Security

Otomatisasi Bypass EDR dan Active Directory: Peneliti Temukan Toolkit Ransomware Modular Berbasis Agen AI

14 hours ago
3 minutes read

Kemajuan teknologi kecerdasan buatan (Artificial Intelligence) kini telah dimanfaatkan secara masif untuk mengakselerasi siklus pembuatan kode berbahaya. Perusahaan keamanan siber Sophos secara resmi merilis laporan investigasi terkait penemuan sebuah toolkit serangan ransomware berbasis agen AI (AI-built ransomware toolkit) di dalam lingkungan jaringan salah satu korbannya.

Sistem berbahaya ini dirancang murni untuk mengotomatisasi proses pemetaan jaringan internal perusahaan (Active Directory discovery) serta mempercepat proses rekayasa balik (iterative engineering) guna melumpuhkan serta melewati sistem pertahanan keamanan siber Endpoint Detection and Response (EDR) terkemuka di dunia nyata.

Kronologi Penemuan: Deteksi Muatan di Sasis Dokumen Sistem

Anomali ini pertama kali terendus ketika sistem sensor Sophos menangkap aktivitas mencurigakan yang memicu alarm keamanan pada sebuah direktori lokal komputer korban di jalur C:\Users\User\Documents\test.

Berdasarkan analisis forensik terhadap struktur file yang tersita, peneliti memastikan bahwa berkas-berkas tersebut merupakan bagian dari sebuah kerangka kerja serangan (attack framework) canggih yang fokus utamanya adalah memanipulasi taktik penyamaran agar tidak terdeteksi oleh tim biru (Blue Team):

[Arsitektur Kamuflase Lalu Lintas Data Komputer pada Toolkit Eksploitasi]

  Profil Komunikasi C2 (Cobalt Strike Profiles) ──► Direkayasa agar menyerupai request web legal
  Sistem Kendali Jarak Jauh (C2 Mechanism)      ──► Memanfaatkan Bot API Telegram via infrastruktur resmi
  Injeksi Shellcode Dinamis                     ──► Script Python menyuntikkan kode ke executable Windows asli
  Abstraksi Server Backend (Front-end Proxy)   ──► Menggunakan Cloudflare Worker untuk menyembunyikan IP asli

Meskipun cetak biru dari fungsionalitas toolkit ini sekilas menyerupai perangkat lunak pengujian penetrasi resmi milik tim penguji keamanan (Red Team framework), Sophos menemukan bukti mutlak berupa log operator Cobalt Strike yang berisi draf surat pemerasan (ransom note) serta daftar nama perusahaan korban yang siap dipublikasikan di situs kebocoran data (data leak site) milik geng kriminal ransomware Rusia.

Pengembangan Berbasis Agen AI (Agentic Malware R&D)

Penelitian mendalam Sophos membongkar adanya repositori Git lokal di dalam sasis komputer yang terinfeksi. Kompartemen tersebut menyimpan pustaka skrip otomatisasi yang dikendalikan oleh barisan Agen AI (Agentic AI Workflow) dengan memanfaatkan model bahasa besar seperti Cursor dan Claude Opus di sepanjang fase pengembangan kode.

[Siklus Kerja Otomatisasi Pembuatan Payload dan Lab Pengujian EDR]

  Analisis Riset Siber ──► Agen AI membaca pos riset dari Kaspersky, Palo Alto Networks, & Twitter
       │
       ▼ [Ekstraksi Taktik Serangan]
  Pemetaan MITRE ATT&CK ──► AI memetakan teknik bypass EDR ke dalam matriks perilaku musuh
       │
       ▼ [Otomatisasi Lab Virtual]
  Deployment VM & Uji  ──► Agen AI menggelar mesin virtual dan mengeksekusi payload eksperimen
       │
       ▼ [Evaluasi Berulang-ulang / Iterative Process]
  Hardening & Kompilasi──► Mengulang modifikasi kode Rust/Go hingga lolos sensor Sophos & CrowdStrike

Di dalam lab pengujian otomatis tersebut, model kecerdasan buatan ditugaskan bertindak sebagai komandan sirkuit R&D. Skrip Python mengarahkan agen AI untuk mengumpulkan hasil observasi dari setiap tugas yang gagal, lalu memilih keputusan strategis berikutnya berdasarkan pilihan yang telah ditentukan.

Modul utama dari kerangka kerja kriminal ini adalah sebuah alat pembuat muatan otomatis (modular Windows payload loader generator) berbasis bahasa pemrograman Rust dan Go. Alat ini bekerja membungkus raw payload berbahaya ke dalam berlapis-lapis enkripsi, teknik eksekusi alternatif, dan algoritma anti-analisis (anti-sandboxing) untuk meredam respons deteksi antivirus.

Meskipun pada fase-fase awal iterasi agen AI melaporkan tingkat kegagalan kode yang cukup tinggi, setelah melewati beberapa siklus modifikasi mandiri yang agresif, modul-modul generator tersebut berhasil memproduksi varian executable (EXE) atau DLL kustom yang sanggup menembus hampir seluruh perlindungan EDR dari vendor besar seperti Sophos, CrowdStrike, dan Windows Defender.

Analisis Bahaya: AI Sebagai Force Multiplier, Bukan Operator Mandiri

Sophos memberikan catatan kritis bahwa mereka tidak menemukan bukti adanya kecerdasan buatan yang tertanam langsung di dalam kode malware yang disebarkan, ataupun AI yang berjalan secara otonom/mandiri di dalam sasis jaringan korban saat enkripsi ransomware terjadi.

Seluruh alur kerja serangan siber ini tetap dikendalikan 100% oleh operator manusia (human-driven). Peran utama dari ekosistem agen AI di sini murni bertindak sebagai force multiplier yang radikal—berfungsi memangkas waktu jeda secara drastis antara publikasi riset keamanan ofensif terbaru di internet dengan implementasi praktisnya menjadi senjata siber siap pakai oleh para aktor kriminal.

Para arsitek pertahanan siber global diimbau untuk meningkatkan kewaspadaan, mengingat teknologi AI telah berhasil mempercepat proses modifikasi variasi tanda tangan digital malware (signature-less malware) ke tingkat kecepatan yang belum pernah terjadi sebelumnya.

Sumber: Laporan Investigasi Ancaman Ransomware AI Sophos

Tags
14 hours ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button