Sudah lama tidak posting hal-hal tentang forensika digital dan isu-isu terbarunya, soalnya lagi disibukkan dengan usaha menemukan ide untuk melakukan penelitian tesis. Sekarang saya sudah semester 3, jadi sudah mau mendekati deadline akhir dari kuliah S2, jadinya harus sesegera mungkin memulai melakukan penelitian tesis, namun apalah daya, berbagai macam usaha telah dilakukan namun belum menemukan hal yang tepat untuk melakukan penelitian. Eh kok jadi curhat. 
Oke kali ini kita akan coba bahas tentang isu terbaru dalam forensika digital tentang malware. Jadi berangkat dari info yang diterima di group telegram AFDI tentang ramainya isu malware yang dinamakan Mumblehard. Jadi tertarik untuk menyampaikan informasinya.
Setelah beberapa tahun malang melintang dan menjangkiti server-server yang ada akhirnya para peneliti berhasil menemukan cara untuk membunuh malware ini. Malware ini sendiri menyerang server yang berjalan dengan sistem operasi Linux dan BSD. Mumblehard yang telah menginfeksi server, akan membuka sebuah backdoor yang kemudian dapat digunakan oleh para pelaku cyber criminal untuk mendapatkan akses penuh terhadap server tersebut dan menjadikannya spam server untuk mengirimkan email-email spam. Komponen Mumblehard terdiri dari script Perl yang terenkripsi dan di pack ke dalam binary ELF.
Peneliti ESET lah yang pertama menemukan cara kerja malware ini dan membuat antisipasinya. Peneliti ESET membuat semacam “sinkhole” dari modul backdoor Mumblehard ini dan mengumpulkan statistik dari server yang terinfeksi. Hasil analisis statistik yang didapatkan dari sinkhole modul backdoor tersebut antara lain :
- Script Perl yang di pack ke dalam Binari ELF ditulis dengan menggunakan bahasa assembly.
- Total ada sekitar 8.867 IP address berbeda yang ditemukan dalam sinkhole tersebut selama periode 7 bulan.
- Mumblehard telah aktif sejak tahun 2009.
- Dari berbagai macam type server yang menjadi korban, web server merupakan target infeksi yang paling banyak.
- Ada kaitan erat antara Mumblehard dengan Yellsoft, sebuah perusahaan online yang menjual software bulk email.
Terdeteksinya malware ini sendiri karena banyaknya laporan dari para administrator jaringan bahwa ip address mereka masuk ke dalam blacklist karena mengirimkan spam. Kemudian para peneliti ESET mengidentifikasi dan melakukan dumped terhadap memory untuk melihat proses yang berjalan pada server tersebut. Hasil investigasi menemukan bahwa ada file executable dengan kode perl yang berjalan di direktori /tmp. Setelah menganalisis binary ELF nya, peneliti akhirnya menemukan malware dengan sebutan Mumblehard ini.
Hasil analisis lebih lanjut terhadap malware ini, didapati ada dua komponen utama dalam malware ini. Yaitu backdoor dan daemon spamming. Kedua komponen utama ini menggunakan script perl. Seperti yang telah disebutkan sebelumnya bahwa malware ini menggunakan script Perl dan ditulis dengan bahasa assembly yang kemudian menghasilkan Binari ELF sehingga dapat mensamarkan script Perlnya.
Hubungan antara dua komponen utama malware ini dengan C&C (Command and Control) Server digambarkan oleh para peneliti ESET seperti gambar dibawah ini.
Cara kerja malware ini pertama setelah server terinfeksi, komponen pertama malware yaitu backdoornya, akan menghubungi CnC server untuk kemudian mendownload dan menjalankan komponen keduanya yaitu Mumblehard spammer. Setelah komponen kedua berhasil dieksekusi dan server terinfeksi, maka komponen spammernya akan menghubungi CnC kembali melalui port 25. Kemudian CnC akan menjawab panggilan tersebut dengan mengirimkan job atau tugas untuk mengirimkan spam.
Dari hasil monitoring dan analisis tersebut, dapat dipastikan bahwa tujuan utama malware ini yaitu untuk mengirim dan menyebarkan email spam dan berlindung dibalik IP Address resmi dari server yang terinfeksi tersebut. Nah lalu email spam seperti apa yang dikirimkan oleh si malware? Dari laporan hasil analisis malware yang dikeluarkan oleh ESET, email spam yang dikirimkannya seperti gambar dibawah ini.
Dan ketika link terseut diakses, maka mengakses ke sebuah website penjualan obat online yang menjual obat dengan nama inggrisnya “erectile dysfunction”.
Kemudian hasil analisis selanjutnya yaitu setelah berhasil membedah isi script malware tersebut, didapatkanlah IP Address CnC servernya. Data IP Address tersebut dapat dilihat pada gambar dibawah ini.
Dari hasil penelusuran lebih lanjut, diketahui bahwa ip tersebut mempunyai name server yellsoft.net. seperti yang telah disampaikan sebelumnya tentang ada keterkaitan antara malware ini dengan Yellsoft. Keterkaitan pertama adalah CnC servernya mengarah ke servernya Yellsoft. Yang mana Yellsoft ini dikenal sebagai perusahaan penjual program yang menggunakan bahasa program Perl untuk software dengan kemampuan menyebarkan sejumlah besar email atau bulk email. Program ini sendiri dikenal dengan nama Direct Mailer.
Keterkaitan kedua yaitu ternyata bagaimana malware ini bisa masuk karena adanya aplikasi Direct Mailer milik Yellsoft versi bajakan yang beredar di internet dan dapat di download di http://softexp.narod.ru. Ternyata aplikasi bajakan tersebut telah disisipi malware Mumblehard sehingga ketika administrator server menginstall aplikasi tersebut, maka tertanam pula malware tersebut. Yellsoft sendiri sudah mengkonfirmasi bahwa perusahaannya tidak mensupport software yang ada di website tersebut.
Lalu bagaimana pencegahan malware ini? Bagi server yang terindikasi terinfeksi, maka unsolicited cronjob entries untuk semua user di servernya harus ditemukan. Karena entri pada cronjob itulah yang digunakan oleh backdoor Mumblehard untuk mengaktifkan backdoor tiap 15 menit sekali. Backdoor tersebut biasa diinstall di folder /tm atau /var/tmp. Selanjutnya, buat direktori tmp dengan opsi noexec untuk mencega backdoor start sejak awal.
Untuk hasil analisis terhadap malware ini yang versi lengkapnya sampai versi script-scriptnya, dapat dibaca di link berikut ini [klik disini]. Demikianlah pembahasan kali ini tentang akhir perjalanan dari si Mumblehard Malware. Semoga pembahasan ini menambah wawasan kita semua. Wassalam.
Untuk hasil analisis terhadap malware ini yang versi lengkapnya sampai versi script-scriptnya, dapat dibaca di link berikut ini [klik disini]. Demikianlah pembahasan kali ini tentang akhir perjalanan dari si Mumblehard Malware. Semoga pembahasan ini menambah wawasan kita semua. Wassalam.
Yogyakarta, 14 April 2016
Referensi :- Léveillé, M.-E. M. (2015). Unboxing Linux/Mumblehard, (April). Retrieved from http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
- Léveillé, M.-E. M. (2016). Mumblehard takedown ends army of Linux servers from spamming. Retrieved April 14, 2016, from http://www.welivesecurity.com/2016/04/07/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/
Sign up here with your email