Dunia siber yang terus berkembang diiringi pula dengan ancaman siber yang makin marak. Para pelaku serangan siber kini terus mencari cara baru untuk bisa menyusup ke sistem, mencuri data, atau menyebabkan kerusakan. Solusi keamanan tradisional yang umum dipakai selama ini adalah antivirus yang berfokus pada pendeteksian malware berdasarkan file-file berbahaya yang tersimpan di hard drive. Akan tetapi, kini muncul jenis serangan yang lebih sulit dideteksi karena mampu beroperasi tanpa meninggalkan jejak file atau disebut juga fileless malware.

Setiap perusahaan kini wajib memahami jenis serangan ini agar bisa mencegah dan mengatasinya dengan tepat. Jenis malware ini sangat berbahaya karena dapat menghindari deteksi banyak produk keamanan tradisional, serta sering menyalahgunakan alat dan proses sistem yang sah. Lalu apa itu fileless malware? Bagaimana cara kerjanya? Apa saja tipe-tipenya serta bagaimana cara melakukan fileless malware detection? Temukan jawaban selengkapnya di artikel ini!

Apa itu Fileless Malware?

Fileless malware adalah jenis perangkat lunak berbahaya yang dibuat tanpa perlu menulis file yang dapat dieksekusi ke dalam hard drive komputer yang dituju. Karena tidak disimpan sebagai file di hard disk, malware ini langsung berfokus pada memori sistem (RAM). Hal inilah yang menjadi perbedaan paling fundamental yang membedakannya dari malware tradisional.

Malware tradisional umumnya disimpan dalam bentuk file seperti .exe atau .dll yang tersimpan di disk. Antivirus tradisional dapat memindai file-file tersebut dan mendeteksinya berdasarkan signature atau perilaku yang dikenal. Sementara itu, malware yang tidak meninggalkan jejak file di disk ini sering melewati pemindaian antivirus standar tersebut. Ciri-ciri lain dari serangan ini adalah kemampuannya untuk hidup dari sumber daya yang ada atau Living off the Land (LotL). Artinya, malware ini memanfaatkan alat, skrip, serta proses bawaan sistem yang sah dan terpercaya untuk menjalankan perintah dan tujuan jahanya.

Bagaimana Cara Kerja Fileless Malware?

Terdapat beberapa mekanisme yang dilakukan oleh pelaku serangan ini agar bisa menyusup dan beroperasi secara diam-diam. Berikut ini adalah cara kerjanya:

Infiltrasi

Mirip dengan malware lain pada umumnya, titik infiltrasi awal bisa melalui exploit kit yang menargetkan kerentanan pada browser atau plugin, email phishing, atau tautan ke situs web berbahaya. Meski di awal mungkin melibatkan file, eksekusi payload berbahayanya tetap dirancang agar tidak meninggalkan jejak file.

Eksekusi Langsung di RAM

Tidak seperti malware biasa yang menyimpan payload ke disk, tipe malware tanpa file ini bisa langsung mengeksekusi kode berbahaya di RAM. Contohnya, skrip yang dikirim melalui email phishing dapat menggunakan PowerShell untuk mengunduh kode tambahan dari internet dan menjalankannya di memori.

Penyalahgunaan Alat Sistem yang Sah (LotL)

Seperti yang telah disebut sebelumnya, jenis malware ini dapat menyalahgunakan beberapa alat sistem yang sah seperti PowerShell (alat scripting dan otomatisasi), Windows Management Instrumentation (WMI), dan Registry.

Injeksi Memori

Beberapa varian lain juga dapat menggunakan teknik process hollowing atau injeksi kode payload jahanya langsung ke ruang memori proses sistem yang sah dan sedang berjalan.

Mekanisme Persistensi

Serangan siber ini juga dapat membuat Scheduled Tasks yang memicu skrip saat startup atau login, menggunakan WMI event subscriptions, atau menempatkan perintah di dalam kunci registry yang dijalankan saat boot secara otomatis. Semua ini merupakan trik persistensi agar dapat bertahan setelah sistem di-restart.

Apa Saja Tipe Fileless Malware?

Terdapat beberapa tipe serangan fileless yang dikategorikan berdasarkan cara kerjanya yang beroperasi tanpa meninggalkan jejak file. Berikut ini adalah tipe-tipenya:

Memory-Resident Malware

Bentuk paling murni dari jenis malware ini, seluruh kode berbahaya hanya ada dan berjalan di dalam RAM sistem. Biasanya menginfiltrasi melalui eksploitasi kerentanan atau diinjeksikan lewat proses lain.

Script-Based Threats

Ini merupakan tipe fileless malware yang biasanya menggunakan kode pemrograman seperti PowerShell, VBScript, JScript, Python, atau bahkan macro dalam dokumen Office. Kode atau skrip ini disamarkan dalam lampiran email, situs web berbahaya, atau disematkan langsung dalam halaman web.

Registry-Resident Malware

Jenis ini menyimpan seluruh atau sebagian kode jahat atau perintah untuk mengunduh dan mengeksekusi kode di dalam Windows Registry. Entri dari Registry akan terlihat tidak berbahaya tapi dapat dipicu oleh proses atau skrip lain untuk memulai tujuan jahatnya.

WMI-BAsed Persistence

Teknik persistensi ini memanfaatkan WMI repository untuk menyimpan skrip atau perintah. WMI event subscription digunakan untuk memastikan kodenya dapat dieksekusi secara otomatis sebagai respons event tertentu dalam sistem, misalnya setiap jam atau saat pengguna login.

Bagaimana Cara Mendeteksi dan Mencegah Fileless Malware?

Meski sulit dideteksi karena tidak meninggalkan jejak file, jenis malware ini tetap dapat dideteksi dan dicegah dengan cara-cara berikut ini:

Behavioral Analysis

Kunci utama dari pendeteksian fileless malware adalah dengan memantau perilaku sistem yang mencurigakan atau anomali dibandingkan dengan memindai file. Proses analisis perilaku ini dapat diterapkan dengan solusi antivirus tingkat lanjut seperti Endpoint Detection and Response (EDR)

Pemindaian Memori

Teknik ini juga dapat digunakan untuk mendeteksi malware tanpa file dengan menganalisis langsung konten RAM untuk mencari artefak kode berbahaya.

Patch Management

Untuk mencegah serangan ini, pastikan patch keamanan selalu diperbarui dengan yang terbaru. Hal ini bertujuan untuk menutup kerentanan yang dapat dieksploitasi menjadi titik infiltrasi awal.

Solusi Keamanan Tingkat Lanjut

Malware tanpa file kerap tidak bisa dideteksi oleh solusi keamanan tradisional seperti antivirus biasa. Oleh karena itu, gunakanlah solusi keamanan tingkat lanjut seperti Endpoint Detection and Response (EDR) agar serangan ini bisa terdeteksi dan diatasi dengan cepat.

Cegah Serangan Malware ke Perangkat Anda dengan Solusi Endpoint Detection and Response (EDR) dari Aplikas Servis Pesona!

Lanskap serangan siber yang semakin canggih dan sulit dideteksi mendorong setiap perusahaan untuk beralih ke solusi keamanan yang lebih canggih pula. Oleh karena itu, Aplikas Servis Pesona, sebagai perusahaan IT security berpengalaman, dapat menyediakan solusi EDR terbaik untuk bisnis Anda.

Solusi EDR dari Aplikas Servis Pesona dapat melakukan analisis real time terhadap perilaku sistem, analisis RAM, serta memberikan respons yang cepat untuk mengatasi dan mengisolasi ancaman siber ini.

Hubungi email marketing@phintraco.com untuk informasi selengkapnya mengenai solusi EDR dari Aplikas Servis Pesona!

Editor: Irnadia Fardila