Alat post-exploitation ‘Splinter’ ditemukan, jadi ancaman baru bagi keamanan siber
Alat ini dirancang untuk mensimulasikan akses jangka panjang pada sistem target, memperluas akses awal yang diperoleh melalui berbagai metode.
Peneliti keamanan siber dari Unit 42 mengidentifikasi alat post-exploitation baru yang disebut Splinter. Alat ini ditemukan menggunakan alat pemindaian memori Advanced WildFire dan dilaporkan telah diinstal pada beberapa sistem pelanggan, menekankan pentingnya pemantauan dan deteksi terus-menerus terhadap alat-alat semacam ini.
Dilansir dari Cybersecurity News (22/9), Splinter dikembangkan dengan bahasa pemrograman Rust, yang dikenal memiliki fitur keamanan memori. Alat ini dirancang untuk mensimulasikan akses jangka panjang pada sistem target, memperluas akses awal yang diperoleh melalui berbagai metode.
Menurut laporan, Splinter menggunakan struktur data konfigurasi dalam format JSON, yang dikenal sebagai ImplantConfig, yang berisi informasi penting untuk operasionalnya, termasuk ID implan, ID endpoint target, alamat server command and control (C2), dan kredensial login. Alat ini beroperasi berdasarkan model tugas, di mana perintah-perintah dikirim dari server C2 yang dikendalikan oleh pelaku.
Beberapa tugas yang dapat dieksekusi oleh Splinter mencakup menjalankan perintah Windows, mengunggah dan mengunduh file, mengumpulkan informasi dari akun layanan cloud, hingga menghapus dirinya sendiri dari sistem yang disusupi. Selain itu, alat ini menggunakan metode process injection untuk menyuntikkan kode shell dan payload ke proses lain yang berjalan di sistem.
Temuan Splinter memperlihatkan semakin beragamnya alat red team yang dapat disalahgunakan oleh pelaku kejahatan untuk mengkompromikan sistem organisasi. Bahasa Rust yang digunakan, dengan lapisan kode runtime yang kompleks, membuat analisis terhadap alat ini menjadi tantangan bagi para insinyur reverse malware. Ukurannya yang cukup besar, sekitar 7 MB, dikarenakan adanya perpustakaan eksternal yang dihubungkan secara statis dalam file tersebut.
Komunikasi antara Splinter dan server C2 menggunakan protokol HTTPS terenkripsi, yang semakin menambah tingkat kesulitan dalam mendeteksi dan memblokir aktivitas alat ini. Komunikasi terenkripsi ini digunakan untuk menyinkronkan tugas, menjaga koneksi heartbeat, serta mengunggah dan mengunduh file melalui jalur URL tertentu.
Meskipun Splinter belum sekompleks alat post-exploitation lainnya seperti Cobalt Strike, penemuan ini menyoroti pentingnya kewaspadaan dan pembaruan berkelanjutan dalam langkah-langkah keamanan siber. Organisasi diimbau untuk terus memantau potensi ancaman keamanan dan meningkatkan kemampuan deteksi mereka guna mengantisipasi alat-alat yang berkembang seperti Splinter.
