Malware Emotet mungkin ditemukan pada tahun 2014, tetapi telah berevolusi dan kini dianggap sebagai salah satu ancaman internet terbesar. Dalam bagian pertama dari seri dua bagian ini, Heather “Mo” Williams menjelaskan evolusi Emotet dan kemampuan barunya.
Ini adalah bagian pertama dari seri blog dua bagian tentang malware Emotet. Bagian kedua akan dipublikasikan pada 28 Februari 2020.
Apa itu Emotet?
Emotet adalah nama dari sebuah jenis malware sekaligus operasi kejahatan siber di balik malware tersebut. U.S. Computer Emergency Readiness Team (US-CERT) menggambarkan Emotet sebagai “Trojan perbankan tingkat lanjut dan modular” yang merupakan “salah satu malware paling mahal dan paling merusak” bagi organisasi publik maupun swasta.
Ketuk untuk Tweet: Heather “Mo” Williams dari CommScope menjelaskan evolusi Emotet dan kemampuan terbarunya.
Saat Emotet pertama kali ditemukan pada 2014, fungsinya terutama untuk mencuri kredensial perbankan. Mekanisme awal penyebarannya adalah email spam dengan lampiran yang berisi macro berbahaya. Kampanye email tersebut telah berkembang dalam beberapa tahun terakhir, dengan Emotet memanen (scraping) email korban lama dan baru—termasuk kontak, tanda tangan email, dan seluruh percakapan email—dan mampu membuat template email yang mengutip pesan yang pernah dikirim atau diterima serta menyapa target baru dengan nama mereka.
Gambar 1: Alur Kampanye Phishing Emotet yang Kontekstual
Sumber: kryptoslogic.com (2019)
Macro berbahaya ini berfungsi sebagai klien RAT (remote administration tool) dengan fungsi sangat dasar (download/execute, download/update, dan uninstall). Minimnya kemampuan malware tingkat lanjut seperti keylogger atau pengintai webcam membuat Emotet sulit terdeteksi dalam jangka panjang, dan sifat modularnya memungkinkan Emotet berevolusi untuk menyebarkan berbagai jenis malware.
Setelah macro terhubung ke server C2 (command and control), muatan tahap kedua diunduh. Payload tahap kedua ini bisa berupa kode eksekusi apa saja. Awalnya, payload ini berupa executable yang dirancang untuk mencuri kredensial dan melakukan pergerakan lateral di jaringan.
Beberapa tahun lalu, operator Emotet mengembangkannya menjadi botnet yang kini mereka jual aksesnya melalui model Malware-as-a-Service (MaaS). Contohnya, mereka diketahui menyewakan akses kepada operator ransomware seperti Ryuk, yang menargetkan perusahaan besar, dan TrickBot, Trojan perbankan lainnya. Hingga September 2019, operasi Emotet berjalan di atas tiga botnet berbeda (Epoch 1, 2, dan 3) dan telah menjadi salah satu ancaman internet paling besar dan serbaguna selama lima tahun terakhir. Operatornya terus berevolusi dalam menjalankan kampanye phishing, termasuk spam terbaru yang mengutip email masa lalu korban dan menyapa mereka dengan nama.
Gambar 2: zerodayclothing.com
Kemampuan Baru Emotet
Setelah vektor infeksi awal, kemampuan pergerakan lateral Emotet memungkinkannya bertindak seperti worm dan menginfeksi komputer lain di jaringan yang sama menggunakan eksploitasi atau shared drive. Pada Februari 2020, para peneliti keamanan mengumumkan bahwa Emotet telah mengadopsi vektor pergerakan lateral baru dengan menggunakan perangkat yang sudah terinfeksi untuk menjangkiti perangkat yang terhubung ke jaringan Wi-Fi di sekitarnya.
Bayangkan seseorang yang sedang terinfeksi virus masuk ke kantor Anda. Strain virus tersebut hanya dapat menyebar melalui kontak langsung, jadi selama Anda tidak berjabat tangan, Anda aman. Namun jika virus tersebut berevolusi menjadi airborne, kini cukup dengan ia bernapas di lobi untuk menyebarkan virusnya.
Sebelumnya, agar Emotet menyebar dalam organisasi setelah kompromi awal (melalui lampiran phishing), penyebaran lateral terjadi melalui kabel ke shared drive atau server menggunakan berbagai eksploitasi. Kini, perangkat awal yang terinfeksi dapat (berpotensi) menyebar ke perangkat lain yang berada di jaringan Wi-Fi yang sama.
Vektor serangan baru ini dimulai dari laptop yang sudah terinfeksi dan menggunakan wlanAPI (library yang tersedia di setiap perangkat Windows) untuk mengenumerasi jaringan Wi-Fi terdekat. Ini membangun profil setiap SSID yang dapat didengar laptop, termasuk kekuatan sinyal dan metode enkripsi yang digunakan. Emotet kemudian menggunakan kamus kata sandi untuk menebak kombinasi username dan password default yang umum digunakan—pada dasarnya merupakan brute force attack.
Jika malware berhasil mendapatkan akses ke WLAN, semua perangkat non-hidden pada WLAN tersebut akan dikenumerasi dan kamus kedua digunakan untuk mencoba brute force kredensial masing-masing perangkat. Jika berhasil, perangkat itu pun akan terinfeksi. Emotet juga akan mencoba mendapatkan akses administrator ke perangkat infrastruktur WLAN. Setelah perangkat terinfeksi, perangkat tersebut melapor ke server C2 untuk mengonfirmasi instalasi.
Gambar 3: Ikhtisar Penyebaran Wi-Fi
Sumber: binarydefense.com
Tetap ikuti bagian kedua dari seri ini untuk mengetahui apa yang ada “di balik kap mesin” Emotet dan bagaimana solusi Ruckus dari CommScope dapat membantu.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Commscope indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi Commscope.ilogoindonesia.id untuk informasi lebih lanjut!