Qilin & Warlock Sekarang Pakai Teknik BYOVD

Image credit: Freepix

Qilin & Warlock Sekarang Pakai Teknik BYOVD – Belakangan ini ancaman siber mengalami peningkatan kecanggihan taktik penghindaran deteksi yang dilakukan oleh aktor ransomware.

Peneliti keamanan baru-baru ini mengungkap tren berbahaya di mana kelompok peretas besar, khususnya Qilin dan Warlock (juga dikenal sebagai Water Manaul), menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD).

Teknik ini memungkinkan penyerang untuk menghentikan fungsi solusi Endpoint Detection and Response (EDR) secara paksa dengan memanfaatkan kerentanan pada penggerak (driver) sah yang memiliki sertifikat digital valid.

Penggunaan BYOVD menjadi senjata mematikan karena ia bekerja pada tingkat kernel jantung dari sistem operasi di mana solusi keamanan biasanya memiliki otoritas tertinggi.

Dengan melumpuhkan sistem pertahanan langsung dari akarnya, penyerang dapat bergerak bebas di dalam jaringan tanpa terdeteksi, melakukan eksfiltrasi data, dan akhirnya mengeksekusi enkripsi ransomware dengan hambatan minimal.

Sang Pembunuh EDR yang Agresif

Kelompok Qilin telah muncul sebagai salah satu grup ransomware paling aktif dalam beberapa bulan terakhir.

Data menunjukkan bahwa Qilin bertanggung jawab atas sekitar 16,4% dari seluruh insiden ransomware yang dilaporkan di Jepang pada tahun 2025.

Keberhasilan mereka sangat bergantung pada kemampuan mereka untuk tetap tidak terlihat selama fase pasca-kompromi.

Baca juga: Identitas Perimeter Baru Serangan Hacker

Mekanisme Infeksi msimg32.dll

  • Serangan Qilin dimulai dengan penyebaran DLL berbahaya bernama msimg32.dll melalui teknik DLL side-loading. Proses ini menginisiasi rantai infeksi multi-tahap yang sangat canggih:
  • PE Loader: Tahap pertama menyiapkan lingkungan eksekusi dan menyembunyikan muatan sekunder yang terenkripsi.
  • Evasio Deteksi: Loader ini menetralkan user-mode hooks, menekan log peristiwa Event Tracing for Windows (ETW), dan menyembunyikan alur kontrol serta pola pemanggilan API.
  • Eksekusi Memori: Muatan utama “pembunuh EDR” didekripsi dan dieksekusi sepenuhnya di dalam memori, sehingga tidak meninggalkan jejak pada pemindaian file tradisional.

Persenjataan Driver Qilin

Setelah aktif, malware ini menggunakan dua driver spesifik untuk menguasai sistem:

  • rwdrv.sys: Versi yang diganti namanya dari ThrottleStop.sys. Driver ini digunakan untuk mendapatkan akses ke memori fisik sistem dan bertindak sebagai lapisan akses perangkat keras tingkat kernel.
  • hlpdrv.sys: Digunakan untuk menghentikan proses yang terkait dengan lebih dari 300 penggerak EDR berbeda dari hampir semua vendor keamanan di pasar.
  • Sebelum mematikan proses EDR, komponen ini secara cerdik menghapus pendaftaran monitoring callbacks yang ditetapkan oleh sistem keamanan. Hal ini memastikan bahwa penghentian proses dapat berjalan tanpa gangguan atau peringatan dari sistem.
  • Warlock (Water Manaul): Eksploitasi SharePoint dan Persistensi

Di sisi lain, kelompok Warlock terus menunjukkan evolusi dengan menargetkan server Microsoft SharePoint yang belum diperbarui. Mereka tidak hanya fokus pada enkripsi, tetapi juga pada penguatan persistensi dan pergerakan lateral di dalam jaringan target.

Evolusi Toolset Warlock

Pada kampanye terbaru di Januari 2026, Warlock memperbarui perangkat mereka untuk penghindaran pertahanan yang lebih baik.

Mereka beralih menggunakan driver NSec yang sah namun rentan (NSecKrnl.sys) untuk menghentikan produk keamanan pada tingkat kernel, menggantikan driver googleApiUtil64.sys yang digunakan dalam kampanye sebelumnya.

Selain teknik BYOVD, Warlock menggunakan rangkaian alat populer untuk memfasilitasi serangan mereka:

  • PsExec: Untuk pergerakan lateral antar sistem.
  • RDP Patcher: Memungkinkan sesi RDP bersamaan untuk akses kontrol yang lebih luas.
  • Velociraptor: Digunakan sebagai kerangka kerja Command-and-Control (C2).
  • VS Code & Cloudflare Tunnel: Digunakan untuk menyamarkan komunikasi C2 melalui terowongan yang tampak sah.
  • Yuze: Digunakan untuk penetrasi intranet dan membangun koneksi reverse proxy ke server penyerang melalui port standar seperti HTTP (80), HTTPS (443), dan DNS (53).
  • Rclone: Alat andalan untuk eksfiltrasi data massal sebelum enkripsi dimulai.

Baca juga: Botnet Pecah Rekor Indonesia Terlibat

Jendela Enam Hari

Salah satu temuan paling krusial dari para peneliti adalah bahwa eksekusi ransomware rata-rata terjadi sekitar enam hari setelah kompromi awal. Kelompok seperti Qilin biasanya mendapatkan akses awal melalui kredensial yang dicuri.

Jendela enam hari ini merupakan waktu yang sangat berharga bagi tim keamanan. Dalam periode ini, penyerang melakukan aktivitas pasca-kompromi yang intens, termasuk pengintaian, eskalasi hak akses, dan pelumpuhan sistem keamanan menggunakan teknik BYOVD.

Jika organisasi gagal mendeteksi aktivitas anomali pada tahap awal ini, kemungkinan penghentian serangan sebelum enkripsi menjadi sangat kecil.

Strategi Mitigasi dan Pertahanan Berlapis

Menghadapi ancaman yang menargetkan integritas kernel, organisasi harus meningkatkan standar keamanan mereka dari perlindungan titik akhir dasar menuju tata kelola penggerak (driver) yang ketat.

Rekomendasi Teknis bagi Organisasi:

  1. Tata Kelola Driver (Driver Governance): Hanya izinkan penggerak yang ditandatangani oleh penerbit yang secara eksplisit tepercaya. Implementasikan kebijakan daftar blokir penggerak yang rentan (seperti daftar yang disediakan oleh proyek LOLDrivers).
  2. Pemantauan Tingkat Kernel: Tingkatkan kemampuan deteksi untuk memantau peristiwa instalasi driver dan aktivitas di tingkat kernel secara real-time. Anomali pada pemanggilan fungsi kernel harus dianggap sebagai peringatan tingkat tinggi.
  3. Manajemen Patch yang Disiplin: Mengingat Warlock mengeksploitasi SharePoint, pembaruan rutin pada perangkat lunak infrastruktur tetap menjadi pertahanan primer yang tidak boleh diabaikan.
  4. Penerapan Least Privilege: Batasi hak administratif pada endpoint. Teknik BYOVD memerlukan hak sistem yang tinggi untuk memuat driver baru ke dalam kernel.
  5. Rotasi Kredensial dan MFA: Karena akses awal Qilin sering kali berasal dari kredensial curian, penggunaan Otentikasi Multi-Faktor (MFA) yang kuat dan rotasi kata sandi berkala dapat mematahkan rantai serangan di tahap awal.

Melindungi Jantung Sistem Operasi

Kampanye Qilin dan Warlock pada tahun 2026 menegaskan bahwa solusi keamanan konvensional tidak lagi cukup untuk menghadapi aktor ancaman tingkat tinggi.

Dengan menggunakan teknik BYOVD, penyerang telah membuktikan bahwa mereka dapat “membutakan” tim keamanan sebelum melancarkan serangan akhir.

Kunci pertahanan masa depan terletak pada visibilitas mendalam di tingkat kernel dan kontrol ketat terhadap setiap komponen yang memiliki akses ke sana.

Organisasi harus berasumsi bahwa kredensial mereka mungkin dicuri dan sistem mereka mungkin memiliki celah, namun dengan pengawasan yang ketat terhadap integritas driver dan deteksi dini pada fase pasca-kompromi, dampak destruktif dari ransomware tetap dapat dicegah.

 

 

 

 

Baca artikel lainnya: 

 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Microsoft Teams Palsu Bikin Resah

Microsoft Teams Palsu Bikin Resah

April 8, 2026 0
Enam Gelombang Serangan Rantai Pasokan AI

Enam Gelombang Serangan Rantai Pasokan AI

April 8, 2026 0

You may have missed

Qilin & Warlock Sekarang Pakai Teknik BYOVD

Qilin & Warlock Sekarang Pakai Teknik BYOVD

April 8, 2026 0
Microsoft Teams Palsu Bikin Resah

Microsoft Teams Palsu Bikin Resah

April 8, 2026 0
Enam Gelombang Serangan Rantai Pasokan AI

Enam Gelombang Serangan Rantai Pasokan AI

April 8, 2026 0
Penyebab dan Risiko Serangan Injeksi

Penyebab dan Risiko Serangan Injeksi

April 8, 2026 0
Penipuan Quishing Merajalela

Penipuan Quishing Merajalela

April 8, 2026 0
Panduan Warisan Digital & Privasi

Panduan Warisan Digital & Privasi

April 7, 2026 0