DNS Messenger, Agen Perusak via DNS Server

Tags : profesional
Date :13 Maret 2017

Metode peretasan yang dilakukan oleh para kriminal siber semakin beragam. Seiring dengan kemajuan teknologi, teknik breaching yang dilakukan oleh para peretas pun semakin inovatif  dan sulit dilacak. Salah satu cara mereka yang diketahui baru-baru ini adalah metode DNS Messenger, merupakan sebuah remote access trojan (RAT) yang menggunakan DNS query sehingga dapat menyusup dan mengeksekusi perintah PowerShell di komputer korban. Selain efektif untuk melumpuhkan komputer korban, teknik ini pun sulit terdeteksi.

Sumber gambar: The Hacker News

Cara yang digunakan oleh DNS Messenger ini cukup mencengangkan. Para peneliti Talos mengungkapkan bahwa dengan menggunakan teknik ini, tidak ditemukan berkas yang merusak (malicious file) karena serangan ini bersifat (fileless). Lalu, bagaimana cara mereka mengacaukan sistem yang ada di komputer korban?

Awalnya, peretas mengirimkan sebuah surel palsu untuk “mengundang” pengguna mengakses sebuah situs yang menyamar sebagai McAfee, sebuah perusahaan produsen anti-virus dan perangkat lunak keamanan lainnya. Setelah menerima surel phishing tersebut, korban akan diminta untuk membuka sebuah dokumen. Ketika korban membuka dokumen berekstensi .doc tersebut, maka sebuah Visual Basic for Applications (VBA) akan dieksekusi. VBA tersebut berisi skrip PowerShell yang akan berjalan di belakang layar komputer korban.

Sumber gambar: The Hacker News

Setelah dieksekusi, VBA skrip tersebut akan merangsek ke dalam PowerShell untuk mengetahui tingkat keamanan komputer korban tersebut. Apakah mereka mendapatkan hak akses administrator, perangkat lunak keamanan yang tertanam dan beragam software pengaman lainnya.

Informasi yang berhasil didapatkan oleh VBA skrip tersebut akan digunakan untuk me-modifikasi Windows Registry dan memasang skrip PowerShell tingkat tiga yang akan membuka “pintu belakang” komputer korban. Akses “pintu belakang” ini akan dibiarkan terbuka via basis data Windows Management Instrumentation (WMI). Jika peretas berhasil membobol akses administrator, maka akses tersebut akan tetap ada walaupun sistem korban telah di-restart.

Teknik yang digunakan bagaikan menaruh “agen” di dalam komputer korban yang akan beraksi sesuai dengan instruksi yang diberikan oleh peretas dari jarak jauh. DNS Messenger akan meminta perintah apa yang akan dieksekusi, yang kemudian akan dijawab oleh C&C server milik kriminal siber. Jika sudah sampai pada tahap ini, apapun bisa dilakukan oleh si penjahat siber.

Untuk mencegah serangan ini, para peneliti menyarankan kepada para staf keamanan informasi untuk memeriksa dan memasang filter pada protokol jaringan seperti HTTP/ HTTPS, SMTP/POP3 dan sebagainya. Mereka juga mengimbau untuk selalu mengawasi lalu lintas DNS dalam korporat demi keamanan yang lebih baik karena jalur tersebut dapat digunakan oleh peretas. (ira)