Pada 25 Juli 2025, FortiGuard Labs mengeluarkan analisis lanjutan terhadap sebuah web shell ASPX deeply obfuscated, bernama UpdateChecker.aspx, yang ditemukan dalam serangan terhadap infrastruktur kritikal di Timur Tengah. Laporan ini merupakan kelanjutan dari insiden “Intrusion into Middle East Critical National Infrastructure” .
Latar Belakang Web Shell Obfuscated
Analisis ini memperlihatkan bahwa UpdateChecker.aspx menggunakan kode C# yang sangat disamarkan (obfuscated): nama variabel dan method random, string dan angka terenkripsi atau dikodekan dalam Unicode, untuk membuat analisis manual sangat sulit .
Fortinet berhasil de-obfuscate sebagian kode sehingga method penting seperti Page_Load() terungkap dan dijadikan titik masuk komunikasi dengan penyerang .
Pola Lalu Lintas dan Protokol Komunikasi
Web shell hanya menerima HTTP POST dengan Content-Type: application/octet-stream. Jika metode atau header tidak sesuai, maka respon error segera diberikan .
Payload dalam body POST pertama dienkripsi dengan hardcoded key yang didefinisikan di Page_Load(), kemudian dideskripsikan menjadi command JSON plaintext. Hasil dieksekusi, kemudian di‑encrypt dan dikodekan ulang dalam Base64 untuk dikirim balik sebagai response .
Tiga Modul Inti dan Fungsinya
Analisis mengidentifikasi tiga modul utama dalam web shell ini:
- Base module: fitur-info server, seperti GetBasicServerInfo, GetBasicServerApplicationInfo
- CommandShell module: fungsi ExecuteCommand untuk menjalankan perintah OS
- FileManager module: operasi file dan direktori (Create, Read, Move, Delete, Search, dll.)
Penyerang bisa melakukan listing drive, membuat file/folder, menulis konten (Base64), membaca file, serta memodifikasi atribut dan waktu file.
Simulasi dan Contoh Interaksi
Fortinet membuat skrip Python untuk mensimulasikan interaksi dengan UpdateChecker.aspx:
- Mengambil informasi server menggunakan Base module
- Menjalankan perintah whoami melalui CommandShell
- Membuat folder C:\test, membuat file test.txt, menulis konten, membaca isi, lalu menghapus file dan folder tersebut. Semua melalui JSON command structure yang terenkripsi .
Pengujian ini membuktikan kemampuan web shell dalam kontrol sistem secara menyeluruh dengan stealth tinggi.
Perlindungan Fortinet Terhadap Threat Ini
Fortinet telah mendeteksi UpdateChecker.aspx melalui signature anti-malware seperti ASP/WebShell.32BC!tr. Solusinya tersedia di platform seperti FortiGate, FortiMail, FortiClient, FortiEDR, serta FortiWeb (WAF) .
Penulis juga merekomendasikan pelatihan NSE‑1 bagi pengguna untuk meningkatkan kesadaran identifikasi phishing dan web shell.
Tabel Fitur & Kapabilitas UpdateChecker.aspx
| Aspek | Keterangan |
| Nama Web Shell | UpdateChecker.aspx (ASPX obfuscated) |
| Bahasa & Platform | C#, dijalankan di IIS (server Windows) |
| Teknik Obfuscation | Nama acak, konstanta terenkripsi/encoded dalam Unicode |
| Protokol Komunikasi | HTTP POST dengan body encrypted + Base64, format content-type strict |
| Modul Utama | Base, CommandShell, FileManager |
| Perintah JSON | ProtocolVersion, ModuleName, RequestName, parameter opsional |
| Kemampuan Penyerang | Info server, eksekusi command, operasi file (buat, baca, hapus, dll.) |
| Simulasi Python | Demo folder/file ops dan eksekusi command remote |
| Deteksi Fortinet | Signature: ASP/WebShell.32BC!tr, deteksi via FortiWeb dan FortiGuard AV |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan fortinet indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!