Backdoor SUPERNOVA Ditemukan di Perangkat Lunak Orion SolarWinds


Aktor dibalik serangan ke sebuah perusahaan SolarWinds tampaknya belum berhenti menyerang sistem dan ingin mencuri data rahasia di dalamnya. Sebelumnya, serangan awal berpotensi mengganggu keamanan data pelanggan dan sistem server pusat SolarWinds dan melanjutkan aksinya dengan menyelipkan sebuah backdoor berbahaya akan tetapi saat ini sudah dihapus oleh mereka.

Perusahaan keamanan Palo Alto mengidentifikasi atas temuan barunya yakni backdoor SUPERNOVA sebagai rantai pasokan SolarWinds Orion, ini adalah ancaman serangan yang kedua setelah 18.000 data pelanggan terkena dampak yang diyakini dari perangkat lunak Orion yang disusupi malware berbahaya.

Palo Alto menjelaskan serangan webshell backdoor yang diluncurkan para peretas untuk mengancam keamanan server SolarWinds. Skrip server ini seringkali dianggap sebagai dokumen frontend interaktif sehingga dapat dimanipulasi dengan tujuan memberikan efek samping pada sisi backend. Seperti yang kita ketahui, jika webshell backdoor ditanamkan ke sebuah website ataupun perangkat lunak tertentu maka aktivitas penyerang akan lebih leluasa untuk melakukan unggah, unduh, edit, rename bahkan dampak berbahaya lainnya adalah peretas bisa menjatuhkan malware beresiko tinggi.

Webshell merupakan barisan kode yang berisi skrip dengan bahasa pemrograman yang paling sering digunakan seperti PHP, Java JSP, VBScript, JScript ASP, C# dan ASP.NET. Jika ini sudah tertanam, webshell akan menerima perintah dari seseorang jarak jauh dan dijalankan berdasarkan server yang mendasarinya.

Webshell SUPERNOVA sangat berbeda dibandingkan webshell pada umumnya karena untuk menjalankannya butuh program .NET sebagai parameternya. Parameter tersebut diantaranya yaitu class .NET, methode, argument, dan data kode yang sudah dikompilasi serta akan dieksekusi di dalam memori.

Dengan kata lain, penyerang sudah berhasil membangun .NET API yang disembunyikan ke dalam biner Orion, yang penggunanya biasanya memiliki keistimewaan tingkat tinggi dalam jaringan organisasi. Kemudian, para penyerang secara otomatis dapat melakukan aktivitas berbahaya sewenang-wenang untuk mengobrak-abrik konfigurasi SolarWinds.

SUPERNOVA adalah varian webshell dari trojan yang dibuat dari library .NET yang sah (app_web_logoimagehandler.ashx.b6031896.dll) dan ini sudah ada pada perangkat lunak Orion milik SolarWinds. Untuk menghindari pendeteksian anti-virus skrip SUPERNOVA sudah dimodifikasi sedemikian rupa agar terhindari dari masalah itu.

Library yang digunakan SolarWinds ternyata menggunakan DLL yang sekaligus mengekspos API HTTP sebagai endpoint untuk menanggapi subsistem lain ketika gambar gif dikirimkan.

Laporan ini sudah diterbitkan minggu lalu oleh Matt Tennis yang bekerja sebagai Senior Staff Security Researcher dari Palo Alto Networks. Ia juga mengatakan bahwa kode skrip yang ditanam ke perangkat lunak Orion telah terpasang secara sah dan tidak berbahaya dan berkualitas relatif tinggi karena sistem tidak akan mendeteksi DLL sah.

Peneliti keamanan menunjukkan bahwa pelaku membawa empat parameter baru diantaranya codes, clazz, method dan args yang diteruskan dengan string query GET ke dalam komponen logo trojanized.  Parameter ini kemudian akan dieksekusi ke dalam metode custom yang sudah disesuaikan dengan bahasa pemrograman yang dipakainya.

SolarWinds-SUPERNOVA-Webshell
Photo: Kode SUPERNOVA (Palo Alto Networks)

Kode berbahaya yang digunakan hanya berisi satu  metode disebut sebagai DynamicRun, tugasnya mengkompilasi parameter dengan cepat ke dalam .NET assembly di memori sehingga tindakan apapun tidak membekas pada disk perangkat yang sudah disusupi.

Dari hasil pendeteksian pada situs VirusTotal, malware ini sudah terdeteksi oleh 55 dari 69 total keseluruhan perangkat anti-virus.

Hingga saat ini belum ada yang mengetahui kapan SUPERNOVA berhasil menyusupi perangkat lunak Orion, akan tetapi dari analisis malware Intezer menyebutkan bahwa waktu kompilasi tercatat pada 24 Maret 2020.

Berdasarkan investigasi para peneliti keamanan, aktor dibalik serangan webshell SUPERNOVA memiliki keahlian dalam meracik webshell dengan tingkat lanjut disertai sangat lihai dalam menghindari pendeteksian anti-virus terkenal sekalipun.

Webshell SUPERNOVA menjalankan payload berbahaya dalam konteks lingkungan runtime disertai pemanggilan subshell seperti pemanggilan cmd.exe, PowerShell.exe ataupun /bin/bash.

Microsoft sendiri mengungkapkan bahwa aktor dibalik backdoor SUPERNOVA tidaklah sama dengan sebelumnya yang melakukan pembobolan ke perusahaan FireEye dan entitas pemerintahan AS. Argumen ini dikuatkan berdasarkan dari informasi bahwa SUPERNOVA tidak memiliki tanda tangan digital berbeda halnya dengan SunBrust dan Solarigate yang pertama kali ditemukan pada library SolarWinds.Orion.Core.BusinessLayer.Dll.

Saat ini, perusahaan keamanan masih mengidentifikasi dan belum memberikan kontribusi serta membantu perbaikan atas dua temuan malware berbeda, kecuali ini adalah serangan paling mutakhir yang dilancarkan grup hacker APT.