Berita Terbaru

Malware TCESB: Serangan Tersembunyi Lewat Driver Resmi

Ilustrasi Cyber Security

Ilustrasi Cyber Security

Di era digital yang semakin canggih, keamanan siber telah menjadi isu utama di berbagai sektor, dari pemerintahan, korporasi, hingga pengguna individu. Baru-baru ini, dunia keamanan digital kembali diguncang oleh penemuan malware baru yang cukup unik dan mematikan: TCESB.

Malware ini muncul dengan kemampuan eksploitasi yang memanfaatkan celah keamanan dalam salah satu perangkat lunak antivirus ternama, yaitu ESET Security Scanner. 

Artikel ini akan mengulas secara menyeluruh mengenai bagaimana malware ini bekerja, siapa pelakunya, serta bagaimana kita bisa melindungi diri dari ancaman serupa.

 

Siapa di Balik Serangan Ini?

TCESB dikaitkan dengan sebuah kelompok ancaman siber yang dikenal dengan nama ToddyCat. Kelompok ini diduga berasal dari atau memiliki afiliasi dengan Tiongkok. Sejak Desember 2020, ToddyCat diketahui aktif melakukan serangan terhadap berbagai organisasi di Asia, khususnya di wilayah Asia-Pasifik. Mereka dikenal karena pendekatan yang canggih, alat-alat berbahaya yang kompleks, dan strategi serangan yang sangat terencana.

Salah satu hal yang membuat ToddyCat berbahaya adalah kemampuannya untuk mempertahankan akses jangka panjang ke sistem target dan mencuri data dalam jumlah besar secara terus-menerus. Serangan mereka tidak hanya menyasar individu, tetapi juga perusahaan besar dan lembaga pemerintahan.

 

Apa Itu Malware TCESB?

TCESB merupakan malware yang belum pernah terdokumentasi sebelumnya dan mulai ditemukan oleh para peneliti keamanan dari Kaspersky pada awal 2024. Malware ini menggunakan teknik yang cukup kompleks untuk menghindari deteksi, dan mampu mengeksekusi muatan (payload) berbahaya secara diam-diam.

Yang menarik, TCESB merupakan varian modifikasi dari alat open-source bernama EDRSandBlast. Alat ini biasa digunakan untuk menghindari sistem pemantauan di dalam sistem operasi, terutama yang berkaitan dengan keamanan endpoint.

 

Kemampuan TCESB

  1. Menghindari deteksi antivirus dan alat monitoring
  2. Menonaktifkan callback kernel sistem operasi, yang biasanya digunakan oleh sistem keamanan untuk mendeteksi aktivitas mencurigakan
  3. Mengeksekusi file berbahaya yang baru dimunculkan, tanpa perlu restart atau intervensi pengguna

TCESB tidak bekerja sendirian. Ia bergantung pada strategi rumit yang memanfaatkan celah dalam sistem operasi dan software untuk bisa menginstal dan berjalan tanpa hambatan.

 

Eksploitasi Melalui Celah ESET Security Scanner

Salah satu teknik utama yang digunakan TCESB adalah DLL Search Order Hijacking. Ini adalah metode di mana penyerang menempatkan file DLL palsu (yang sudah dimodifikasi untuk berbahaya) di folder tertentu. Sistem akan memuat DLL ini secara otomatis karena mengikuti urutan pencarian file DLL yang salah.

Dalam kasus ini, file bernama version.dll yang digunakan oleh ESET Command Line Scanner dimanipulasi. Biasanya, version.dll adalah file asli dari Microsoft yang berada di folder sistem Windows. Namun, karena ESET mencari file ini terlebih dahulu di folder lokal sebelum folder sistem, penyerang bisa mengganti versi aslinya dengan versi jahat.

Dengan kata lain, malware TCESB bisa masuk dan berjalan karena ESET memuat file palsu yang terlihat seperti file asli. Ini adalah kesalahan keamanan yang cukup umum di masa lalu, tetapi masih saja terjadi.

Kerentanan CVE-2024-11859
Celah yang digunakan dalam kasus ini telah didaftarkan secara resmi dengan kode CVE-2024-11859, dan memiliki skor keparahan 6.8 dari 10. Walaupun bukan yang paling tinggi, celah ini tetap berbahaya, terutama karena menyangkut produk antivirus.

Kelemahan ini memungkinkan penyerang yang sudah memiliki akses administrator untuk menjalankan kode berbahaya. Walaupun tidak bisa menaikkan hak akses (privilege escalation), cukup dengan hak admin saja malware ini bisa sepenuhnya menguasai sistem.

Beruntung, ESET telah menambal celah ini pada akhir Januari 2025 setelah menerima laporan dari Kaspersky dan peneliti lainnya.

Strategi Lanjutan: BYOVD
Setelah berhasil menginfiltrasi sistem, TCESB menggunakan teknik lanjutan yang dikenal sebagai Bring Your Own Vulnerable Driver (BYOVD). Teknik ini memungkinkan malware untuk memasukkan driver yang sudah diketahui memiliki celah ke dalam sistem target.

Dalam kasus ini, TCESB memasukkan driver dari Dell bernama DBUtilDrv2.sys melalui antarmuka Device Manager. Driver ini memiliki kerentanan yang telah diketahui sebelumnya (CVE-2021-36276), dan memungkinkan malware untuk menonaktifkan berbagai mekanisme pertahanan di dalam sistem.

Ancaman Driver Lawas
Ancaman melalui BYOVD bukan hal baru. Pada tahun 2022, kelompok hacker terkenal Lazarus Group dari Korea Utara juga menggunakan driver lama dari Dell untuk menonaktifkan sistem keamanan. Teknik ini sangat efektif karena driver — sebagai bagian inti dari sistem memiliki hak akses tinggi secara default.

Setelah driver tersebut terpasang, TCESB akan terus mengecek setiap dua detik apakah ada file payload berbahaya muncul di direktori yang sama. Begitu file ditemukan, malware akan mengenkripsinya menggunakan algoritma AES-128, lalu langsung mengeksekusinya.

 

Mengapa Malware TCESB Berbahaya?

Serangan malware TCESB menjadi sangat berbahaya karena menggabungkan berbagai teknik canggih yang dirancang untuk menghindari deteksi, menyamar sebagai komponen sah, dan menjalankan serangan secara tersembunyi. Berikut penjelasan lebih rinci:

  1. Menghindari Antivirus Tradisional
    Salah satu alasan utama TCESB berbahaya adalah karena ia mampu berjalan tanpa terdeteksi oleh antivirus biasa. Biasanya, perangkat lunak antivirus mendeteksi ancaman dengan memindai file atau proses mencurigakan di sistem. Namun, TCESB memanfaatkan kelemahan atau celah di dalam perangkat lunak antivirus itu sendiri dalam hal ini, celah dalam ESET Security Scanner. Artinya, software yang seharusnya melindungi sistem malah dimanfaatkan untuk menyerangnya. Ini membuat malware ini bisa menghindar dari radar keamanan konvensional dengan sangat efektif.
  2. Menyamar Lewat Driver Legal
    TCESB juga sangat sulit dideteksi karena menggunakan driver sah dari vendor ternama, seperti Dell. Teknik ini dikenal sebagai Bring Your Own Vulnerable Driver (BYOVD). Dengan menggunakan driver yang secara resmi ditandatangani dan dipercaya oleh sistem operasi, malware bisa menyusup ke dalam sistem tanpa menimbulkan kecurigaan. Driver ini kemudian digunakan untuk melakukan manipulasi tingkat rendah, seperti menonaktifkan fitur keamanan, yang biasanya tidak bisa dilakukan oleh program biasa.
  3. Sifat Modular dan Dinamis
    Berbeda dengan malware konvensional yang langsung aktif dan menyebar begitu masuk ke sistem, TCESB bersifat modular dan hanya aktif saat diperlukan, yaitu ketika file payload berbahaya tersedia di folder tertentu. Hal ini membuatnya lebih sulit dianalisis oleh alat keamanan seperti pemindai statis (static scanner) atau sandbox karena pada saat analisis berlangsung, malware tampak "diam" dan tidak melakukan aktivitas mencurigakan. Pendekatan ini membuatnya tampak seperti file tidak berbahaya padahal ia hanya sedang menunggu momen untuk menyerang.
  4. Rantai Serangan yang Kompleks dan Canggih
    Serangan TCESB bukan serangan sekali tembak. Ia melibatkan rantai serangan yang terstruktur dan berlapis, mulai dari:
    • Mengeksploitasi celah pada perangkat lunak antivirus (ESET),
    • Memasang driver sah tapi rentan ke dalam sistem,
    • Menonaktifkan sistem monitoring kernel,
    • Memantau direktori secara berkala untuk memicu payload berbahaya, lalu
    • Mengeksekusi file tersembunyi secara otomatis.

Kombinasi dari semua teknik ini menunjukkan bahwa pelaku di balik malware ini memiliki kemampuan teknis tinggi dan memahami dengan baik bagaimana cara menembus sistem keamanan modern. Inilah yang membuat TCESB sangat berbahaya dan patut diwaspadai.

 

Cara Melindungi Diri dari Serangan Malware TCESB

Karena sifat serangan seperti TCESB sangat kompleks dan mampu melewati perlindungan dasar, maka upaya pertahanan pun harus ditingkatkan dan mencakup berbagai aspek, tidak hanya bergantung pada antivirus. Berikut adalah beberapa langkah penting yang dapat dilakukan untuk meningkatkan keamanan:

  1. Update Perangkat Lunak Secara Berkala
    Langkah paling mendasar namun sangat penting adalah selalu memperbarui semua perangkat lunak secara berkala, terutama perangkat lunak keamanan seperti antivirus dan sistem operasi. Vendor seperti ESET sudah mengeluarkan patch untuk memperbaiki celah CVE-2024-11859, tapi patch tersebut hanya akan efektif jika pengguna aktif mengunduh dan menginstalnya. Pembaruan ini seringkali mencakup perbaikan atas celah keamanan yang telah ditemukan, sehingga sangat penting untuk tidak menundanya.

  2. Audit dan Monitoring Driver Sistem
    Karena TCESB mengeksploitasi driver sah yang memiliki celah, sangat penting untuk melakukan audit secara rutin terhadap driver yang terpasang di sistem. Pastikan:

    • Tidak ada driver dari vendor yang sudah lama tidak didukung,
    • Tidak ada driver yang memiliki riwayat kerentanan,
    • Sistem hanya menggunakan driver yang benar-benar dibutuhkan.
    • Selain itu, gunakan alat atau fitur sistem operasi untuk memonitor aktivitas driver, terutama jika tiba-tiba ada driver baru yang muncul atau berubah.

  3. Gunakan Solusi Keamanan Lanjutan (EDR)
    Endpoint Detection and Response (EDR) adalah solusi keamanan yang lebih canggih dibanding antivirus biasa. EDR mampu:

    • Mendeteksi pola perilaku mencurigakan yang tidak terlihat dari file itu sendiri,
    • Menganalisis hubungan antar proses dalam sistem, dan
    • Memberikan respon otomatis terhadap serangan (seperti menghentikan proses atau mengisolasi sistem yang terinfeksi).
    • Dengan EDR, sistem akan lebih siap menghadapi serangan berlapis seperti yang dilakukan oleh TCESB.

  4. Monitoring Aktivitas Kernel Sistem
    Malware seperti TCESB sering memodifikasi aktivitas di level kernel bagian terdalam dari sistem operasi yang mengatur semua proses. Oleh karena itu, penting untuk:

    • Menggunakan alat yang bisa mendeteksi manipulasi kernel, seperti pemuatan simbol debugging atau penghapusan struktur keamanan,
    • Mengaktifkan kernel-mode protection jika tersedia pada sistem Anda (misalnya Hypervisor-protected Code Integrity di Windows),
    • Memantau log aktivitas sistem untuk melihat kejadian aneh yang bisa menjadi indikator serangan.

    Langkah ini penting karena jika kernel sudah dimanipulasi, banyak pertahanan lainnya bisa dengan mudah dilewati.

  5. Pembatasan Hak Akses Pengguna
    Salah satu kesalahan umum dalam sistem komputer adalah terlalu banyak pengguna memiliki hak administrator. Padahal, malware seperti TCESB hanya butuh satu akun administrator untuk bisa beraksi. Oleh karena itu:
    • Batasi hak akses hanya pada akun yang benar-benar membutuhkan,
    • Gunakan prinsip least privilege, di mana setiap pengguna hanya memiliki akses minimum sesuai kebutuhannya,
    • Gunakan kontrol akses berbasis peran (RBAC) di lingkungan korporat untuk mengelola izin secara terstruktur.

    Dengan membatasi hak akses, kita bisa meminimalisir dampak jika suatu akun berhasil dikompromikan.

 

Kesimpulan

Kemunculan malware TCESB menunjukkan bahwa serangan siber semakin canggih dan tidak bisa dianggap remeh. Bahkan software keamanan seperti ESET pun tidak luput dari celah. Dengan teknik seperti DLL hijacking dan BYOVD, pelaku dapat menyusup ke sistem dan mengambil alih kendali tanpa mudah terdeteksi.

Oleh karena itu, pengguna baik individu maupun organisasi harus lebih proaktif dalam memperbarui sistem, memantau aktivitas mencurigakan, dan menggunakan alat pertahanan berlapis.

Serangan ToddyCat lewat TCESB ini adalah peringatan bahwa perang dunia maya bukan fiksi, tetapi kenyataan yang kita hadapi setiap hari. Meningkatkan kesadaran dan kesiapan adalah kunci untuk bertahan dari serangan yang semakin kompleks di masa depan.

Bagikan artikel ini
Komentar ()

Artikel Terpopuler

LABEL ARTIKEL TERPOPULER

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait