LoJax adalah rootkit pertama yang ditemukan ESET sebagai ancaman berbahaya bagi keamanan UEFI (Unified Extensible Firmware Interface) yang belakangan memang menjadi sorotan dari berbagai pihak sebagai celah berbahaya bagi keamanan komputer. Situasi yang kemudian mendorong ESET membangun sistem yang memungkinkan untuk menjelajahi lanskap UEFI yang luas dengan cara efisien dan andal untuk mengatasi ancaman UEFI yang muncul.
Menggunakan telemetri yang dikumpulkan oleh pemindai UEFI ESET sebagai titik awal, ESET merancang kanal pemrosesan khusus untuk UEFI executable, memanfaatkan mesin pembelajaran (machine learning) untuk mendeteksi keanehan di antara sampel yang masuk. Sistem ini, selain menunjukkan kemampuan yang kuat dalam mengidentifikasi UEFI yang mencurigakan, menawarkan pemantauan real-time lanskap UEFI, dan terbukti mengurangi beban kerja hingga 90 persen.
Apa itu UEFI
Unified Extensible Firmware Interface (UEFI) adalah standar baru firmware interface untuk PC yang didesain untuk menggantikan BIOS (Basic Input/Output System).
Seperti halnya BIOS, UEFI menghubungkan antara hardware, firmware, dan OS dalam sebuah komputer. UEFI menjadi program yang pertama kali berjalan saat komputer dinyalakan. UEFI akan mengecek setiap komponen hardware yang terpasang di komputer, menyalakannya, mengaturnya, dan menyerahkannya ke sistem operasi melalui proses booting.
Firmware UEFI disimpan dalam memori flash SPI, yang merupakan chip yang disolder pada motherboard sistem. Dengan demikian, menginstal ulang sistem operasi atau mengganti hard drive tidak mempengaruhi kode firmware. Firmware UEFI sangat modular: biasanya berisi puluhan, jika tidak ratusan, dari berbagai executable/driver yang berbeda.
Vektor serangan
Ada beberapa cara firmware dapat dimodifikasi, yang membahayakan keamanan komputer yang telah disusupi.
Opsi pertama dan paling umum adalah modifikasi firmware oleh vendor komputer untuk mengaktifkan diagnostik atau servis jarak jauh, yang jika diterapkan secara tidak benar dapat berfungsi sebagai backdoor.
Opsi kedua adalah flashing melalui gangguan manual, ketika peretas memiliki akses fisik ke perangkat yang terpengaruh. Opsi ketiga: serangan jarak jauh menggunakan malware yang mampu memodifikasi firmware.
Opsi ketiga ini didokumentasikan dalam penelitian ESET tentang LoJax, rootkit UEFI pertama yang terdeteksi di dunia maya. Dalam operasi siber yang menargetkan organisasi pemerintah di dunia, kelompok Sednit APT berhasil menyebarkan modul UEFI berbahaya pada sistem korban. Modul ini dapat drop dan mengeksekusi malware pada disk selama proses boot, sebuah metode persistensi yang sangat invasif yang tidak hanya dapat bertahan dari instalasi ulang OS, tetapi juga penggantian hard disk.
Machine learning untuk menjelajahi lanskap UEFI yang dapat menemukan malware seperti LoJax sangatlah jarang, ada jutaan executable UEFI di alam liar dan hanya sebagian kecil dari mereka yang berbahaya. ESET telah melihat lebih dari 2,5 juta executable UEFI unik (dari total enam miliar) selama dua tahun terakhir saja. Karena tidak layak untuk menganalisis masing-masing secara manual, ESET perlu membuat sistem otomatis untuk mengurangi jumlah sampel yang memerlukan perhatian manusia. Untuk mengatasi masalah ini, DIbangunlah sistem yang dirancang untuk menyoroti sampel outlier/asing dengan menemukan karakteristik yang tidak biasa dalam executable UEFI-nya.
Dengan memanfaatkan kanal pemrosesan khusus yang dirancang, ESET berburu ancaman UEFI. Hasilnya, ditemukan beberapa komponen UEFI yang menarik, yang dapat dibagi dua kategori:
1. UEFI firmware backdoor
2. OS level persistence modules
UEFI firmware backdoor
Jadi, apa itu UEFI firmware backdoor? Di sebagian besar pengaturan firmware UEFI, memiliki beberapa opsi untuk melindungi sistem dengan kata sandi dari akses tidak sah selama tahap awal proses booting. Opsi yang paling umum memungkinkan pengaturan kata sandi untuk melindungi akses ke pengaturan firmware UEFI, untuk mencegah sistem mem-boot dan mengakses disk. Backdoor firmware UEFI adalah mekanisme yang memungkinkan melewati perlindungan ini tanpa mengetahui kata sandi yang dikonfigurasi pengguna.
Sementara mekanisme ini sering digunakan sebagai bagian proses pemulihan jika pemilik komputer lupa kata sandi, namun juga memiliki sejumlah implikasi keamanan. Selain memungkinkan peretas dengan akses fisik ke komputer yang terpengaruh untuk mem-bypass berbagai mekanisme keamanan, mereka juga menciptakan rasa aman palsu pada pengguna yang tidak menyadarinya dan mungkin percaya bahwa komputer mereka tidak dapat dibooting oleh siapa pun yang tidak memiliki kata sandi.
Backdoor firmware UEFI yang paling lazim ESET analisis adalah yang disebut backdoor ASUS. Penelitian ESET mengkonfirmasi bahwa setidaknya enam model laptop ASUS dikirim bersama dengan backdoor. Namun jumlahnya mungkin jauh lebih tinggi (memeriksa secara manual keberadaan di setiap model laptop ASUS tidak termasuk dalam ruang lingkup penelitian). Setelah pemberitahuan kepada ASUS tentang backdoor pada April 2019, vendor menghapus masalah dan merilis pembaruan firmware pada 14 Juni 2019.
OS Level persistence modules
OS Level persistence modules, komponen firmware yang bertanggung jawab untuk menginstal perangkat lunak di tingkat sistem operasi. Dengan modul persistensi ini, masalah keamanan utama adalah karena rumitnya pengiriman update firmware, komputer yang dikirim dengan komponen firmware yang rentan kemungkinan besar akan tetap rentan selama masa pakainya. Untuk alasan ini, ESET percaya modul semacam ini harus dihindari sebanyak mungkin dan terbatas pada kasus-kasus di mana sangat diperlukan.
Sumber berita:
