Setelah pandemik ransomware mengguncang dunia, kita baru mengetahui bahwa di balik serangan barbar tersebut ada peran sebuah eksploit kit yang merupakan hasil curian dari NSA yang disebut sebagai EternalBlue.
Tool curian inilah yang menjadi sumber penyebab geger besar dunia sejak Jumat kemarin, dan tampaknya kita semua juga harus bersiap dan mawas diri karena baru saja Wikileaks menginformasikan bahwa Shadow Broker, kelompok hacker yang bertanggung jawab atas penyebaran EternalBlue, telah menyebar kembali dua eksploit kit yang mereka curi dari CIA yang merupakan seri terbaru dari Vault 7. Yaitu, AfterMidnight dan Assassin.
BacaPikirShare akan mengupas tentang dua tool curian berbahaya di atas yang kemungkinan bisa memiliki dampak yang besar bagi keamanan dunia digital ke depan. Tujuannya untuk mengajak para praktisi keamanan dan pengguna komputer untuk mempersiapkan diri lebih baik dalam menghadapi ancaman seperti WannaCry.
AfterMidnight
Bahasan pertama kita adalah AfterMidnight, berdasar data yang diperoleh, alat ini adalah malware yang diinstal pada komputer target sebagai file DLL yang berfungsi sebagai backdoor. DLL ini akan berada berada diantara reboot PC dan koneksi ke server C2 (Command & Control) melalui HTTPS, dari tempat modul pengunduhan dijalankan. Manual ini mengacu pada modul-modul yang bernama Gremlin atau Gremlinware.
Untuk dapat berfungsi penuh, AfterMidnight membutuhkan koneksi internet yang konstan, stabilitas koneksi diperlukan karena jika tidak, alat ini tidak akan dapat menjangkau server C2, sehingga tidak dapat menjalankan modulnya untuk dieksekusi.
Modul AfterMidnight dibagi dalam tiga kategori yaitu sebagai berikut:
1. Modul yang memiliki kemampuan untuk exfiltrasi (mengambil/mencuri) data
2. Modul yang bertugas untuk merontokkan fungsionalitas software lokal (sabotase)
3. Modul yang menyediakan layanan internal dan fungsionalitas untuk modul lain.
Dari ketiga fungsi yang dimiliki oleh AfterMidnight, ada satu modul yang cukup menarik perhatian yaitu modul yang bertugas untuk melakukan sabotase terhadap software lokal. Proses Gremlin ini memiliki kemampuan untuk menyabotase proses eksekusi yang berjalan dengan beberapa cara dengan menunda proses eksekusi, mematikan proses yang ada atau mengunci proses secara permanen, yang mengharuskan pengguna mematikannya secara manual. Aktivitas berbahaya ini diatur sedemikian rupa waktu operasinya dan dapat diatur untuk hanya mempengaruhi persentase tertentu dari proses target. Dengan kata lain modul subversi ini dapat mematikan atau menunda proses yang ada atau yang baru, dan bekerja berdasarkan file konfigurasi yang disetel sedemikian rupa.
Tool ini juga membuat malware yang mencegah pengguna komputer menggunakan perambannya, sehingga dapat memiliki banyak waktu luang untuk menjalankan aplikasinya dan mengumpulkan data lebih banyak. Membunuh semua executable Internet Explorer dan Firefox setiap 30 detik. AfterMidnight mampu mengunci 50 persen sumber daya PowerPoint setiap 10 menit, atau bagaimana menunda dimulainya slide PowerPoint 30 detik. Dua hal tersebut adalah sebagian kecil dari kemampuan AfterMidnight menyabotase software komputer target. Bisa disimpulkan bahwa AfterMidnigt dibuat dengan tujuan untuk mempermainkan korbannya, mengalihkan perhatian korban dengan menyabotase software, di saat perhatian mereka terpecah, tool ini mencuri data dari komputer korban.
Assassin
Topik kita yang kedua adalah Assassin, Eksploit Kit satu ini dalam kerangka kerja malware secara garis besar sangat mirip dengan AfterMidnight, jadi tidak banyak yang bisa diungkap mengenai tool ini. Assassin mencakup server Command & Control atau C2, builder dan implan, dan sebuah perantara diantara malware implan Assassin dan server C2.
Implant Assassin dirancang untuk dijalankan sebagai layanan pada komputer Windows korban dan digunakan terutama untuk eksekusi serangkaian tugas, pengumpulan, dan kemudian exfiltrating (mengambil/mencuri) data pengguna, jadi sama saja seperti perilaku trojan backdoor biasa.
Tindakan Preventif
Ada beberapa tips dari vendor keamanan ESET, yaitu tindakan pencegahan yang dapat dilakukan untuk meminimalisir segala macam bentuk eksploitasi yang memanfaatkan celah keamanan dalam komputer atau sistem operasi, sebagai berikut:
Memiliki software keamanan yang selalu di update dengan versi terbaru. Karena sudah menjadi kebiasaan bagi vendor keamanan informasi melengkapi versi baru software mereka dengan fitur keamanan tambahan.
Secara teratur menginstal update Operating System dan software lain yang Anda gunakan. Jika masih menggunakan Windows XP sebaiknya segera beralih OS Windows yang lain.
Pastikan sistem operasi Anda menampilkan file dengan ekstensinya, karena ini akan membantu untuk mengidentifikasi jenis sebenarnya dari sebuah file sebagai bagian preventif terhadap file dengan ekstensi ganda.
Apabila server atau client email memiliki blokir attachment berdasarkan ekstensi, maka yang perlu menjadi perhatian adalah ekstensi berikut: .EXE, *.BAT, *.CMD, *.SCR and *.JS.
Jangan membuka attachment yang dikirim melalui email dari pengirim yang tidak dikenal. Jika Anda sering menerima file jenis ini, periksa siapa pengirimnya dan jika ada sesuatu yang mencurigakan, pindai pesan dan attachmentnya dengan solusi keamanan seperti ESET Mail Security yang mampu mendeteksi email dengan attachment berbahaya.
Ingatkan rekan-rekan sejawat Anda seperti yang berada pada bagian departemen keuangan dan human resouces department karena mereka adalah departemen yang paling sering menerima email dari sumber-sumber eksternal.
Backup data Anda secara berkala sebagai bagian pencegahan apabila komputer terinfeksi, menggunakan harddisk eksternal atau penyimpanan lain yang tidak terkoneksi ke komputer untuk menghindari infeksi.
Untuk user ESET solution akan terlindungi ketika ESET LiveGrid reputation system diaktifkan. Teknologi ini memproteksi perangkat user dalam menghadapi ransomware dan secara aktif memblokir proses mereka.
Sumber berita:
https://www.bleepingcomputer.com
