Ransomware masih menjadi salah satu jenis serangan siber paling merugikan secara finansial bagi organisasi di seluruh dunia. Mulai dari perusahaan kecil hingga institusi besar, semuanya berpotensi jadi target. Seiring berkembangnya teknik serangan, pendekatan keamanan pun dituntut ikut berevolusi. Salah satu solusi yang kini banyak dilirik di lingkungan Windows adalah penggunaan minifilter driver.
Baca Juga : Ransomware LockBit 5.0 Serang Data Perusahaan di Berbagai Platform
Minifilter driver bekerja sangat dekat dengan sistem inti Windows. Posisi ini membuatnya punya keunggulan besar dalam memantau aktivitas mencurigakan, khususnya yang berkaitan dengan file. Dengan kata lain, minifilter bisa menjadi lapisan peringatan dini sebelum ransomware benar-benar menimbulkan kerusakan besar.
Kenapa Minifilter Penting untuk Deteksi Ransomware?
Minifilter berada langsung di jalur file system I/O pipeline. Artinya, setiap aktivitas baca, tulis, hingga penggantian nama file akan melewati filter ini terlebih dahulu. Dari sini, minifilter dapat mengamati, mencegat, bahkan memblokir operasi file yang dianggap berbahaya secara real-time.
Bagi sistem Endpoint Detection and Response (EDR), kemampuan ini sangat krusial. Deteksi lebih awal berarti peluang menghentikan ransomware sebelum menyebar semakin besar. Terutama untuk ransomware modern yang bergerak cepat dan agresif.
Proof of Concept dari Peneliti Keamanan
Peneliti keamanan dengan nama 0xflux baru-baru ini memperkenalkan sebuah proof-of-concept (POC) berupa Windows minifilter driver untuk mendeteksi ransomware secara real-time. Driver ini bekerja dengan cara mencegat berbagai event pada sistem file dan mencari pola perilaku yang mencurigakan.
Beberapa contoh perilaku yang dipantau antara lain:
-
Penulisan file secara cepat dan berulang
-
Penggantian nama file ke ekstensi yang dikenal sebagai ciri ransomware
Jika pola ini terdeteksi, sistem akan memberikan peringatan untuk dilakukan analisis lanjutan.
Peran Filter Manager di Windows
Di balik layar, Windows menyediakan komponen kernel-mode bernama Filter Manager. Komponen ini menawarkan API yang cukup lengkap untuk pengembangan minifilter driver, sehingga pengembang tidak perlu lagi membuat legacy filter driver dari nol.
Minifilter akan mendaftarkan callback operasi I/O ke Filter Manager. Nantinya, Filter Manager akan memanggil callback tersebut berdasarkan altitude masing-masing filter. Mekanisme ini memastikan urutan eksekusi tetap konsisten meskipun ada banyak filter aktif dalam satu sistem.
Cara Kerja Minifilter Driver
Seperti driver kernel pada umumnya, minifilter diawali dengan fungsi DriverEntry. Namun alih-alih melakukan inisialisasi manual, driver ini memanfaatkan keluarga fungsi Flt*, seperti:
-
FltRegisterFilter -
FltStartFiltering
Fungsi-fungsi ini digunakan untuk mendaftarkan driver serta menentukan callback untuk jenis IRP (I/O Request Packet) tertentu.
Deteksi Rename File Mencurigakan
Salah satu fokus utama adalah operasi rename. Fungsi PostOperationSetInformation menangani event ini, khususnya untuk kelas FileRenameInformation.
Nama file dinormalisasi menggunakan:
-
FltGetFileNameInformation -
FltParseFileNameInformation
Setelah itu, ekstensi file akan dibandingkan dengan daftar indikator kompromi (IOC), misalnya ekstensi “.HLJkNskOq” yang dikenal digunakan oleh ransomware LockBit.
Jika terjadi kecocokan, sistem akan mengirimkan alert ke user-mode engine untuk analisis tambahan, seperti:
-
Analisis entropi file (ciri khas data terenkripsi)
-
Korelasi aktivitas proses
Detail proses juga dicatat, termasuk:
-
PID menggunakan
PsGetProcessId -
Nama image proses via
SeLocateProcessImageName
Semua data ini penting untuk investigasi lanjutan.
Monitoring Aktivitas Penulisan File
Selain rename, operasi penulisan file juga menjadi indikator penting. Callback PostOperationCreate akan memfilter akses dengan mask seperti:
-
FILE_WRITE_DATA -
FILE_APPEND_DATA
Jika sebuah proses meminta akses tulis ke banyak file, ini bisa menjadi sinyal awal proses enkripsi massal. Callback pre-operation hanya mengembalikan FLT_PREOP_SUCCESS_WITH_CALLBACK, artinya operasi tetap berjalan tapi akan dianalisis setelahnya.
Simulasi dan Pengujian Efektivitas
Driver ini ditulis menggunakan bahasa C dan tersedia di GitHub melalui repositori Sanctum/fs_minifilter. Untuk keperluan pengujian, Flux juga menyediakan simulator ransomware berbasis Rust.
Simulator tersebut melakukan langkah sederhana:
-
Membuka file
test.txt -
Menulis data acak
-
Mengubah nama file menjadi
test.HLJkNskOq
Saat driver aktif, seluruh aktivitas ini berhasil terdeteksi dan dicatat, membuktikan efektivitasnya terhadap pola serangan mirip LockBit.
Lebih dari Sekadar Ekstensi File
Pendekatan ini tidak hanya mengandalkan ekstensi. Volume event juga diperhitungkan. Misalnya, satu proses yang mengakses banyak direktori dalam waktu singkat bisa mengindikasikan wabah ransomware.
Analisis tambahan seperti:
-
Korelasi tipe file
-
Tingkat entropi data
membantu meningkatkan akurasi deteksi dan mengurangi false positive.
Pengembangan di Masa Depan
Beberapa peningkatan yang direncanakan antara lain:
-
Kolektor user-mode untuk memetakan process tree
-
Pembacaan sebagian file untuk analisis cepat
-
Rate-limiting deteksi, seperti jumlah perubahan berentropi tinggi per detik
-
Membekukan thread mencurigakan untuk memberi waktu respons tambahan
Baca Juga : Awas! Ransomware Kraken Kini Menyerang Windows, Linux, dan VMware ESXi Sekaligus
POC dari Flux ini sejalan dengan tren EDR berbasis perilaku. Dibandingkan antivirus berbasis signature, pendekatan ini jauh lebih unggul dalam menghadapi ancaman fileless dan ransomware polimorfik yang terus berubah.
Dengan memanfaatkan minifilter driver, deteksi ransomware bisa dilakukan lebih cepat, lebih presisi, dan lebih relevan dengan ancaman modern saat ini.
