Serangan Bring Your Own Vulnerable Driver (BYOVD) merupakan serangan yang berasal dari kerentanan yang terdapat pada kernel Windows, berikut pemaparannya.
Kelompok peretas Lazarus Korea Utara yang terkenal mengeksploitasi kelemahan zero-day pada driver Windows AFD.sys untuk meningkatkan hak istimewa dan memasang rootkit FUDModule pada sistem yang menjadi target.
Microsoft memperbaiki kelemahan tersebut, yang dilacak sebagai CVE-2024-38193 selama Patch Tuesday bulan Agustus 2024, bersama dengan tujuh kerentanan zero-day lainnya.
CVE-2024-38193 adalah kerentanan Bring Your Own Vulnerable Driver (BYOVD) pada Windows Ancillary Function Driver for WinSock (AFD.sys), yang bertindak sebagai titik masuk ke Kernel Windows untuk protokol Winsock.
Baca juga: Serangan Siber di Dunia Maya |
Zero Day
Kelemahan tersebut ditemukan oleh para peneliti yang mengatakan bahwa kelompok peretas Lazarus mengeksploitasi kelemahan AFD.sys sebagai zero-day.
Ancaman ini bertindak dengan memasang rootkit FUDModule, yang digunakan untuk menghindari deteksi dengan mematikan fitur pemantauan Windows.
Pada awal Juni, peneliti menemukan bahwa kelompok Lazarus mengeksploitasi kelemahan keamanan tersembunyi di bagian penting Windows yang disebut driver AFD.sys.
Kelemahan ini memungkinkan mereka memperoleh akses tidak sah ke area sistem yang sensitif. Kami juga menemukan bahwa mereka menggunakan jenis malware khusus yang disebut Fudmodule untuk menyembunyikan aktivitas mereka dari perangkat lunak keamanan.
Baca juga: Melindungi Sekolah Dari Serangan Siber |
Serangan Bring Your Own Vulnerable Driver
Serangan Bring Your Own Vulnerable Driver terjadi ketika penyerang memasang driver dengan kerentanan yang diketahui pada mesin yang menjadi target.
Yang kemudian dieksploitasi untuk memperoleh hak istimewa tingkat kernel. Pelaku ancaman sering menyalahgunakan driver pihak ketiga, seperti antivirus atau driver perangkat keras, yang memerlukan hak istimewa tinggi untuk berinteraksi dengan kernel.
Yang membuat kerentanan khusus ini lebih berbahaya adalah kerentanannya ada di AFD.sys, driver yang terpasang secara default di semua perangkat Windows.
Hal ini memungkinkan pelaku ancaman untuk melakukan jenis serangan ini tanpa harus memasang driver lama yang rentan yang mungkin diblokir oleh Windows dan mudah dideteksi.
Kelompok Lazarus sebelumnya telah menyalahgunakan driver kernel Windows appid.sys dan Dell dbutil_2_3.sys dalam serangan BYOVD untuk menginstal FUDModule.
Baca juga: Biaya Tersembunyi Serangan Siber |
Grup Lazarus
Meskipun Gen Digital tidak membagikan detail tentang siapa yang menjadi target serangan dan kapan serangan terjadi, Lazarus diketahui menargetkan perusahaan keuangan dan mata uang kripto dalam pencurian siber senilai jutaan dolar yang digunakan untuk mendanai senjata dan program siber pemerintah Korea Utara.
Kelompok ini menjadi terkenal setelah peretasan pemerasan Sony Pictures tahun 2014 dan kampanye ransomware WannaCry global tahun 2017 yang mengenkripsi bisnis di seluruh dunia.
Pada bulan April 2022, pemerintah AS menghubungkan kelompok Lazarus dengan serangan siber pada Axie Infinity yang memungkinkan pelaku ancaman mencuri mata uang kripto senilai lebih dari $617 juta.
Pemerintah AS menawarkan hadiah hingga $5 juta untuk informasi tentang aktivitas jahat peretas DPRK guna membantu mengidentifikasi atau menemukan mereka.
Sumber berita: