Icoscript

04 September 2014
Icoscript
Buah simalakama bagi administrator
Banyak cara pembuat malware berkomunikasi atau mengirimkan perintah kepada malware-malwarenya yang berhasil menginfeksi komputer dan tersebar di seluruh dunia ? Ambil contoh Conficker yang memelopori Pseudo domain yang lalu diadopsi oleh gerombolan crypto yang bahkan kemudian memanfaatkan jaringan P2P (Peer to Peer) supaya sulit di lacak pihak yang berwajib. Sepandai-pandainya tupai melompat, akhirnya akan jatuh juga dan akhirnya pada bulan Juli 2014 pembuat cryptolocker berhasil di identifikasi. Namun teknik menggunakan jaringan P2P ini terbukti cukup ampuh menjaga anonimitas dan membutuhkan waktu tahunan sampai pembuat cryptolocker ditangkap. Namun regenerasi segera terjadi dan posisi cryptolocker yang private keynya berhasil di dapatkan dan digunakan untuk menolong para korbannya digantikan oleh pendatang baru dengan nama Cryptowall yang lebih ganas dan lebih maruk lagi dalam memeras korbannya karena ia akan meminta US $ 750 dari korbannya atau kehilangan datanya. Kalau malware sebelumnya menggunakan pseudo domain dan jaringan P2P yang membutuhkan usaha khusus membangun dan menjaga jaringan P2P dan Pseudo domain yang ingin di kontrol, maka pembuat malware yang satu ini tidak kalah kreatif dalam berkomunikasi dengan pasukannya. Dan lebih hebatnya lagi, malware ini tidak perlu repot membangun jaringan seperti P2P tetapi memiliki akses dan fleksibilitas yang tidak kalah hebat dari P2P. Kira-kira jaringan apa yang lebih masif dari P2P dan bisa dieksploitasi untuk berkomunikasi dengan malware ? Mungkin anda akan terkejut kalau Vaksincom menginformasikan bahwa jawabannya adalah webmail seperti G mail dan Yahoo mail dan dieksploitasi oleh trojan Icoscript.


Buah simalakama

Icoscript sebenarnya sudah mengganas di banyak komputer sejak tahun 2012 tanpa tedeteksi. Trojan ini memiliki kemampuan RAT Remote Administration Tools dan menginjeksikan dirinya ke dalam proses aplikasi Windows yang biasanya bisa di deteksi oleh program antivirus dengan baik. Namun, karena ia mengeksploitasi interface developer COM (Component Object Model) untuk menyantol ke Internet Explorer yang memungkinkan pembuat programmer menulis plug-ins untuk browser. Fungsi ini dimanfaatkan oleh pembuat malware untuk menginfeksi browser dan menyembunyikan dirinya tanpa terdeteksi oleh program antivirus. Data pada komputer dan jaringan yang terinfeksi akan terlihat normal dan tidak ada hal yang mencurigakan karena pembuat malware sangat berhati-hati menyembunyikan keberadaannya.

Icoscript akan mengeksploitasi Internet Explorer dan menggunakan layanan berbasis web seperti Yahoo, Gmail, Outlook.com, Linked In dan Facebook sekalipun untuk mendapatkan perintah dari pembuatnya. Guna mendapatkan perintah dari pembuatnya, Icoscript memiliki programnya tersendiri dan akan mengeksekusi perintah yang telah dipersiapkan dalam mengakses portal web. Ia akan membuka portal web seperti Yahoo mail, login sendiri dan mencari email yang mengandung kode kontrol yang sebelumnya telah dipersiapkan dan dikirimkan oleh pembuat malware ini. Adapun aksi yang dapat dilakukan adalah seperti (namun tidak terbatas pada) kegiatan mata-mata mencari dan mencuri data pada komputer yang terinfeksi, menjalankan perintah atau palikasi lain yang telah dipersiapkan yang bisa saja mengakibatkan masuknya malware lain dan celakanya kalau malware yang diundang lebih jahat seperti cryptowall yang mendekripsi data komputer korbannya, maka pengguna komputer harus mengucapkan selamat tinggal pada datanya karena dienkripsi.

Icoscript disebut buah simalakama bagi administrator karena trafik komunikasinya yang menumpang aplikasi populer seperti Yahoo Mail, Gmail dan aplikasi lainnya yang jika diblok tentunya akan menimbulkan protes dari para pengguna layanan ini. Sebaliknya jika tidak diblok, maka pembuat trojan ini dengan bebas mengeksploitasi layanan populer tersebut untuk mengontrol aksi malwarenya.

G Data Antivirus mendeteksi Icoscript sebagai W32.Trojan.Icoscript.B (lihat gambar 1)
20140904I_icoscript01
Gambar 1, G Data mendeteksi trojan berbahaya ini sebagai icoscript.B
Popularitas Webmail

Tidak dapat disangkal bahwa email sudah menjadi bagian yang tidak terpisahkan bagi pengguna internet. Selain untuk berkomunikasi, email memiliki satu fungsi dasar untuk mengidentifikasi pengguna internet. Nama Gmail dan Yahoo sangat akrab di telinga para pengguna internet dan mayoritas pengguna internet memiliki akun email pada penyedia jasa email. Berkembangnya piranti bergerak smartphone mengakibatkan para pengakses email bergeser dari yang dulunya membaca email dari mail client di komputer menjadi webmail yang lebih praktis. Hal inilah yang dilihat oleh pembuat malware dengan nama Icoscript yang mengeksploitasi fasilitas webmail untuk berkomunikasi dengan malware buatannya guna melakukan hal-hal jahat yang dipersiapkan sebelumnya.

Ancaman ini kian menjadi besar karena kebanyakan administrator perusahaan tidak membatasi akses ke webmail seperti Yahoo mail, Gmail dan Outlook karena dianggap cukup aman dan tidak berbahaya sehingga bisa diakses dari jaringan intranet kantor. Kuncinya adalah interface yang digunakan dalam proses komunikasi antar proses di Windows dengan nama COM (Component Object Model Technology) yang digunakan oleh untuk memanipulasi browser Internet Explorer yang sedang digunakan oleh user yang tidak menyadari akan hal ini. Teknik ini digunakan oleh malware karena :

  1. Komunikasi HTTP tidak dilakukan oleh malware melainkan dilakukan oleh proses iexplore.exe sehingga sulit membedakan komunikasi yang dilakukan oleh malware atau aplikasi yang legal.
  2. Jika komputer yang terinfeksi menggunakan proxy, dengan otentikasi sekalipun. Malware dengan mudah menggunakan settingan dan token proxy yang tersimpan browser.
  3. Analisa atas aksi malware ini makin sulit karena sulit mengidentifikasi trafik mencurigakan yang dibuat malware di jaringan.
  4. Sesi komunikasi tambahan yang dilakukan malware tersembunyi dan sangat sulit disadari oleh pengguna komputer.


Potensi bahaya yang tinggi


Potensi bahaya icoscript ini sangat tinggi karena :

  1. Malware ini sifatnya modular dan mudah dibongkar pasang. Sampel yang didapatkan G Data menggunakan Yahoo Mail, namun dengan perubahan yang simpel akan dapat digunakan untuk webmail yang lain seperti Gmail. Bahkan secara teknis cukup mudah untuk digunakan pada platform media sosial seperti Facebook dan LinkedIn.
  2. Penggunaan webmail populer menyulitkan perusahaan memblokir trafik malware.
  3. IDS( Intrusion Detection System) akan gagal mengidentifikasi string yang dikirimkan malware ini karena ia terlindungi oleh kompresi webmail.
  4. Penyerang bisa menggunakan ratusan akun email dengan nama yang mirip dengan pengguna asli dan sulit untuk membedakan antara akun palsu yang digunakan oleh malware dengan akun yang asli.

Kesimpulan

Teknik yang digunakan oleh icoscript untuk mengendalikan malwarenya sangat pintar, karena sifatnya modular, mudah beradaptasi dan trafik data malware sulit dibedakan dari trafik lainnya. Pembuat malware selalu membuat penyempurnaan komunikasi antara komputer yang terinfeksi dengan server kontrol. Tim sekuriti perusahaan akan menghadapi buah simalakama jika berhadapan dengan malware ini karena trafiknya yang menumpang aplikasi populer seperti webmail, layanan cloud, media sosial dan lainnya. Kelihatannya pembuat malware ini cukup fasih dalam bidang respon insiden karena ia mampu membuat teknik komunikasi malware yang rumit dan sangat sulit dan mahal untuk dibatasi.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: