Reverse tunneling sebagai backdoor

By | April 19, 2025
0 Comment
Print Friendly, PDF & Email
157 Views

Banyak sekali kasus yang terjadi ketika sebuah akses ke level lebih tinggi yang sengaja melalui teknik Reverse tunneling sebagai backdoor. Ini adalah salah satu metode favorit dalam dunia post-exploitation karena sifatnya yang:  Sulit terdeteksi;  Tidak membutuhkan port inbound terbuka;  Memanfaatkan fitur legal dari SSH.

Reverse SSH Tunnel memungkinkan target (korban) melakukan koneksi outbound ke server attacker dan membuka akses masuk dari sana. Reverse SSH digunakan karena: Bypass NAT dan Firewall: Tidak perlu membuka port di target. Firewall biasanya hanya membatasi incoming, bukan outgoing; Tersembunyi Dalam Lalu Lintas Legal: Lalu lintas SSH outbound sering dianggap aman dan jarang diblok; Dapat Diatur Auto-Connect Saat Boot: Penyerang bisa menambahkan perintah ke .bashrc, cronjob, atau systemd agar reverse tunnel aktif setiap saat; Tidak Terlihat oleh Pengguna Lokal: Tidak ada tanda-tanda koneksi dari luar karena koneksi berasal dari korban itu sendiri

Studi Kasus: Reverse SSH di Lingkungan Korporat

Dalam insiden nyata, beberapa penyerang:

  • Memasuki server lewat celah aplikasi web

  • Mengunggah kunci SSH publik ke target

  • Membuat reverse tunnel ke server mereka sendiri

  • Memastikan tunnel auto-reconnect jika terputus

See also  netstat (Network Statistics) untuk monitoring jaringan

Contoh kasus yang sudah terjadi

1. Penyusupan ke Server Linux melalui SSH Backdoor

Pada Februari 2025, kelompok peretas asal Tiongkok yang dikenal sebagai Evasive Panda atau DaggerFly diketahui menyusupi perangkat jaringan dengan menyuntikkan malware ke dalam proses SSH daemon. Malware ini memungkinkan mereka untuk melakukan berbagai aksi seperti pencurian kredensial, eksekusi perintah jarak jauh, dan manipulasi file, semuanya melalui koneksi SSH yang tampak sah.

2. Eksploitasi Panel Web untuk Menanamkan SSH Backdoor

Pada April 2021, Juniper Threat Labs melaporkan serangan terhadap server Linux yang menggunakan Control Web Panel (CWP). Penyerang memanfaatkan kerentanan dalam CWP untuk menyuntikkan kode berbahaya melalui LD_PRELOAD, yang kemudian digunakan untuk menginstal backdoor SSH. Backdoor ini memungkinkan penyerang untuk mempertahankan akses ke server yang terinfeksi tanpa terdeteksi.

3. Kampanye Proxyjacking melalui Server SSH yang Rentan

Pada Juni 2023, Akamai melaporkan kampanye aktif di mana penyerang menargetkan server SSH yang rentan untuk dijadikan bagian dari jaringan proxy peer-to-peer. Dengan menggunakan skrip berbahaya, penyerang mendaftarkan server yang terinfeksi ke layanan proxy seperti Peer2Profit atau Honeygain, memanfaatkan bandwidth korban untuk keuntungan finansial tanpa sepengetahuan mereka.

4. Evasive Panda: Penyusupan Melalui SSH Backdoor di Perangkat Jaringan

Pada awal 2025, kelompok peretas asal Tiongkok yang dikenal sebagai Evasive Panda atau DaggerFly menggunakan malware bernama ELF/Sshdinjector.A!tr untuk menyusup ke perangkat jaringan perusahaan. Malware ini disuntikkan langsung ke proses SSH daemon, memungkinkan akses jarak jauh yang tersembunyi dan persisten ke dalam jaringan korban. Teknik ini memanfaatkan reverse SSH tunneling untuk menghindari deteksi oleh sistem keamanan tradisional.

5. Penyalahgunaan Reverse Tunneling dalam Kampanye Phishing Skala Besar

Penjahat siber memanfaatkan layanan reverse tunneling seperti Ngrok dan URL shortener untuk meluncurkan kampanye phishing yang sulit dilacak. Dengan meng-host situs phishing dari mesin lokal dan menggunakan reverse tunnel, mereka dapat menyembunyikan lokasi asli server dan menghindari deteksi. Teknik ini memungkinkan mereka untuk mencuri data sensitif dari korban tanpa meninggalkan jejak yang jelas.

See also  Enkripsi Satu Arah MD5 / Hashing dan Collision Vulnerability

6. Backdoor dalam Perpustakaan XZ Utils yang Mengancam Keamanan SSH

Pada Maret 2024, ditemukan backdoor dalam perpustakaan XZ Utils yang digunakan secara luas di sistem Linux.Backdoor ini memungkinkan kompromi terhadap server SSH, memberikan akses tidak sah kepada penyerang. Insiden ini menyoroti risiko keamanan dalam rantai pasokan perangkat lunak dan pentingnya verifikasi kode sumber.

Bagaimana server menangani banyak reverse tunneling ssh dengan begitu banyak PC target/client?

Ketika server menerima banyak koneksi reverse SSH tunneling dari banyak client/PC target, tantangan utama adalah manajemen koneksi dan sumber daya. Berikut penjelasan bagaimana server bisa menangani situasi ini:

1. Setiap Reverse Tunnel Menggunakan Port yang Berbeda

Reverse tunneling biasanya menggunakan perintah seperti:

ssh -R 2222:localhost:22 user@server

  • Jika 100 PC melakukan reverse tunnel, maka server harus menyediakan 100 port yang berbeda.

  • Artinya, tiap client harus tahu port mana yang harus dipakai (misalnya 2222, 2223, …, 2322).

  • Buat skrip otomatis yang mengatur port berbeda untuk tiap client.

  • Gunakan daemon seperti autossh untuk menjaga koneksi tetap hidup.

2. Manajemen Koneksi dengan Multiplexing atau Reverse Proxy

Jika terlalu banyak koneksi, server bisa memakai:

  • sshd_config untuk mengatur batas koneksi, waktu idle, dsb.

  • HAProxy atau nginx sebagai reverse proxy untuk mendistribusikan permintaan.

  • Tunnel manager seperti [tunnelmole, serveo, teleconsole] yang menangani banyak koneksi reverse secara dinamis.