Pengantar

Dalam dunia keamanan siber, malware terus berkembang dengan berbagai teknik untuk menghindari deteksi dari sistem keamanan. Salah satu teknik yang cukup sering digunakan oleh penyerang adalah Process Hollowing. Metode ini memungkinkan malware untuk bersembunyi di dalam proses aplikasi yang sah sehingga aktivitas berbahaya menjadi lebih sulit dideteksi oleh antivirus atau sistem keamanan lainnya.

Process Hollowing termasuk dalam kategori defense evasion technique, di mana malware memanfaatkan proses sistem yang sudah berjalan untuk menyamarkan eksekusinya. Dengan teknik ini, kode berbahaya dapat berjalan seolah-olah merupakan bagian dari aplikasi normal di sistem operasi.

Karena sifatnya yang tersembunyi dan sulit terdeteksi, Process Hollowing sering digunakan dalam berbagai serangan malware modern, termasuk trojan, ransomware, dan spyware.

Apa Itu Process Hollowing?

Process Hollowing adalah teknik injeksi proses di mana malware membuat sebuah proses baru yang sah (legitimate process), kemudian menghapus atau mengganti kode asli dari proses tersebut dengan kode berbahaya milik malware.

Dengan kata lain, malware menggunakan “kerangka” proses yang sah, lalu menjalankan kode berbahaya di dalamnya. Akibatnya, sistem keamanan sering kali menganggap proses tersebut sebagai aplikasi yang normal.

Menurut MITRE ATT&CK, Process Hollowing merupakan teknik di mana penyerang membuat proses dalam keadaan suspended, kemudian mengganti memori proses tersebut dengan kode berbahaya sebelum menjalankannya kembali (dikutip dari MITRE ATT&CK).

baca juga : Server-Side Template Injection (SSTI): Kerentanan Web yang Bisa Mengekspos Sistem Server

Bagaimana Cara Kerja Process Hollowing?

Teknik Process Hollowing umumnya dilakukan melalui beberapa tahapan teknis dalam sistem operasi, khususnya pada sistem berbasis Windows.

Secara umum, langkah-langkahnya meliputi:

  1. Malware membuat proses baru menggunakan aplikasi yang sah, misalnya notepad.exe atau svchost.exe.

  2. Proses tersebut dibuat dalam keadaan suspended (belum dijalankan sepenuhnya).

  3. Malware menghapus atau mengganti bagian memori dari proses tersebut.

  4. Kode berbahaya kemudian dimasukkan ke dalam memori proses.

  5. Proses dilanjutkan sehingga malware berjalan dengan identitas proses yang sah.

Dengan cara ini, malware dapat berjalan di dalam sistem tanpa terlihat mencurigakan karena menggunakan proses yang dikenal oleh sistem operasi.

Mengapa Process Hollowing Sulit Dideteksi?

Teknik ini menjadi berbahaya karena mampu menyamarkan aktivitas malware dengan sangat baik. Beberapa alasan mengapa Process Hollowing sulit dideteksi antara lain:

Menggunakan Proses yang Sah

Malware tidak menjalankan proses baru yang mencurigakan, melainkan menggunakan aplikasi yang sudah dikenal oleh sistem seperti explorer.exe atau notepad.exe.

Menghindari Deteksi Berbasis Signature

Karena kode malware dimasukkan langsung ke memori proses, teknik ini dapat menghindari metode deteksi yang hanya bergantung pada signature file.

Beroperasi di Level Memori

Process Hollowing bekerja pada level memori sistem, sehingga aktivitas berbahaya sering kali tidak terlihat pada file yang tersimpan di disk.

baca juga : File Carving: Teknik Forensik Digital untuk Mengembalikan File yang Terhapus

Contoh Malware yang Menggunakan Process Hollowing

Beberapa malware terkenal diketahui menggunakan teknik ini sebagai bagian dari strategi penyamaran mereka.

Contohnya antara lain:

  • TrickBot

  • Dridex

  • Emotet

Malware tersebut menggunakan Process Hollowing untuk menyamarkan aktivitas mereka di dalam sistem target sehingga lebih sulit dianalisis oleh peneliti keamanan.

Cara Mendeteksi dan Mencegah Process Hollowing

Meskipun teknik ini cukup kompleks, terdapat beberapa pendekatan keamanan yang dapat digunakan untuk mengurangi risiko serangan.

Menggunakan Endpoint Detection and Response (EDR)

Solusi keamanan modern seperti EDR mampu memantau aktivitas proses di memori dan mendeteksi perilaku mencurigakan.

Monitoring Aktivitas Proses

Administrator sistem dapat memantau aktivitas seperti:

  • proses yang berjalan dalam mode suspended

  • injeksi memori antar proses

  • perubahan struktur memori proses

Update Sistem Keamanan Secara Berkala

Memastikan sistem operasi dan perangkat keamanan selalu diperbarui dapat membantu mengurangi peluang eksploitasi oleh malware.

baca juga : SSL Stripping: Serangan yang Mengubah HTTPS Menjadi HTTP Tanpa Disadari

Kesimpulan

Process Hollowing merupakan teknik injeksi proses yang digunakan oleh malware untuk menyamarkan eksekusinya di dalam proses aplikasi yang sah. Dengan mengganti kode asli dari suatu proses dengan kode berbahaya, malware dapat berjalan tanpa mudah terdeteksi oleh sistem keamanan tradisional.

Teknik ini banyak digunakan dalam berbagai serangan siber modern karena kemampuannya untuk beroperasi secara tersembunyi di level memori sistem. Oleh karena itu, pemahaman tentang cara kerja Process Hollowing menjadi penting bagi praktisi keamanan siber dan administrator sistem untuk meningkatkan kemampuan deteksi serta memperkuat perlindungan terhadap ancaman malware.

Related Posts: