Cyberthreat.id - Mesin virtual (Virtual Machine/VM) adalah alat (tools) penting bagi para analis cybersecurity saat melakukan debug dan menyelidiki malware. Tetapi, baru-baru ini ditemukan kasus yang terdokumentasi tentang hacker yang mengeksploitasi VM untuk menyembunyikan serangan seperti dalam insiden ransomware Ragnar Locker.

Peneliti Sophos mengungkapkan teknik tersebut. Mereka mengklaim tipuan seperti ini baru pertama kali ditemukan dalam serangan ransomware dan segala jenis kemungkinan operasi malware.

"Taktik ini cocok untuk ransomware karena mengenkripsi file dan penyerang menginginkan hal ini dilakukan oleh aplikasi terpercaya," kata Direktur Teknik, Mitigasi Ancaman Sophos, Mark Loman, dilansir SC Magazine, 22 Mei 2020.

Serangan ransomware di lingkungan VM "membawa teknik penghindaran pertahanan (defense evasion) ke level yang baru". Itu terjadi karena sementara kode jahat menyerang disk dan drive dari host yang terinfeksi, tetapi perangkat lunak keamanan (software security) yang diinstal pada host tersebut tidak dapat mencapai malware.

"Defender hanya memiliki pandangan tentang mesin fisik, bukan dari mesin virtual (VM)," jelas Loman.

Sophos mengidentifikasi teknologi VM sebagai hypervisor Oracle VirtualBox dari 2009 - tetapi pada saat itu dikenal sebagai Sun xVM VirtualBox, (versi 3.0.4). Oracle nantinya mengakuisisi Sun Microsystems.

Menurut postingan blog Sophos, teknik serangan menggunakan Windows Group Policy Objects untuk mengeksekusi Penginstal (Installer) Microsoft dan kemudian menginstal paket MSI yang tidak ditandatangani dari server web jarak jauh. Paket itu menyebarkan VM, sebuah file gambar disk virtual (VDI) yang berisi ransomware, yang dapat dieksekusi, dan beberapa file tambahan yang mendukung rantai infeksi.

Sebagai bagian dari proses infeksi, Ragnar Locker menghapus salinan bayangan (shadow copies) untuk menghambat pemulihan file, dan itu artinya "semua disk lokal, drive yang dapat dilepas yang terhubung, dan drive jaringan yang dipetakan pada mesin fisik, sehingga dapat dikonfigurasi untuk diakses dari dalam VM melalui folder bersama".

Agar lebih efektif, ransomware pada bidang virtual perlu untuk memengaruhi data di dunia fisik. Untuk mewujudkannya, serangan itu menyalurkan saluran dari bidang virtual ke domain fisik melalui folder bersama - yang merupakan fitur normal dari hypervisor yang menjalankan mesin virtual.

"Meskipun perlindungan endpoint hanya dapat mengontrol mesin fisik dan tidak memiliki pengaruh pada mesin virtual, mesin 'Ghost' tidak terjangkau untuk mendeteksi malware - sehingga biner ransomware memiliki kebebasan di dalam mesin virtual."

Selanjutnya, ransomware memilah-milah daftar nama proses dan layanan, lalu mengakhiri semua yang terbuka sehingga mereka dapat dienkripsi saat ransomware dijalankan. Daftar ini "disesuaikan dengan lingkungan jaringan organisasi korban, termasuk nama proses, dan layanan milik perangkat lunak perlindungan endpoint".

Sampai di situ kustomisasi belum berakhir: Sophos mengamati bahwa ransomware dikompilasi secara individual untuk setiap target, seperti yang ditunjukkan oleh catatan tebusan unik yang secara khusus merujuk nama organisasi korban

Dengan ransomware yang beroperasi di dalam lingkungan tervirtualisasi, "proses dan perilakunya dapat berjalan tanpa hambatan, karena mereka berada di luar jangkauan untuk perangkat lunak keamanan pada mesin host fisik".

Loman mengatakan serangan seperti itu dapat dideteksi sebelum kerusakan terjadi. Dia menjelaskan bahwa "perlindungan endpoint dengan model zero-trust terhadap ransomware masih dapat memantau proses hypervisor terkenal yang menjalankan mesin virtual.  Dengan mengawasi setiap file yang disentuh oleh hypervisor di dunia fisik, ia dapat mendeteksi apakah dokumen atau gambar menjadi cacat karena enkripsi".