Malware yang Mengincar BIOS dan UEFI Firmware

Berbicara tentang ancaman cyber, ESET sering melihat ransomware, trojan perbankan, botnet atau worm berkeliaran di internet. Karena itu, jenis malware berbahaya lainnya yang tidak mencolok mungkin kurang mendapat perhatian kita; seperti halnya dengan malware firmware atau bootkits.

Bootkits dijalankan sebelum OS dimuat dan menargetkan komponen OS untuk memodifikasi atau mengganggu aktivitas mereka. Bootkits dijalankan di awal sistem boot memberi mereka kemampuan untuk tidak terlihat dan bertahan dalam pemformatan hard drive atau penginstalan ulang OS.

Ancaman jenis ini menargetkan firmware BIOS dan UEFI dengan berbagai cara, seperti flashing firmware, upgrade atau eksploitasi kerentanan. Saat ini, kemampuan yang sangat maju membuat UEFI seperti platform yang atraktif juga membuka jalan menuju kerentanan baru yang tidak ada di zaman BIOS yang lebih terstruktur. Misalnya, kemampuan untuk menjalankan modul eksekusi kustom memungkinkan pembuatan malware yang akan diluncurkan oleh UEFI sebelum solusi anti-malware, atau OS itu sendiri dimulai.

Karakter ini membuat sebuah bootkit sebagai mata ancaman yang canggih. Terlepas dari kenyataan bahwa konsep bootkit telah diimplementasikan selama bertahun-tahun, sejak tahun 1986 atau lebih awal, hal ini membuat kemajuan keahlian cybertheats menimbulkan tantangan dan kekhawatiran baru bagi pengguna komputer.

Mengapa Bootkit?

Saat memikirkan masalah keamanan, biasanya kita memperhitungkan risiko. Sedaangkan seperti yang kita ketahui bahwa risiko adalah komposisi dari kemungkinan dan dampak potensial. Sementara dampak bootkit tidak diragukan lagi memiliki dampak berat, lantas apa yang bisa dikatakan tentang kemungkinan menemukan ancaman tersebut?

Mencoba menjawab pertanyaan ini, kita perlu memikirkan tentang dua hal berikut, di satu sisi, kita harus mengidentifikasi kemungkinan aktor dan skenario yang mungkin mendapatkan keuntungan dari bootkit dan merenungkan apakah ke depan ancaman semacam ini akan berkurang atau malah meningkat. Di sisi lain, kita harus menilai kemampuan kita untuk mendeteksi ancaman ini.

Untuk mengidentifikasi aktor dan skenario skenario serangan di belakang Bootkit, mari kita kilas balik ke masa lalu untuk melihat kasus bootkit yang paling penting. Dari sana nanti ita bisa melihat jelas bahwa ancaman tersebut semakin sering terjadi.

Mebromi, yang dikenal sebagai bookit pertama, terdiri dari rootkit BIOS, rootkit MBR, rootkit kernel, file PE infector dan downloader Trojan, dijalankan sedemikian rupa sehingga sistem yang dikompromikan meminta konten eksternal yang bisa jadi malware apa saja setiap kali sistem boot. Untuk mencapai serangan tersebut, Mebromi mengeksploitasi hak admin dengan memuat kodenya dalam mode kernel untuk mendapatkan akses ke BIOS.

Kemudian pada tahun 2014 DeityBounce diluncurkan, yaitu sebuah aplikasi perangkat lunak yang mampu bertahan pada server Dell PowerEdge dengan memanfaatkan BIOS motherboard dan menggunakan System Management Mode (SMM) untuk mendapatkan eksekusi berkala saat Sistem Operasi dimuat. Penggunaannya mirip dengan Mebromi, yang sekali lagi berarti mengunduh muatan dan menjalankannya di sistem selama proses boot.

Tahun 2015, menjadi penanda kemunculan HT rkloader. Berbeda dengan NSA, Tim Hacking bukan agen pemerintah. Namun, ia menjual kemampuan pengintaian dan gangguan ofensif ke pemerintah yang berbeda. Secara khusus, HT rkloader adalah kasus pertama dari Rootkit UEFI yang ditemukan di alam liar.

Tidak mengherankan, jika kemudian kelompok Shadow Broker yang berhasil mencuri alat NSA membawa lebih banyak bootkit. Katalog alat-alat hasil curian itu berisi beberapa implan, yaitu BANANABALLOT, modul BIOS yang terkait dengan implan (kemungkinan BANANAGLEE)”, dan JETPLOW, “sebuah perangkat lunak perisai firmware untuk perangkat Cisco ASA dan PIX yang bertahan pada BANANAGLEE”.

Pada tanggal 27 Januari 2016, VirusTotal merilis fitur baru yang memungkinkan untuk mengekstrak dan mengunggah UEFI Portable Executables untuk analisis dan ini berisi kode yang bisa dieksekusi dan berpotensi menjadi sumber kejahatan

Ini adalah kontribusi yang besar terhadap keamanan dunia maya secara keseluruhan, karena analisis malware untuk antarmuka firmware bisa dimungkinkan. Meskipun demikian, kelemahan utamanya adalah prosedur untuk menangkap gambar firmware sebelum mengunggahnya untuk analisis.

Prihatin dengan keamanan pengguna, ESET menyertakan lapisan perlindungan tambahan terhadap perangkat boot UEFI. Keuntungan dalam kasus ini adalah suite ESET mampu memindai firmware yang didukung UEFI tanpa menggunakan alat tambahan yang dapat menimbulkan risiko pada sistem. Oleh karena itu, menjadi lebih user-friendly bagi pengguna biasa untuk memindai komputer mereka terhadap malware tersembunyi di firmware.

Temuan tentang ancaman yang sangat canggih dengan menargetkan firmware tentu mengkhawatirkan, terutama karena mereka berjalan dalam sistem tersembunyi. Selain itu, mendeteksi jenis malware ini sulit dan berat.

Seperti permainan anjing dan kucing yang tidak pernah berakhir, namun bagi pengguna ESET masih bisa bernafas lega, karena lapisan keamanan ESET mampu melindungi pelanggan dengan lebih baik.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id