Cryptojacking sudah cukup terkenal di seluruh dunia, di mana sumber daya korban diambil untuk berkontribusi pada kumpulan penambangan dengan imbalan uang bagi penyerang. Saat ini, ada sebuah teknik serangan siber yang kurang dikenal yang sedang mendapat perhatian, yaitu proxyjacking.
Dalam proxyjacking, penyerang tidak hanya mencuri sumber daya, tetapi juga memanfaatkan bandwidth tidak terpakai dari korban. Sistem korban secara diam-diam dijadikan node proxy P2P yang baru-baru ini dimonetisasi oleh penyerang melalui organisasi seperti Peer2Profit atau Honeygain. Perusahaan-perusahaan ini memberikan kesempatan kepada pengguna biasa untuk mendapatkan pembayaran atas bandwidth ekstra mereka, suatu prospek menarik dan sah bagi banyak orang dan entitas.
Namun, seringkali situs-situs ini tidak mengajukan pertanyaan tentang asal usul node proxy baru tersebut. Kita dengan mudah dapat menduga di mana ketidakjelasan dimulai. Meskipun praktik proxyjacking telah ada untuk beberapa waktu, baru-baru ini mulai digunakan secara luas untuk mendapatkan keuntungan.
Apa itu Proxyjacking
Proxyjacking adalah bentuk kejahatan siber yang secara khusus menargetkan eksploitasi ilegal sumber daya jaringan, terutama bandwidth. Dengan demikian, perbedaan utama antara proxyjacking dan cryptojacking terletak pada penggunaan CPU. Proxyjacking melibatkan penyewaan bandwidth kepada pengguna lain tanpa pengetahuan mereka.
Fenomena ini adalah hasil dari pertumbuhan dan penggunaan layanan proxyware dalam beberapa tahun terakhir. Proxyware adalah aplikasi atau perangkat lunak yang sepenuhnya sah dan tidak berbahaya, yang dapat diinstal pada perangkat yang terhubung ke internet. Saat dijalankan, pengguna membagikan bandwidth internet mereka dengan orang lain yang membayar untuk menggunakan alamat IP mereka. Layanan seperti IPRoyal, Honeygain, Peer2Profit, dan lainnya membayar pengguna berdasarkan durasi penggunaan aplikasi.
Proxyware telah digunakan dalam serangan adware yang dilaporkan sebelumnya oleh Cisco Talos Intelligence Group dan AhnLab Security Emergency Response Center (ASEC). Layanan ini memungkinkan pengguna menghasilkan uang dengan berbagi koneksi internet mereka. Seperti yang dijelaskan oleh Cisco Talos dalam blog mereka, penyerang “menggunakan platform ini untuk memonetisasi bandwidth internet korban, serupa dengan upaya penambangan cryptocurrency yang memonetisasi siklus CPU dari sistem yang terinfeksi.”
IPRoyal mengidentifikasi dirinya sebagai jaringan proxy global yang klaim “100% IP bersumber secara etis.” Ini mungkin berarti bahwa mereka tidak memperjualbelikan IP yang mungkin dicuri atau dipalsukan melalui penggunaan mesin virtual. Asumsi ini juga menunjukkan bahwa mereka memiliki proses pemeriksaan untuk memastikan tidak ada yang di-proxyjacked. Jaringan proxy IPRoyal mencakup IP yang dibagikan melalui layanan proxy pawns.app. Meskipun klaim etika ini sulit dipercaya berdasarkan serangan honeypot yang ditangkap oleh Sysdig TRT, mereka memutuskan untuk mengujinya dan layanan proxyware lainnya untuk melihat apakah proxyjacking benar-benar dapat menjadi sumber pendapatan bagi para penyerang.
Baca juga: Firewall adalah: Arti, Cara Kerja, Jenis, Manfaat
Potensi Kerugian dari Proxyjacking
Dalam skala besar, kampanye ini dapat memberikan penghasilan yang menguntungkan bagi penyerang. Menurut skala keuntungan pion.app, aktivitas selama 24 jam dengan satu alamat IP dapat menghasilkan $9,60 per bulan. Meskipun Pion melakukan pemeriksaan untuk mencegah penggunaan instan cloud seperti EC2, Peer2Profit tidak memiliki batasan serupa.
Seperti yang telah disebutkan, penyerang mendapatkan akses awal melalui eksploitasi kerentanan Log4j. Jutaan sistem masih menggunakan versi Log4j yang rentan, dan lebih dari 23.000 di antaranya dapat dijangkau dari internet, menurut Censys. Meskipun Log4j bukan satu-satunya vektor serangan untuk menyebarkan malware proxyjacking, kerentanan ini sendiri dapat teoretis memberikan keuntungan lebih dari $220.000 per bulan. Dengan pendekatan yang lebih konservatif, kompromi sederhana dari 100 IP dapat menghasilkan pendapatan pasif hampir $1.000 per bulan.
Meskipun Pawns dan IPRoyal memiliki batasan tentang jenis IP yang mereka beli dan bagikan. Layanan proxyware lain, seperti Peer2Profit, tidak memiliki batasan serupa. Sysdig menemukan bahwa aplikasi Pawns tidak bekerja dengan baik pada IP EC2 atau OVHCloud karena aplikasi tersebut membatasi klien ke alamat IP yang diklasifikasikan sebagai perumahan. Pawns mungkin menggunakan layanan seperti ip2location[.]com untuk mengklasifikasikan alamat IP saat agen baru mencoba mendaftar. Ini mungkin disebabkan oleh kepercayaan yang lebih tinggi pada alamat IP perumahan daripada server pribadi virtual cloud.
Sysdig TRT mengonfirmasi bahwa Peer2Profit dapat berjalan pada IP server/pusat data seperti AWS EC2, yang dijelaskan dalam FAQ di situs web mereka. Ini menunjukkan bahwa perangkat lunak mereka juga berfungsi pada mesin virtual. Mereka bahkan menyediakan wadah Docker untuk eksekusi yang mudah. Agen Peer2Profit juga telah dikompilasi untuk berjalan di sistem ARM, dan perusahaan ini menyediakan contoh berjalan di sistem seperti Raspberry Pi. Beberapa layanan proxyware bahkan menawarkan server proxy seluler dan memiliki aplikasi Android di pasaran.
Cara Kerja Proxyjacking
1. Penetrasi Sistem
Proses dimulai dengan penyerang yang berusaha masuk ke dalam sistem target. Mereka dapat menggunakan berbagai metode seperti serangan phishing, eksploitasi celah keamanan, atau penggunaan malware. Tujuannya adalah mendapatkan akses yang diperlukan untuk melakukan perubahan pada pengaturan proxy.
2. Eksplorasi Lingkungan
Setelah berhasil mendapatkan akses, penyerang menjelajahi lingkungan sistem untuk mengumpulkan informasi terkait pengaturan proxy yang digunakan. Mereka mencari tahu di mana konfigurasi proxy disimpan, apakah itu dalam file konfigurasi, registri sistem, atau lokasi lainnya.
3. Identifikasi Proxy Settings
Penyerang selanjutnya mengidentifikasi konfigurasi proxy yang sedang digunakan oleh sistem target. Hal ini melibatkan membaca file konfigurasi, menjelajahi registri, atau menggunakan alat-alat khusus yang dapat mengungkap informasi terkait pengaturan proxy.
4. Modifikasi Proxy Settings
Setelah menemukan informasi yang dibutuhkan, penyerang mengganti pengaturan proxy sesuai dengan kebutuhan mereka. Ini bisa berarti mengarahkan lalu lintas internet melalui server proxy yang dikendalikan oleh penyerang. Modifikasi ini memungkinkan penyerang untuk menyusupkan atau memanipulasi lalu lintas sesuai keinginan mereka.
5. Penyamaran
Agar tetap tidak terdeteksi, penyerang mungkin melakukan langkah-langkah penyamaran. Ini termasuk menghapus atau memodifikasi catatan log, mengubah tanda-tanda aktivitas mencurigakan, atau menggunakan teknik lain untuk menyembunyikan jejak mereka di dalam sistem.
6. Eksploitasi Lalu Lintas
Dengan mengendalikan proxy, penyerang dapat memantau lalu lintas internet yang melewati sistem target. Mereka dapat melakukan berbagai tindakan jahat, seperti menyadap informasi pribadi, mencuri kredensial, atau melancarkan serangan lainnya terhadap pengguna atau sistem yang berkomunikasi melalui proxy tersebut.
7. Pemeliharaan Akses
Agar tetap memiliki kontrol yang berkelanjutan, penyerang mungkin melakukan langkah-langkah tambahan seperti menginstal backdoor di dalam sistem atau melakukan modifikasi pada perangkat untuk memastikan akses mereka tidak terganggu.
Dampak Proxyjacking
Proxyjacking memiliki dampak yang signifikan terhadap korban yang disusupi. Beberapa dampak utama dari serangan proxyjacking termasuk:
Pemanfaatan Bandwidth Tanpa Izin
Penyerang yang melakukan proxyjacking menyewa atau memanfaatkan bandwidth korban tanpa izin. Ini dapat menyebabkan kinerja jaringan yang lambat dan menimbulkan biaya tambahan bagi korban jika mereka dibebankan atas penggunaan bandwidth yang tidak mereka inisiasi atau persetujui.
Kurangnya Privasi dan Keamanan
Penggunaan sistem korban sebagai node proxy P2P dapat mengorbankan privasi dan keamanan korban. Informasi sensitif mungkin melalui node proxy ini, dan korban mungkin tidak menyadari bahwa data mereka sedang digunakan untuk tujuan yang tidak sah.
Kerusakan Reputasi
Jika serangan proxyjacking menyebabkan kinerja jaringan yang buruk atau menciptakan masalah keamanan, reputasi korban dapat terpengaruh. Ini terutama berlaku jika korban adalah sebuah perusahaan atau entitas yang menyediakan layanan online kepada pengguna.
Penggunaan Sumber Daya Komputasi
Meskipun perbedaan utama antara cryptojacking dan proxyjacking terletak pada penggunaan CPU, proxyjacking tetap dapat memanfaatkan sumber daya komputasi korban. Hal ini dapat merugikan korban dengan mengurangi kinerja sistem mereka, memperpendek umur baterai pada perangkat bergerak, dan menyebabkan ketidaknyamanan pengguna.
Potensi Kerugian Keuangan
Serangan proxyjacking, terutama jika tidak terdeteksi selama periode waktu yang lama, dapat menyebabkan korban menghadapi biaya tambahan untuk penggunaan bandwidth yang tidak sah. Ini bisa merugikan secara finansial dan memerlukan upaya untuk mengidentifikasi dan menghentikan serangan.
Ancaman Keamanan Lainnya
Proxyjacking dapat digunakan sebagai sarana untuk memfasilitasi serangan keamanan lainnya. Misalnya, penyerang dapat memanfaatkan node proxy untuk menyebarkan malware, mencuri data, atau menjalankan serangan lain yang dapat merugikan korban.
Baca juga: Disaster Recovery Plan IT adalah (DRP): Arti dan Cara Membuat
Cara Mendeteksi Proxyjacking
Mendeteksi proxyjacking adalah suatu tugas yang memerlukan pemahaman mendalam tentang karakteristik serangan dan aktivitas jaringan yang terkait dengan teknik ini. Berikut ini adalah penjelasan lebih rinci tentang cara mendeteksi proxyjacking:
Pemantauan Aktivitas Jaringan
Pemantauan aktifitas jaringan secara rutin dapat membantu mendeteksi perubahan signifikan dalam pola trafik atau lonjakan lalu lintas yang tidak biasa. Perangkat lunak pemantauan canggih dapat memberikan informasi visual yang memudahkan identifikasi anomali.
Analisis Log Jaringan
Log jaringan adalah sumber informasi berharga untuk mendeteksi serangan proxyjacking. Melalui analisis log keamanan, log firewall, dan log jaringan lainnya, Anda dapat menemukan indikasi koneksi yang mencurigakan atau pola trafik yang tidak sesuai dengan kebiasaan.
Pemantauan Penggunaan Bandwidth
Pemantauan penggunaan bandwidth secara berkala penting untuk mendeteksi lonjakan lalu lintas yang tidak dapat dijelaskan. Kegiatan proxyjacking dapat meningkatkan penggunaan bandwidth, dan pemantauan ini dapat membantu mengidentifikasi perubahan tersebut.
Analisis Trafik Jaringan
Analisis trafik jaringan mendalam dapat membantu mengidentifikasi pola karakteristik proxyjacking, seperti koneksi ke alamat IP proxyware atau penggunaan protokol tertentu yang sering terkait dengan serangan ini.
Deteksi Anomali CPU
Proxyjacking dapat memanfaatkan sumber daya CPU, dan deteksi lonjakan penggunaan CPU yang tidak biasa dapat menjadi tanda peringatan. Alat pemantauan sumber daya seperti Task Manager dapat membantu dalam mendeteksi perubahan ini.
Penggunaan Layanan Proxyware
Periksa perangkat Anda untuk memastikan bahwa tidak ada aplikasi atau layanan proxyware yang terinstal tanpa izin. Aplikasi seperti Pawns, IPRoyal, atau Peer2Profit dapat menjadi indikator aktivitas proxyjacking.
Analisis Perubahan Konfigurasi Sistem
Serangan proxyjacking mungkin melibatkan perubahan konfigurasi sistem. Pantau perubahan konfigurasi yang tidak diinginkan atau tidak diketahui, terutama yang berkaitan dengan pengaturan jaringan atau penggunaan proxy.
Pemindaian Keamanan Teratur
Menggunakan alat pemindaian keamanan yang up-to-date dapat membantu mendeteksi potensi kerentanan yang dapat dimanfaatkan oleh serangan proxyjacking. Pastikan untuk memperbarui definisi dan aturan deteksi secara teratur.
Analisis Pola Koneksi
Tinjau pola koneksi ke alamat IP eksternal dan periksa apakah ada koneksi ke server proxy yang tidak sah. Perhatikan juga perubahan pola koneksi yang mencurigakan, seperti peningkatan frekuensi koneksi ke alamat IP tertentu.
Uji Penetrasi
Melakukan uji penetrasi secara berkala membantu mengidentifikasi potensi kerentanan dalam keamanan sistem Anda yang dapat dimanfaatkan oleh serangan proxyjacking. Uji ini dapat mencakup skenario yang melibatkan serangan proxyjacking untuk mengukur sejauh mana sistem Anda tahan terhadap serangan tersebut.
Pentingnya Kesadaran Pengguna
Mengedukasi pengguna tentang risiko proxyjacking dan memberikan panduan untuk melaporkan aktivitas yang mencurigakan sangat penting. Pengguna yang waspada dapat menjadi mata dan telinga tambahan untuk mendeteksi serangan lebih cepat.
Perbedaan Cryptojacking dengan Proxyjacking
Cryptojacking adalah praktik menggunakan komputer atau perangkat secara ilegal untuk melakukan penambangan cryptocurrency. Dalam bentuk yang paling umum, penyerang menginstal penambang berbasis CPU untuk mengekstraksi nilai maksimal dari sistem yang disusupi. Sementara itu, proxyjacking, seperti yang dijelaskan dalam tulisan ini, memiliki perbedaan sedikit dengan cryptojacking, karena fokus utamanya adalah memanfaatkan sumber daya jaringan dengan meninggalkan jejak CPU yang minimal.
Meskipun cryptojacking dan proxyjacking dapat menghasilkan pendapatan bulanan yang setara bagi penyerang, proxyjacking mungkin bahkan lebih menguntungkan mengingat nilai tukar cryptocurrency saat ini dan pembayaran dari proxyware. Namun, hampir setiap perangkat lunak pemantauan akan mengukur penggunaan CPU sebagai salah satu metrik utama (dan umumnya paling penting). Pengaruh proxyjacking pada sistem sangat kecil: misalnya, 1 GB lalu lintas jaringan yang tersebar selama sebulan hanya sekitar puluhan megabyte per hari, dan kemungkinan besar hal ini hanya akan terlewat dari perhatian.
Cara Mencegah Proxyjacking
Untuk mencegah serangan proxyjacking dan melindungi sistem Anda, ada beberapa langkah pencegahan yang dapat diambil:
Pemantauan Aktivitas Jaringan
Rutin memantau aktivitas jaringan dapat membantu mendeteksi anomali dan tanda-tanda serangan proxyjacking. Penggunaan perangkat lunak pemantauan yang canggih dapat membantu mengidentifikasi pola yang mencurigakan.
Pembaruan Perangkat Lunak
Pastikan semua perangkat lunak, termasuk sistem operasi, perangkat lunak keamanan, dan aplikasi lainnya, selalu diperbarui. Pembaruan tersebut seringkali mencakup perbaikan terhadap kerentanan yang dapat dieksploitasi oleh penyerang.
Firewall yang Kuat
Konfigurasikan firewall untuk membatasi akses yang tidak sah ke sistem Anda. Batasi koneksi hanya pada layanan yang benar-benar diperlukan dan pantau lalu lintas jaringan secara cermat.
Penggunaan Layanan Proxy yang Terpercaya
Jika Anda menggunakan layanan proxy untuk keperluan bisnis atau pribadi, pastikan untuk memilih layanan yang tepercaya dan memiliki kebijakan keamanan yang kuat. Hindari layanan yang tidak jelas atau tidak memiliki reputasi yang baik.
Pembaruan dan Pemantauan Keamanan Log
Terapkan pemantauan keamanan log yang efektif untuk mendeteksi aktivitas yang mencurigakan. Pemantauan log dapat membantu Anda melacak akses yang tidak sah atau pola serangan proxyjacking.
Segmentasi Jaringan
Gunakan segmentasi jaringan untuk membatasi akses ke area sensitif. Dengan mengisolasi bagian-bagian tertentu dari jaringan, Anda dapat meminimalkan dampak serangan jika satu bagian jaringan terinfeksi.
Analisis Trafik Jaringan
Lakukan analisis trafik jaringan secara teratur untuk mengidentifikasi pola atau tanda-tanda proxyjacking. Pemahaman mendalam tentang karakteristik serangan dapat membantu dalam pencegahan yang lebih efektif.
Penggunaan Alat Keamanan
Manfaatkan alat keamanan seperti antivirus, anti-malware, dan aplikasi keamanan jaringan untuk mendeteksi dan mencegah serangan proxyjacking. Pastikan alat-alat tersebut selalu diperbarui.
Pendidikan Pengguna
Tingkatkan kesadaran pengguna tentang risiko proxyjacking dan praktik keamanan yang baik. Ini termasuk menjauhi tautan yang mencurigakan, tidak menginstal perangkat lunak dari sumber yang tidak dipercayai, dan melaporkan aktivitas yang mencurigakan.
Pengetesan Keamanan Teratur
Lakukan pengujian keamanan rutin, termasuk uji penetrasi, untuk mengidentifikasi kerentanan potensial dalam sistem Anda. Langkah ini membantu Anda menemukan dan memperbaiki masalah keamanan sebelum penyerang dapat memanfaatkannya.
Kesimpulan
Proxyjacking adalah serangan dengan upaya rendah dan imbalan tinggi bagi pelaku serangan siber. Daftar layanan proxyware yang dilaporkan digunakan untuk proxyjacking masih kecil saat ini. Tapi pada waktunya, penyerang akan menemukan jalan dan pembela akan menemukan lebih banyak aktivitas jahat. Sysdig TRT merekomendasikan pengaturan batas penagihan dan peringatan dengan CSP (communications service providers) Anda. Hal ini bertujuan untuk menghindari menerima tagihan penggunaan yang mengejutkan. Anda juga harus memiliki aturan deteksi ancaman untuk menerima peringatan pada setiap akses awal dan aktivitas muatan sebelum penginstalan aplikasi layanan proxyware di jaringan Anda.
Panda Security: Melindungi Bisnis Anda dengan Keamanan IT Terbaik
Keamanan IT yang Luar Biasa
Panda Adaptive 360 adalah jawaban untuk keamanan IT yang luar biasa. Kami menyajikan teknologi terdepan dengan perlindungan yang tak tertandingi.
- Perlindungan Tak Terkalahkan: Dengan firewall canggih, deteksi malware cerdas, dan pemindaian berkecepatan tinggi, kami menawarkan perlindungan yang tak tertandingi.
- Perlindungan Seluler: Jangan biarkan perangkat seluler menjadi celah keamanan. Panda Security melindungi semua perangkat terhubung Anda, memungkinkan Anda bekerja di mana pun tanpa khawatir.
Alasan Memilih Panda Security
Mengapa Anda harus memilih Panda Security sebagai perlindungan IT bisnis Anda?
- Pertahankan Produktivitas: Serangan siber dapat mengganggu bisnis Anda. Dengan Panda Security, Anda tetap produktif tanpa gangguan.
- Lindungi Reputasi: Keamanan data adalah kunci untuk mempertahankan reputasi bisnis Anda. Panda Security membantu menjaga kepercayaan pelanggan.
- Investasi yang Membawa Nilai: Perlindungan IT adalah investasi dalam masa depan bisnis Anda. Lindungi aset Anda dan pastikan operasional yang lancar.
Panda Security: Sahabat Bisnis Anda
Panda Security bukan hanya produk, namun bisa sahabat bisnis Anda yang selalu siap membantu Anda mencapai sukses dan menjaga bisnis Anda tetap aman.
Jadwalkan Konsultasi dan Demo Gratis dengan kami Disini
Baca juga: Exploit Kit adalah: Arti, Cara Kerja, Jenis, Pencegahan
