Stealer Logs: Cara Infeksi, Serangan, dan Strategi Hardening

0
10

Stealer logs adalah salah satu jenis malware yang dirancang secara khusus untuk mencuri informasi sensitif dari sistem korban. Informasi yang bisa dicuri bisa berupa kredensial login, data keuangan, informasi pribadi, dan banyak lagi. Serangan ini bisa memiliki dampak signifikan terhadap individu dan organisasi ini, lalu mengakibatkan kerugian finansial, kerugian reputasi, dan pelanggaran privasi.

Artikel terbaru pada kali ini akan membahas bagaimana stealer logs ini menginfeksi dan menyerang korban, serta strategi hardening yang juga bisa digunakan untuk melindungi sistem dari ancaman ini.

Cara Stealer Logs Menginfeksi Korban

Phishing

Phishing adalah salah satu metode paling umum yang digunakan oleh para penyerang di dunia maya untuk menyebarkan stealer logs. Penyerang ini mengirim email atau pesan yang tampak sah kepada korban, biasanya akan mengaku berasal dari organisasi terpercaya seperti bank, perusahaan layanan online, atau institusi pemerintah. Email ini sering kali berisi tautan atau lampiran berbahaya. Ketika korban mengklik tautan atau membuka lampiran, malware diunduh dan diinstal pada sistem korban.

Contoh kasus: Penyerang akan mengirim email yang tampak seperti pemberitahuan keamanan dari pihak bank, meminta korban untuk memperbarui informasi akun mereka melalui tautan yang telah diberikan. Tautan tersebut mengarahkan korban ke situs web palsu yang meniru situs asli bank, dan pada saat korban memasukkan informasi mereka, malware stealer logs diunduh ke sistem mereka.

Drive-by Downloads

Drive-by downloads adalah salah satu metode infeksi di mana malware diunduh dan diinstal secara otomatis ketika para korban telah mengunjungi situs web yang terinfeksi. Penyerang menyisipkan kode berbahaya ke dalam situs web yang sah ataupun membuat situs web berbahaya sendiri. Ketika korban mengunjungi situs tersebut, kode berbahaya memanfaatkan kerentanan pada browser atau sebuah plugin untuk mengunduh dan mulai menginstal stealer logs tanpa interaksi dari pengguna ini.

Contoh kasus: Korban mengunjungi situs berita terkenal yang telah disusupi oleh penyerang. Tanpa sepengetahuan korban, kode berbahaya di situs tersebut memanfaatkan kerentanan pada plugin Flash yang tidak diperbarui untuk mengunduh dan menginstal stealer logs ini ke sistem milik korban.

Software Bundling

Stealer logs ini sendiri juga dapat didistribusikan melalui bundling dengan perangkat lunak yang tidak sah. Dalam metode yang satu ini, maka penyerang juga akan segera menyisipkan malware ke dalam installer perangkat lunak yang tampaknya sah. Ketika para korban telah mengunduh dan menginstal perangkat lunak tersebut, maka stealer logs juga akan segera diinstal tanpa sepengetahuan mereka.

Contoh kasus: Korban mengunduh aplikasi pengeditan foto dari situs palsu. Tanpa disadari, installer aplikasi tersebut juga telah mengandung stealer logs, lalu diinstal bersama aplikasi pengeditan foto.

Exploit Kits

Exploit kits adalah salah satu alat otomatis yang digunakan oleh para penyerang di dunia maya untuk mulai memindai sistem korban dan mengeksploitasi kerentanan yang ditemukan. Exploit kits ini juga sering disematkan ke dalam situs web berbahaya atau bahkan situs web yang telah disusupi. Setelah kerentanan telah berhasil dieksploitasi, maka stealer logs diunduh dan diinstal pada sistem korban.

Contoh kasus: Korban mengunjungi situs web yang disusupi yang berisi exploit kit. Exploit kit ini akanĀ  memindai sistem korban dan menemukan kerentanan di Java plugin yang tidak diperbarui. Exploit kit kemudian mengunduh dan menginstal stealer logs ke sistem korban melalui kerentanan tersebut.

Social Engineering

Social engineering adalah teknik yang juga digunakan penyerang agar bisa memanipulasi korban agar menginstal stealer logs. Penyerang juga sering kali berpura-pura menjadi layanan dukungan teknis, teman, atau rekan kerja untuk meyakinkan korban agar mulai mengunduh dan menginstal malware.

Contoh kasus: Penyerang akan segera menelepon korban, berpura-pura menjadi teknisi dukungan dari penyedia layanan internet mereka. Selain itu, para penyerang juga akan memberi tahu korban bahwa ada ada masalah terkait dengan koneksi internet yang mereka gunakan dan mengarahkan mereka untuk mengunduh dan mulai menginstal beberapa alat diagnostik yang ternyata stealer logs.

Cara Stealer Logs Menyerang Korban

Pengumpulan Informasi

Langkah pertama yang dilakukan oleh stealer logs setelah menginfeksi sistem adalah mengumpulkan informasi sensitif ini. Malware ini dirancang untuk mencari dan mencuri berbagai jenis data, seperti:

  • Kredensial Login: Stealer logs dapat mencuri nama pengguna dan kata sandi yang disimpan dalam browser atau aplikasi lain.
  • Cookie Browser: Cookie dapat berisi informasi login dan data sesi yang memungkinkan penyerang untuk mengakses akun korban tanpa harus mengetahui kata sandi.
  • Data Autofill: Banyak pengguna menggunakan fitur autofill di browser mereka untuk menyimpan informasi seperti nama, alamat, nomor telepon, dan informasi kartu kredit. Stealer logs dapat mencuri data ini.
  • Informasi Keuangan: Ini termasuk detail kartu kredit, rekening bank, dan informasi keuangan lainnya yang mungkin disimpan di perangkat korban.

Exfiltrasi Data

Setelah mengumpulkan data yang telah diinginkan, maka stealer logs ini akan segera mengekstraksi informasi yang didapatkan dari sistem korban ini dan mengirimkannya kembali ke server penyerang. Proses ini sering kali dilakukan melalui protokol HTTP/HTTPS, FTP, atau jaringan peer-to-peer. Data yang telah berhasil dicuri kemudian dapat digunakan oleh penyerang untuk berbagai macam tujuan yang sangat berbahaya sekali, termasuk pencurian identitas, penipuan keuangan, atau bahkan dijual.

Menghindari Deteksi

Stealer logs adalah malware yang dilengkapi dengan berbagai mekanisme untuk menghindari deteksi oleh perangkat lunak keamanan. Berikut juga adalah beberapa teknik yang umum digunakan seperti:

  • Enkripsi Data yang Dicuri: Data yang dicuri dapat dienkripsi sebelum dikirim ke server penyerang, membuatnya lebih sulit untuk dideteksi oleh alat keamanan.
  • Menyamarkan Aktivitasnya: Stealer logs sering kali menyamarkan aktivitas mereka sebagai proses sistem yang sah untuk menghindari deteksi oleh perangkat lunak antivirus dan antimalware.
  • Polymorphic Malware: Beberapa stealer logs menggunakan teknik polymorphic untuk mengubah tanda tangan digital mereka secara berkala, membuatnya lebih sulit untuk dideteksi oleh sistem deteksi berbasis tanda tangan.

Persistensi

Untuk memastikan bahwa mereka tetap aktif, stealer logs sering kali menggunakan berbagai teknik persistensi. Teknik-teknik juga bertujuan untuk membuat malware dijalankan setiap kali sistem di-boot atau setiap kali pengguna masuk ke sistem. Teknik persistensi yang umum digunakan meliputi:

  • Pembuatan Entri Registri: Stealer logs dapat membuat entri di registri Windows yang memastikan bahwa malware dijalankan setiap kali sistem dihidupkan.
  • Penjadwalan Tugas: Malware dapat menggunakan penjadwalan tugas bawaan sistem operasi untuk menjalankan dirinya secara periodik atau setiap kali sistem dihidupkan.
  • Mengubah File Sistem: Beberapa stealer logs dapat mengubah file sistem atau menambahkan file baru yang dijalankan saat sistem di-boot.

Penyebaran ke Sistem Lain

Beberapa jenis stealer logs yang ada pada saat ini memiliki kemampuan untuk menyebar ke sistem lain di jaringan yang sama. Ini bisa dilakukan melalui exploit yang sama yang digunakan untuk infeksi awal atau dengan mengeksploitasi kredensial yang dicuri untuk mendapatkan akses ke sistem lain. Penyebaran ini juga akan bisa terjadi secara otomatis atau melalui interaksi langsung dari penyerang.

Strategi Hardening untuk Melindungi dari Stealer Logs

Edukasi Pengguna

Edukasi pengguna adalah langkah pertama dan paling penting dalam melindungi sistem dari stealer logs. Pengguna juga harus diberi pelatihan tentang cara tepat untuk mengidentifikasi adanya email phishing, bahaya mengklik tautan yang mencurigakan, dan pentingnya hanya mengunduh perangkat lunak dari sumber yang terpercaya. Pemahaman yang baik tentang risiko dan tanda-tanda serangan dapat membantu pengguna untuk menghindari tindakan yang dapat menyebabkan infeksi malware.

Menggunakan Perangkat Lunak Keamanan yang Handal

Menginstal dan memperbarui perangkat lunak keamanan adalah kunci untuk bisa mencegah infeksi stealer logs. Ini juga bisa mencakup antivirus, firewall, dan perangkat lunak anti-malware yang dapat mendeteksi dan memblokir ancaman sebelum mereka dapat menyebabkan kerusakan. Pastikanlah perangkat lunak up-to-date dengan definisi virus terbaru untuk memastikan perlindungan maksimal.

Patching dan Pembaruan Sistem

Sistem operasi dan aplikasi harus selalu diperbarui atau up-to-date dengan patch keamanan terbaru. Selain itu, para penyerang yangada di dunia maya juga sering kali mengeksploitasi kerentanan dalam perangkat lunak untuk bisa menginstal stealer logs. Dengan menjaga sistem dan aplikasi tetap up-to-date, Anda juga bisa menutup celah yang bisa digunakan oleh penyerang untuk menginfeksi sistem.

Penggunaan Autentikasi Multi-Faktor (MFA)

MFA menambahkan lapisan keamanan ekstra dengan mengharuskan pengguna untuk memberikan dua atau lebih bukti identitas sebelum mereka dapat mengakses akun mereka. Ini juga bisa berupa kombinasi dari sesuatu yang mereka ketahui (kata sandi), termasuk sesuatu yang telah mereka miliki (token keamanan), atau sesuatu yang mereka adalah (sidik jari). MFA ini membuatnya lebih sulit bagi penyerang untuk bisa mendapatkan akses ke akun, bahkan jika mereka berhasil mencuri kata sandi.

Segmentasi Jaringan

Segmentasi jaringan ini juga adalah salah satu hal penting yang dapat membantu untuk membatasi penyebaran stealer logs jika sistem terinfeksi. Dengan membagi jaringan menjadi segmen-segmen yang lebih kecil dan membatasi akses antara segmen-segmen tersebut, infeksi ini dapat diisolasi dan dikelola dengan lebih efektif. Segmentasi juga memungkinkan penerapan kebijakan keamanan yang berbeda-beda untuk setiap segmen, yang tentunya akan meningkatkan keamanan secara signifikan.

Penerapan Prinsip Least Privilege

Prinsip least privilege akan memastikan bahwa para pengguna dan aplikasi ini hanya memiliki akses ke sumber daya yang mereka butuhkan untuk melakukan tugas mereka. Ini mengurangi risiko bahwa stealer logs dapat mengeksploitasi akses yang berlebihan untuk mencuri informasi sensitif. Meninjau dan juga menyesuaikan hak akses secara teratur adalah praktik yang baik untuk menjaga keamanan.

Monitoring dan Deteksi Anomali

Implementasi sistem monitoring dan deteksi anomali dapat membantu untuk bisa mengidentifikasi aktivitas mencurigakan yang menunjukkan keberadaan stealer logs. Ini bisa melibatkan analisis log, pemantauan lalu lintas jaringan, dan penggunaan alat deteksi intrusi ini. Sistem monitoring yang baik dapat memberikan peringatan dini tentang potensi infeksi, memungkinkan tindakan mitigasi segera.

Enkripsi Data

Menggunakan enkripsi untuk melindungi data sensitif ini adalah salah satu hal yang sangat baik saat transit maupun saat disimpan dapat membantu untuk melindungi informasi dari dicuri oleh stealer logs. Bahkan jika malware berhasil mencuri data, informasi tersebut tidak akan berguna tanpa kunci dekripsi. Enkripsi juga adalah langkah paling penting dalam menjaga kerahasiaan dan integritas data.

Penggunaan Sandbox

Sandboxing ini adalah salah satu teknik yang akan memungkinkan perangkat lunak untuk dijalankan dalam lingkungan yang terisolasi dari sistem utama ini. Ini juga akan memungkinkan analisis perilaku perangkat lunak tanpa risiko infeksi sistem yang sebenarnya. Sandboxing ini dapat digunakan untuk menguji file yang mencurigakan sebelum mereka diizinkan untuk bisa dijalankan pada sistem utama.

Backup Data

Melakukan backup data secara teratur dan menyimpan salinan backup di lokasi yang aman tentunya dapat membantu para pengguna untuk memulihkan data yang telah hilang atau rusak akibat infeksi stealer logs. Selain itu, backup yang sangat baik tentunya juga harus mencakup beberapa mekanisme khusus untuk memverifikasi integritas data dan mulai memastikan bahwa backup ini tidak terinfeksi.

Studi Kasus: Serangan Stealer Logs Terkenal

RedLine Stealer

RedLine Stealer ini adalah salah satu stealer logs paling terkenal yang telah ditemukan tahun 2020. Malware juga mampu mencuri berbagai jenis informasi, termasuk kredensial login, cookie browser, dan data autofill. RedLine Stealer ini menyebar melalui email phishing dan situs web yang terinfeksi.

Vidar Stealer

Vidar Stealer adalah salah satu jenis malware yang sering digunakan untuk mencuri informasi pribadi dan keuangan. Malware Vidar Stealer ini juga sering kali didistribusikan melalui kampanye phishing dan situs web berbahaya. Vidar Stealer ini sendiri memiliki kemampuan untuk mengambil tangkapan layar, mencuri data dari aplikasi dompet cryptocurrency, dan juga mengumpulkan informasi sistem.

Azorult

Azorult adalah salah satu jenis stealer logs yang pertama kali ditemukan pada tahun 2016 yang lalu. Malware yang satu ini juga sangat terkenal sekali karena kemampuannya untuk mencuri berbagai jenis data, termasuk kata sandi, cookie, riwayat browser, dan file yang telah disimpan. Azorult juga sering kali didistribusikan melalui adanya bundling dengan perangkat lunak bajakan dan eksploit kit.

Kesimpulan

Stealer logs adalah salah satu ancaman serius yang dapat menyebabkan kerugian besar bagi individu dan organisasi. Memahami cara stealer logs menginfeksi dan menyerang korban adalah salah satu langkah yang paling utama untuk bisa melindungi diri dari ancaman ini. Dengan menerapkan strategi hardening yang efektif, seperti edukasi para pengguna, penggunaan perangkat lunak keamanan yang handal, patching sistem, dan penerapan prinsip least privilege, risiko infeksi yang bisa diminimalkan.

Selain itu, langkah-langkah seperti segmentasi jaringan, monitoring dan deteksi anomali, enkripsi data, dan penggunaan sandbox akan dapat membantu untuk mendeteksi dan mengisolasi ancaman sebelum mereka dapat menyebabkan kerusakan yang signifikan. Backup data secara teratur ini juga merupakan langkah penting untuk memastikan bahwa informasi dapat dipulihkan jika terjadi infeksi.

FAQ

Apa itu stealer logs?

Stealer logs adalah salah satu jenis malware yang dirancang khusus untuk mencuri informasi sensitif dari sistem yang terinfeksi ini, seperti kredensial login, data keuangan, dan informasi pribadi lainnya.

Bagaimana stealer logs biasanya menyebar?

Stealer logs ini sendiri adalah malware yang dapat menyebar melalui berbagai macam metode, iniĀ  termasuk adanya phishing, drive-by downloads, software bundling, exploit kits, dan rekayasa sosial.

Bagaimana stealer logs menyerang sistem korban?

Setelah menginfeksi sistem pengguna, maka stealer logs juga akan segera mengumpulkan informasi sensitif pengguna, mengirim data yang dicuri ke server penyerang, lalu menghindari deteksi dengan berbagai macam teknik, dan ini sering menetap di sistem pengguna untuk mencuri data lebih lanjut.