Dalam dunia digital yang saling terhubung, Domain Name System (DNS) adalah fondasi yang memungkinkan kita menavigasi internet dengan mudah, menerjemahkan nama domain yang mudah diingat manusia (seperti google.com) menjadi alamat IP yang dipahami mesin. Namun, di balik fungsinya yang krusial, terdapat celah yang dieksploitasi oleh aktor jahat dengan cara yang semakin canggih. Laporan terbaru mengungkap sebuah teknik berbahaya di mana malware dan perintah jahat disembunyikan di dalam DNS, khususnya pada TXT records, mengubah protokol fundamental ini menjadi media penyimpanan dan pengiriman muatan berbahaya secara diam-diam.
Problem: DNS: Protokol Fundamental yang Disalahgunakan
DNS tidak dirancang dengan mempertimbangkan keamanan sebagai prioritas utama. Fungsinya yang esensial dan keberadaannya di mana-mana membuatnya menjadi target yang menarik. Salah satu komponennya, yaitu TXT records, pada dasarnya dimaksudkan untuk menyimpan informasi tekstual yang dapat dibaca manusia tentang sebuah domain, seperti verifikasi kepemilikan domain atau kebijakan keamanan email (SPF, DKIM). Namun, fleksibilitas inilah yang menjadi pedang bermata dua.
Ancaman muncul ketika peretas menyadari bahwa mereka dapat menyalahgunakan TXT records untuk menyimpan data arbitrer, termasuk kode berbahaya. Dengan memecah file malware menjadi potongan-potongan kecil dan menyimpannya sebagai teks di berbagai TXT records, mereka berhasil menciptakan metode serangan yang sangat sulit dideteksi. Sistem keamanan tradisional yang berfokus pada pemindaian file atau lalu lintas web seringkali tidak memeriksa konten dari kueri DNS, sehingga serangan ini dapat lolos tanpa terdeteksi.
Mekanisme Penyamaran Malware dalam DNS TXT Records
Metode yang digunakan oleh penyerang sangat terstruktur dan cerdik, dirancang untuk menghindari deteksi sambil memastikan muatan berbahaya dapat dirakit kembali di sisi korban. Investigasi yang dilakukan antara tahun 2021 dan 2022 memberikan gambaran jelas tentang cara kerja teknik ini 1.
Fragmentasi File: Menyembunyikan Malware Secara Terpotong-potong
Inti dari serangan ini adalah proses fragmentasi. Sebuah file berbahaya, seperti file executable (.exe), tidak disimpan secara utuh. Sebaliknya, file tersebut dipecah menjadi ratusan bahkan ribuan bagian kecil. Setiap bagian kemudian dikonversi ke dalam format heksadesimal dan disisipkan ke dalam TXT record yang berbeda di bawah subdomain yang berbeda.
Untuk memastikan semua potongan dapat dirakit kembali dalam urutan yang benar di mesin target, penyerang menggunakan pola penamaan subdomain yang berurutan. Sebagai contoh, dalam analisis domain *.felix.stf.whitetreecollective[.]com, para peneliti menemukan ratusan subdomain dengan nama numerik berurutan (1.felix.stf..., 2.felix.stf..., dst.). Setiap subdomain ini memiliki TXT record yang berisi satu fragmen dari file executable 1. Mesin yang terinfeksi kemudian akan diperintahkan untuk melakukan kueri DNS ke setiap subdomain ini secara berurutan, mengambil setiap fragmen, dan menyatukannya kembali untuk membentuk file malware yang utuh dan dapat dieksekusi.
Studi Kasus: Analisis Malware “Joke Screenmate”
Salah satu temuan konkret dari investigasi ini adalah penemuan dua file malware yang diidentifikasi sebagai “Joke Screenmate”. Setelah para peneliti mengekstrak semua data TXT dari domain yang dicurigai dan merakitnya kembali, mereka mengidentifikasi dua file dengan hash SHA256 berikut:
7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1
Meskipun disebut “joke” (lelucon), dampak dari malware semacam ini bisa sangat mengganggu dan merusak.
Apa itu Malware Joke Screenmate?
Malware Joke Screenmate adalah jenis perangkat lunak prank yang, meskipun tidak selalu dirancang untuk mencuri data, dapat menyebabkan kepanikan dan gangguan serius bagi pengguna. Berikut adalah beberapa perilakunya yang umum 1:
- Simulasi Tindakan Merusak: Program ini dapat menampilkan pesan kesalahan palsu, peringatan virus fiktif, atau animasi yang meniru penghapusan file sistem, yang tentu saja menyebabkan kepanikan bagi pengguna yang tidak menyadarinya.
- Mengganggu Kontrol Pengguna: Beberapa varian dirancang agar sulit ditutup, melipatgandakan diri di layar, atau secara aktif menghindari kursor mouse pengguna.
- Menampilkan Konten yang Tidak Diinginkan: Malware ini bisa menampilkan aliran lelucon, gambar, atau animasi secara terus-menerus yang mengganggu produktivitas.
- Masalah Kinerja Sistem: Seperti aplikasi lainnya, program ini mengonsumsi sumber daya sistem. Jika tidak dikodekan dengan baik, ini dapat menyebabkan kelambatan sistem yang signifikan atau bahkan crash.
Lebih dari Sekadar Malware: Perintah Jahat dalam TXT Records
Ancaman tidak berhenti pada penyimpanan file. Teknik yang sama juga digunakan untuk menyimpan perintah berbahaya, yang berfungsi sebagai stager untuk infeksi malware yang lebih canggih. Dalam kasus domain drsmitty[.]com, ditemukan sebuah TXT record pada subdomain 15392.484f5fa5d2.dnsm.in.drsmitty[.]com yang berisi skrip PowerShell yang dienkode.
Skrip ini bukanlah malware akhir, melainkan tahap pertama dari serangan. Setelah dieksekusi pada mesin korban, skrip PowerShell ini akan terhubung ke domain lain untuk mengunduh muatan berikutnya.
Menuju Command & Control (C2) Server
Skrip stager tersebut terhubung ke domain cspg[.]pw dan meminta URL /api/v1/nps/payload/stage1. Ini adalah titik akhir (endpoint) default yang digunakan oleh Covenant C2, sebuah kerangka kerja Command and Control (C2) yang populer di kalangan peretas untuk mengelola mesin yang telah terinfeksi 1. Ini menunjukkan tingkat kecanggihan serangan yang jauh melampaui sekadar lelucon. Menariknya, domain C2 yang sama juga terdeteksi dalam catatan TXT domain lain pada Juli 2017, menandakan bahwa teknik ini telah digunakan dalam berbagai kampanye selama bertahun-tahun.
Perlu dicatat bahwa penyimpanan skrip di DNS saja tidak cukup. Harus ada tindakan lain yang terjadi terlebih dahulu pada sistem target—misalnya, melalui email phishing atau eksploitasi kerentanan—yang memicu eksekusi perintah untuk mengambil dan menjalankan skrip dari TXT record tersebut 1.
Bagaimana Cara Melindungi Infrastruktur Digital Anda dari Ancaman DNS?
Menghadapi ancaman yang berevolusi dan bersembunyi di tempat yang tidak terduga seperti DNS memerlukan pendekatan keamanan yang proaktif dan berlapis. Mengandalkan metode konvensional saja tidak lagi cukup.
Pemantauan dan Analisis Lalu Lintas DNS
Langkah pertama yang paling fundamental adalah memantau lalu lintas DNS Anda secara aktif. Administrator sistem harus mencari anomali yang dapat mengindikasikan aktivitas berbahaya, seperti:
- Volume kueri TXT yang luar biasa tinggi ke domain tertentu.
- Pola kueri ke subdomain yang tampak berurutan secara numerik atau acak.
- Kueri ke domain yang dikenal berbahaya atau baru terdaftar.
Penggunaan alat intelijen DNS pasif, seperti DNSDB Scout yang disebutkan dalam penelitian, dapat memberikan wawasan historis tentang domain dan membantu mengidentifikasi infrastruktur berbahaya.
Implementasi Keamanan Tingkat Lanjut
Untuk deteksi yang lebih kuat, organisasi harus menerapkan solusi keamanan yang dirancang khusus untuk menganalisis konten lalu lintas DNS. Salah satu metodenya adalah menggunakan pencocokan pola (regex) untuk memindai data TXT records. Para peneliti menggunakan pola regex untuk mencari magic bytes atau header file dalam format heksadesimal di awal data TXT. Contoh pola yang digunakan adalah:
text^”((ffd8ffe[0-9a-f].{12,})|(89504e47.{12,})|...|(4d5a.{16,59}|4d5a.{61,})|...)
Pola ini secara spesifik mencari tanda tangan file umum seperti JPEG (ffd8ffe), PNG (89504e47), atau file executable Windows (4d5a) 1. Selain itu, DNS Firewall dan solusi Endpoint Detection and Response (EDR) dapat membantu memblokir kueri ke domain berbahaya dan mendeteksi eksekusi skrip PowerShell atau perintah mencurigakan lainnya di tingkat endpoint.
Peran Hosting yang Aman dan Terpercaya
Fondasi dari keamanan digital yang tangguh dimulai dari penyedia hosting Anda. Hosting yang aman bukan hanya tentang menyediakan server, tetapi juga tentang menciptakan lingkungan yang diperkuat terhadap berbagai jenis serangan. Penyedia hosting yang berkualitas akan secara proaktif memantau jaringannya untuk aktivitas anomali, termasuk pola kueri DNS yang mencurigakan, dan menyediakan alat bagi pelanggan untuk mengamankan aset digital mereka.
Mengapa Memilih Mordenhost adalah Langkah Cerdas?
Dalam lanskap ancaman yang kompleks ini, memilih mitra hosting yang tepat sangatlah krusial. Mordenhost hadir sebagai solusi, menawarkan lebih dari sekadar hosting. Dengan fokus yang kuat pada keamanan berlapis, Mordenhost menyediakan infrastruktur yang dirancang untuk melindungi Anda dari ancaman modern, termasuk eksploitasi DNS. Kami menggabungkan teknologi keamanan canggih, seperti Advanced DNS Protection dan pemindaian malware proaktif, dengan tim ahli yang siaga 24/7 untuk memastikan situs web dan aplikasi Anda berjalan dengan aman dan optimal.
Amankan aset digital Anda hari ini sebelum terlambat. Dengan infrastruktur keamanan berlapis dan pemantauan proaktif dari Mordenhost, Anda dapat fokus pada pertumbuhan bisnis tanpa khawatir akan ancaman tersembunyi seperti malware dalam DNS. Migrasikan website Anda ke Mordenhost sekarang dan dapatkan perlindungan superior!
terima kasih..
