Image credit: Freepix
Kelompok peretas yang dilacak sebagai REF3927 telah meluncurkan kampanye siber yang cerdik dan meluas, menargetkan server web Windows IIS di seluruh dunia.
Taktik mereka? Mengeksploitasi ASP.NET machine key (kunci mesin) yang seharusnya dirahasiakan, tetapi ternyata tersedia secara publik di dokumentasi dan forum online.
Serangan ini menunjukkan bahwa bahkan konfigurasi yang tampaknya sepele, seperti menggunakan kunci yang tidak unik, dapat membuka backdoor bagi peretas untuk menjalankan kode berbahaya dan mengambil alih kendali server.
Mengubah Kunci Menjadi Senjata
Inti dari serangan ini adalah kerentanan pada cara server IIS yang menjalankan aplikasi ASP.NET menangani data sesi.
|
Baca juga: Zero Day WinRAR Mengundang Maut |
Apa Itu ASP.NET Machine Key?
Machine Key adalah kode rahasia krusial yang digunakan oleh ASP.NET untuk dua tujuan utama:
- Enkripsi: Melindungi data sensitif pengguna (seperti informasi login).
- Validasi (Validation): Membuat tanda tangan kriptografis (disebut MAC) untuk ViewState.
ViewState adalah mekanisme tersembunyi yang digunakan halaman web ASP.NET untuk “mengingat” input pengguna dan status halaman di antara klik. Kunci ini memastikan bahwa data ViewState tidak diutak-atik oleh pihak luar.
Eksploitasi Kunci Bocor
Masalah muncul ketika beberapa developer yang kurang waspada, saat mengatur server mereka, menyalin machine key dari sumber publik seperti contoh kode di dokumentasi Microsoft atau forum pemrograman, alih-alih membuat kunci baru yang unik.
Dengan memiliki kunci rahasia yang sama dengan yang digunakan server korban, peretas dapat:
- Memalsukan ViewState: Mereka membuat pesan ViewState berbahaya yang berisi kode serangan (disebut payload).
- Menipu Server: Pesan palsu ini dikirim ke server melalui permintaan web (POST request) biasa. Karena machine key yang digunakan sama, server menganggap pesan tersebut sah, berhasil memvalidasi dan mendekripsi data, lalu mengeksekusi kode berbahaya tersebut di server. Ini dikenal sebagai serangan ViewState Deserialization.
TOLLBOOTH Alat Canggih untuk Keuntungan Finansial
Setelah berhasil menembus sistem, kelompok REF3927 memasang beberapa alat, yang paling berbahaya adalah TOLLBOOTH.
Rangkaian Alat Peretas
- Webshell (Z-Godzilla_ekp). Awalnya, peretas sering memasukkan webshell (sejenis pintu belakang berbasis web) yang merupakan versi modifikasi dari alat Godzilla. Ini memungkinkan mereka menjalankan perintah, mencuri kata sandi, dan memindai jaringan secara tersembunyi, menyamarkan aktivitas jahat sebagai lalu lintas web normal.
- Rootkit Hidden. Untuk memastikan keberadaan mereka tidak terdeteksi, peretas memuat rootkit yang dimodifikasi (berasal dari proyek open-source bernama Hidden). Rootkit ini berfungsi menyembunyikan file, proses, dan entri registry berbahaya jauh di dalam sistem.
|
Baca juga: Paket Software Palsu Diunduh 275 Ribu Kali |
SEO Poisoning dengan TOLLBOOTH
TOLLBOOTH adalah add-on berbahaya yang dirancang khusus untuk IIS dengan tujuan utama: mencuri klik untuk keuntungan finansial melalui SEO poisoning (peracunan SEO).
Cara kerjanya:
1. Mendeteksi mesin pencari, TOLLBOOTH memeriksa detail peramban (browser) yang masuk.
2. Konten Ganda (Cloaking):
- Untuk Pengguna Biasa: Server menampilkan konten normal atau mungkin konten sampah yang tidak berbahaya.
- Untuk Bot Mesin Pencari (misalnya Googlebot): Server menampilkan halaman yang dipenuhi keyword curang.
3. Dengan membanjiri bot Google dengan keyword yang relevan dan membuat jaringan situs terinfeksi saling menautkan (link), peretas secara artifisial meningkatkan peringkat situs-situs penipuan mereka dalam hasil pencarian. Tujuannya adalah mengarahkan lalu lintas (klik) dari hasil pencarian resmi ke halaman scam mereka.
Kelompok ini, yang dinilai sebagai peretas berbahasa Tiongkok, telah menginfeksi lebih dari 570 server di berbagai negara, dari layanan keuangan hingga teknologi.
Menariknya, tidak ada target yang terdeteksi di Tiongkok, yang kemungkinan merupakan upaya untuk menghindari perhatian pihak berwenang di negara mereka sendiri.
Langkah-Langkah Pertahanan dan Pencegahan
Laporan keamanan menunjukkan banyak korban mengalami re-infeksi setelah pembersihan karena mereka gagal mengatasi akar masalah, machine key yang bocor.
Untuk melindungi server IIS dari ancaman ini, administrator dan developer harus segera melakukan langkah-langkah berikut:
- Hapus machine key statis apa pun dari file web.config dan paksa IIS untuk menghasilkan kunci baru yang unik secara otomatis untuk setiap aplikasi, atau buat kunci baru yang sangat panjang dan acak.
- Jangan pernah menggunakan kunci dari dokumentasi, repositori, atau sumber publik lain di lingkungan produksi. Kunci ini harus selalu rahasia dan unik.
- Lakukan pembersihan menyeluruh untuk webshell, rootkit, atau module IIS aneh (seperti TOLLBOOTH) yang mungkin telah terinstal di server.
- Jika Anda harus menentukan machine key secara manual (misalnya untuk lingkungan server farm), pastikan Anda mengenkripsi bagian konfigurasi web.config untuk mencegah pencurian kunci.
Insiden ini berfungsi sebagai peringatan serius bagi semua organisasi yang menjalankan server ASP.NET tentang pentingnya praktik konfigurasi yang aman dan unik. Keamanan bukan hanya tentang firewall, tetapi juga tentang kunci rahasia di inti setiap aplikasi.
Sumber berita:
