffer itu dan mengeksekusinya melalui createThread. Metasploit adalah sumber terbuka kerangka kerja yang populer sebagai alat untuk mengembangkan dan mengeksploitasi terhadap mesin target jarak jauh. Shellcode melakukan DWORD XOR sebesar 4 byte pada offset dari awal shellcode yang mengubah kode untuk membuat loop sehingga XOR berlanjut 0x57 kali.
Jika berhasil, eksekusi ini membuat buffer menggunakan VirtualAlloc dan memanggil InternetReadFile dalam satu loop sampai semua konten file diambil dari hxxp: //45.76.128. 165:4443 /0w0o6. Ini kemudian dikembalikan sebagai string ke PowerShell, yang memanggil invoke-expression (iex) di atasnya, menunjukkan bahwa payload yang diharapkan adalah PowerShell.
Sebagai catatan, makro berisi fungsi DownloadFile() yang akan menggunakan URLDownloadToFilea, tetapi ini tidak pernah benar-benar digunakan.
Berdasarkan pengamatan yang terkait dengan dokumen berbahaya, kami mengamati sesi shell berikutnya yang mungkin terkait dengan Metasploit's Meterpreter yang memungkinkan penerapan alat tambahan dan malware sebelum penerapan tiga file terkait Shamoon: ntertmgr32.exe, ntertmgr64.exe, dan vdsk911.sys.
Meskipun daftar lengkap korban Shamon tidak dipublikasikan, Bloomberg melaporkan bahwa dalam satu kasus, ribuan komputer dihancurkan di markas besar Otoritas Umum Penerbangan Sipil Saudi, menghapus data penting dan menghentikan operasi selama beberapa hari.
Aktivitas terbaru yang diamati oleh X-Force IRIS dari penyerang Shamoon sejauh ini telah terdeteksi dalam dua gelombang, namun aktivitas tersebut kemungkinan akan mereda seiring dengan perhatian publik yang diperoleh kasus-kasus tersebut sejak akhir 2016.
Arab Saudi merilis peringatan kepada organisasi lokal tentang malware Shamoon, memperingatkan tentang potensi serangan dan menyarankan organisasi untuk bersiap. Analisis dan peringatan tentang Shamoun menghasilkan persiapan di sisi target, dan aktor kemungkinan akan menghilang dan mengubah taktik mereka sampai gelombang serangan berikutnya.
Untuk detail teknis tentang riset ini dan indikator pembobolan terkait, lihat X-Force Advisory di X-Force Exchange.