Ensiko: Mirip Ransomware yang Mengincar Windows, MacOS, dan Linux

Baru-baru ini para peneliti keamanan menemukan Malware baru yang bisa meng-enkripsi file sebagaimana layaknya seperti Ransomware. Malware itu dikenal sebagai Ensiko. Menurut kami Malware ini tidak bisa disebut mirip seperti Ransomware, karena Ensiko adalah sebuah Sheel Web PHP dengan kemampuan seperti Ransomware.

Malware ini adalah ancaman bagi sistem apa pun yang menggunakan PHP, menjadinya berisiko tinggi untuk Windows, MacOS, dan Linux. Malware ini dapat digunakan dari jarak jauh oleh para hacker untuk mengontrol sistem dan menjalankan sejumlah aktifitas berbahaya.

Ensiko dapat menjalankan perintah Shell pada sistem target lalu mengirimkannya kembali hasilnya ke operator melalui sebuah Shell Reverse PHP.

Aktifitas ini dapat memindai server untuk mencari kerangka web lain, merusak situs web, mengungkapkan informasi sensitif, mengirim Email spam, bahkan mengunduh sebuah file dari jarak jauh.

Apa Saja Kemampuan Ensiko

  1. Malware ini dapat dilidungi password
  2. Komponen "enkripsi file" adalah salah satu kemampuan Malware ini yang dapat digunakan untuk melakukan sebuah serangan terhadap server
  3. Fungsi lainnya termasuk penimpaan (Overwrite) rekursif semua file dengan ekstensi tertentu dalam direktori web shell
  4. Kemampuan lain dari Malware ini dapat ditemukan sendiri dalam postingan blog peneliti Trend Micro

Dari daftar kemampuan Ensiko, komponen enkripsi file menonjol karena dapat digunakan untuk serangan Ransomware terhadap server.

Ensiko Panel

Para peneliti di Trend Micro menganalisis Malware ini dan menemukan bahwa ini menggunakan Cipher Rijnadel-128 simetris dalam mode CBC untuk mengekripsi file. Dibawah ini adalah kode yang bertanggung jawab untuk mengunci dan membuka kunci data:

Ensiko Kode

Ensiko mengenkripsi file dalam direktori maupun subdirektori web shell dan menambahkan ekstensi dibelakangnya .BAK.

Ensiko File

Mengautentifikasi ke shell web ini tidaklah mudah. Para hacker menyembunyikan formulir login di halaman "Not Found". Untuk sampel yang dianalisis, kunci aksesnya yaitu "RaBiitch".

Untuk memperluas kemampuannya, Ensiko dapat memuat beberapa alat, yang bisa diunduh Malware Pastebin dan menyimpannya dalam direktori yang bernama "tools_ensikology".

Fungsi dari Malware tersebut adalah Steganologer, yaitu dapat mengidentifikasi file gambar yang memiliki kode metadata (EXIF headers). Kode tersebut nantinya diekstrak dan dieksekusi di server yang akan disusupi.

Ensiko Remote

Fungsi lainnya yang berbahaya ini memungkinkan penimpaan rekursif semua file dengan ekstensi tertentu dalam suatu direktori shell web. Kemampuan Ensiko tidak berhenti sampai sini saja, Malware ini memungkinkan hacker menjalankan sebuah serangan Brute Force pada FTP, cPanel, dan Telnet, sehingga akses mereka diperpanjang.

Anda dapat melihat pada gambar di bawah ini apa yang disediakan oleh web shell Ensiko:

Ensiko webshell

Ada teknik dimana para hacker menyembunyikan kode header format file gamvar yang dappat ditukar (EXIF) dari file gambar dan menggunakan fungsi PHP yang disebut exif_read_data untuk mengekstrak maupun menjalankan kode pada server.

Fungsi Steganologer mengidentifikasi gambar dengan header EXIF dan memberinya label pencatat. Pada tangkapan layar yang kami ambil dari sumber blog.trendmicro.com sebagai berikut, test1.jpg dan test2.jpg bahwa keduanya memiliki header EXIF dengan kode tersebunyi.

Hidden Kode
Features
Description
Priv Index
Download ensikology.php from Pastebin
Ransomeware
Encrypt files using RIJNDAEL 128 with CBC mode
CGI Telnet
Download CGI-telnet version 1.3 from pastebin; CGI-Telnet is a CGI script that allows you to execute commands on your web server.
Reverse Shell
PHP Reverse shell
Mini Shell 2
Drop Mini Shell 2 webshell payload in ./tools_ensikology/
IndoXploit
Drop IndoXploit webshell payload in ./tools_ensikology/
Sound Cloud
Display sound cloud
Realtime DDOS Map
Fortinet DDoS map
Encode/Decode
Encode/decode string buffer
Safe Mode Fucker
Disable PHP Safe Mode
Dir Listing Forbidden
Turn off directory indexes
Mass Mailer
Mail Bombing
cPanel Crack
Brute-force cPanel, ftp, and telnet
Backdoor Scan
Check remote server for existing web shell
Exploit Details
Display system information and versioning
Remote Server Scan
Check remote server for existing web shell
Remote File Downloader
Download file from remote server via CURL or wget
Hex Encode/Decode
Hex Encode/Decode
FTP Anonymous Access Scaner
Search for Anonymous FTP
Mass Deface
Defacement
Config Grabber
Grab system configuration such as “/etc/passwd”
SymLink
link
Cookie Hijack
Session hijacking
Secure Shell
SSH Shell
Mass Overwrite
Rewrite or append data to the specified file type.
FTP Manager
FTP Manager
Check Steganologer
Detects images with EXIF header
Adminer
Download Adminer PHP database management into the ./tools_ensikology/
PHP Info
Information about PHP’s configuration
Byksw Translate
Character replacement
Suicide
Self-delete

Dengan munculnya Ensiko, maka pengguna Malware web shell untuk mengeksploitasi jaringan komputer akan meningkat.

Perlu diketahui pula bahwa tidak hanya sistem yang terhubung internet yang menjadi target, tetapi web shell juga sering digunakan yang tidak terhubung ke internet juga, contohnya seperti antarmuka manajemen perangkat jaringan.

LihatTutupKomentar