Cyberthreat.id - Baru-baru ini peneliti keamanan menemukan varian Malware baru yang bisa meng-enkripsi sebagaimana layaknya ransomware. Malware itu dikenal sebagai Ensiko. Tidak bisa disebut persis ransomware karena Ensiko adalah shell web PHP dengan kemampuan seperti ransomware.

Malware adalah ancaman bagi sistem apa pun yang menggunakan PHP, seperti Windows, Linux, dan macOS. Malware Ensiko dapat digunakan dari jarak jauh oleh para hacker untuk mengontrol sistem yang disusupi kemudian melakukan aktivitas berbahaya.

Ensiko dapat menjalankan perintah shell pada sistem target dan mengirim kembali hasilnya ke operator melalui shell reverse PHP.

Aktivitas ini memindai server untuk mencari kerangka web (web shell) lain, merusak situs web, mengungkapkan informasi sensitif, mengirim email massal, hingga mengunduh file jarak jauh.

Apa saja kemampuan Ensiko?

1. Malware ini dapat dilindungi password.

2. Komponen "enkripsi file" adalah salah satu kemampuan Malware ini yang dapat digunakan untuk melakukan serangan terhadap server.

3. Menurut peneliti di Trend Micro, malware tersebut menggunakan algoritma PHP RIJNDAEL_128 dengan mode CBC untuk mengenkripsi file di direktori shell web.

4. Fungsi lain termasuk penimpaan (overwrite) rekursif semua file dengan ekstensi tertentu dalam direktori web shell.

5. Kemampuan lain dari malware ini dapat ditemukan dalam postingan blog peneliti Trend Micro.

Dengan kemunculan Ensiko, maka penggunaan malware kerangka web (web shell) untuk mengeksploitasi jaringan komputer telah meningkat.

Salah satu fungsi dari malware ini adalah Steganologer, yaitu dapat mengidentifikasi file gambar yang memiliki kode dalam metadatanya (EXIF headers). Kode tersebut kemudian diekstrak dan dijalankan di server yang disusupi.

Perlu dicatat bahwa tidak hanya sistem yang terhubung ke Internet yang menjadi targetnya, tetapi kerangka web sering digunakan pada server web yang tidak terhubung ke Internet juga, seperti antarmuka manajemen perangkat jaringan atau sistem manajemen konten internal.

Selain itu, kerangka web sulit untuk diidentifikasi karena dapat dengan mudah dimodifikasi oleh operator dan beberapa metode pendeteksian harus digunakan untuk menemukan malware semacam itu dalam sistem. []