admin 
Jakarta, PCplus – Sebuah backdoor baru bernama GhostContainer telah ditemukan oleh tim GReAT dari Kaspersky. Malware ini menyusup ke sistem Exchange milik instansi pemerintahan dan perusahaan teknologi tinggi di Asia. Ditemukan saat investigasi insiden, GhostContainer menunjukkan tingkat kustomisasi yang sangat tinggi dan kemampuan untuk berkembang secara dinamis.
Baca Juga: Aduh, Pengguna Windows 10 Dipaksa Uninstall Office
Berkas yang terdeteksi sebagai App_Web_Container_1.dll ternyata menyimpan tiga kelas utama: Stub, App_Web_843e75cf5b63, dan App_Web_8c9b251fb5b3. Kelas Stub bertugas sebagai parser perintah C2, memungkinkan eksekusi shellcode, pengunduhan file, dan injeksi bytecode .NET. Malware ini juga menyamar sebagai komponen server sah agar tidak terdeteksi oleh sistem keamanan.
GhostContainer memanfaatkan kerentanan N-day, termasuk CVE-2020-0688, untuk menyusup ke server Exchange. Teknik injeksi halaman virtual digunakan untuk membuat “ghost pages” yang lolos dari pemeriksaan sistem file. Modul proxy-nya bahkan mampu membentuk tunnel TCP jangka panjang, membuka jalur komunikasi antara jaringan internal dan infrastruktur eksternal.
Teknik Penghindaran dan Potensi Eksfiltrasi Data
Setelah aktif, GhostContainer langsung mencoba melewati AMSI dan log Windows Event. Ini dilakukan dengan menimpa alamat tertentu di amsi.dll dan ntdll.dll. Kunci validasi ASP.NET dari konfigurasi mesin digunakan untuk membuat enkripsi AES 32-byte, menjaga komunikasi tetap aman.
Malware ini mendukung 14 perintah berbeda, termasuk manipulasi file dan eksekusi HTTP POST ke berbagai URL. Setiap perintah menghasilkan respons XML dengan string khusus yang terhubung ke alat eksploitasi ExchangeCmdPy.py. Modul proxy-nya berbasis Neo-reGeorg, memproses header khusus untuk forwarding dan komunikasi socket.
Kaspersky belum bisa mengaitkan GhostContainer dengan kelompok APT tertentu. Namun, penggunaan kode sumber terbuka dan teknik canggih menunjukkan bahwa pelaku sangat berpengalaman. Hingga akhir 2024, tercatat 14.000 paket berbahaya dalam proyek open-source, naik 48% dari tahun sebelumnya.
Langkah Pencegahan dan Rekomendasi Kaspersky
Untuk menghindari serangan seperti GhostContainer, beberapa langkah penting disarankan oleh Kaspersky:
- Berikan akses intelijen ancaman terbaru ke tim SOC kamu.
- Tingkatkan skill tim keamanan lewat pelatihan daring dari GReAT.
- Gunakan solusi EDR seperti Kaspersky Endpoint Detection and Response.
- Terapkan platform anti-serangan tertarget di level jaringan.
- Lakukan pelatihan kesadaran keamanan lewat platform otomatis.
GhostContainer menjadi pengingat bahwa ancaman siber terus berevolusi. Dengan memanfaatkan celah Exchange dan proyek open-source, pelaku bisa menyusup secara diam-diam dan mencuri data sensitif. Perlindungan menyeluruh dan edukasi tim menjadi kunci utama untuk bertahan di lanskap ancaman digital saat ini.
Comments
Loading…