Trend Micro: Bombardir Serangan Melalui 'Auto Start' Tengah Melanda

Warta Ekonomi -

WE Online, Jakarta - Trend Micro melalui blog terbarunya mengabarkan bahwa lembaga-lembaga pemerintah di kawasan timur Asia tengah dibombardir oleh serangan-serangan yang menarget server jaringan mereka. Penyerang yang ditengarai sudah mafhum dengan setiap topologi, tools, serta perangkat lunak milik target berhasil mengambil alih akses ke server-server yang menjadi target dan menginstal malware di dalamnya. Server-server yang telah berhasil diambil alih tersebut, kemudian tidak saja dijadikan sebagai gerbang utama untuk dilancarkannya serangan-serangan lainnya ke seluruh penjuru jaringan, namun juga dialihfungsikan menjadi server C&C. Ditengarai, jenis serangan seperti ini telah dilancarkan sejak 2014 lalu.

"Para penyerang berupaya untuk terus dapat menduduki jaringan tanpa mudah diusik-usik lagi dengan cara memodifikasi setiap aplikasi yang telah mereka instal di server. Beberapa file pada aplikasi tersebut—terutama yang berkaitan dengan produktivitas, keamanan, serta system utility apps—malah telah dipalsukan dan diubah supaya dapat digunakan untuk menyuntikkan file-file DLL yang berbahaya. Hebatnya lagi, aplikasi-aplikasi yang telah diubah tadi juga turut berjalan saat sistem dihidupkan atau system startup. Hal ini membuktikan bahwa aplikasi-aplikasi tersebut telah dimodifikasi dengan sedemikian rupa supaya aplikasi-aplikasi yang terinstal tersebut dipastikan juga dapat berjalan saat server mulai dioperasikan," terang Andreas Ananto Kagawa, Country Manager, Trend Micro Indonesia.

Server Menjadi Target Utama Serangan

Dari hasi investigasi, Trend Micro berhasil mengungkap lima aplikasi yang berhasil dimodifikasi oleh para penyerang:

1. Citrix XenApp IMA Secure Service (IMAAdvanceSrv.exe)

2. EMC NetWorker (nsrexecd.exe)

3. HP System Management Homepage (vcagent.exe)

4. IBM BigFix Client (BESClient.exe)

5. VMware Tools (vmtoolsd.exe)

Dari hasil pantauan yang dilakukan oleh Trend Micro, pada awalnya para penyerang tersebut mengincar dua server, kemudian berlanjut menembus jaringan guna menyuntikkan infeksi lebih lanjut. Hal ini terus mereka lakukan secara kontinu hingga awal 2015 dan berhasil menginfeksi lebih banyak server lagi. Beberapa server yang terjangkiti diantaranya adalah server-server pengelolaan. Hal ini menandakan bahwa mereka telah berhasil menerobos akses sangat jauh hingga ke seluruh sistem di wilayah subnet yang dikelola di bawah server-server pengelolaan tersebut. Trend Micro sendiri belum mencium apa yang hendak dilakukan oleh para penyerang tersebut atas keberhasilan mereka dalam menerobos akses ke jaringan tersebut, namun ditengarai mereka memanfaatkan hal tersebut supaya mereka dapat terus menancapkan kaki mereka di jaringan dan terus dapat mencuri informasi-informasi di sana.

Perlunya Kewaspadaan yang Tinggi akan Keamanan

Kemafhuman penyerang pada lingkungan yang menjadi target serangan mereka membuka peluang bagi para penyerang untuk menyaru dari setiap upaya pemantauan. Luasnya akses yang mereka peroleh pada kasus-kasus serangan tertentu menunjukkan betapa mereka telah berhasil mendobrak hingga jauh ke dalam jaringan dan membuat keberadaan mereka tidak mudah untuk dideteksi.

Hal tersebut di atas menunjukkan betapa pentingnya bagi perusahaan untuk meningkatkan kewaspadaan mereka akan adanya perilaku-perilaku yang tidak biasa di dalam jaringan mereka, terutama kewaspadaan terhadap setiap file aplikasi yang dijalankan maupun segala bentuk komunikasi yang berlangsung di dalam jaringan.

Solusi yang dihadirkan oleh Trend Micro™ Custom Defense™ mampu memberikan perlindungan menyeluruh bagi perusahaan dari segala jenis serangan. Solusi ini mampu menghadirkan analisis yang menyeluruh dan mendalam secara kontekstual bagi para pengelola TI perusahaan supaya dapat mengidentifikasi setiap gerak-gerik dan perilaku yang terjadi di jaringan, bahkan serangan-serangan berbahaya yang begitu cerdik seperti yang digambarkan tadi.

Bahkan, dengan dipasangnya Trend Micro Endpoint Application Control di dalam jaringan, segala macam perubahan yang terjadi pada setiap aplikasi dapat terdeteksi pada saat itu juga sehingga eksekusi aplikasi tersebut dapat dicegah.

Informasi lengkap mengenai tren serangan bertarget dapat disimak pada annual targeted attack report.