Bagikan:

JAKARTA - Antivirus biasanya menjadi alat perlindungan yang diandalkan saat malware sedang mengintai, tetapi ternyata pelaku ancaman siber telah menemukan cara untuk menonaktifkan perangkat lunak tersebut.

Penelitian yang dilakukan perusahaan keamanan siber, Sophos menunjukkan bagaimana metode menonaktifkan antivirus atau yang dikenal sebagai Bring Your Own Vulnerable Driver, bekerja dan apa yang ditimbulkan bagi bisnis di seluruh dunia sangat berbahaya.

Menurut penelitian itu, kelompok ransomware BlackByte didapati sebagai dalang di balik serangan ini. Mereka melibatkan versi driver MSI Afterburner RTCore64.sys serta RTCore32.sys yang rentan terhadap eskalasi hak istimewa dan cacat eksekusi kode yang dilacak sebagai CVE-2019-16098.

Afterburner adalah utilitas overclocking untuk GPU, yang memberi pengguna lebih banyak kontrol atas perangkat keras. Dengan adanya celah, membantu BlackByte menonaktifkan lebih dari 1.000 driver yang perlu dijalankan oleh produk keamanan seperti antivirus.

"Kemungkinannya, bahwa mereka akan terus menyalahgunakan driver yang sah untuk melewati produk keamanan,” jelas Sophos dalam sebuah postingan blog.

Untuk melindungi dari metode serangan baru ini, Sophos menyarankan admin IT menambahkan driver MSI Afterburner RTCore64.sys serta RTCore32.sys khusus tersebut ke daftar blokir aktif dan memastikan mereka tidak bekerja hingga titik akhir.

Selain itu, mereka juga harus mengawasi semua driver yang diinstal pada perangkat, dan mengaudit titik akhir sesering mungkin untuk mencari suntikan jahat tanpa kecocokan perangkat keras.

Melansir TechRadar, Senin, 10 Oktober, Sophos juga menyoroti beberapa metode yang digunakan BlackByte dalam serangan ini untuk menghindari analisis dari peneliti keamanan, seperti mencari tanda-tanda debugger yang berjalan pada sistem target dan berhenti.

BlackByte juga memeriksa daftar pengait Dynamic-link library (DLL) yang digunakan oleh Avast, Sandboxie, Windows DbgHelp Library, dan Comodo Internet Security, bahkan menghentikan eksekusinya jika ditemukan.

Bring Your Own Vulnerable Driver mungkin merupakan metode baru, tetapi popularitasnya meningkat dengan cepat. Awal pekan ini, aktor ancaman terkenal yang disponsori  Korea Utara, Lazarus Group, juga diketahui menggunakan teknik yang sama terhadap driver frimware merek Dell.

Kampanye spear-phishing dibuka pada musim gugur 2021, dan target yang dikonfirmasi termasuk karyawan kedirgantaraan di Belanda dan jurnalis politik di Belgia dengan menawarkan pekerjaan palsu dari Amazon.

Menurut peneliti keamanan siber ESET, yang menerbitkan laporan kampanye itu, mengatakan tujuan utamanya adalah spionase dan pencurian data. Mereka akan membagikan pdf deskripsi pekerjaan palsu, yang pada dasarnya adalah driver Dell yang lama dan rentan.

Apa yang membuat teknik ini sangat berbahaya adalah driver ini terlihat tidak berbahaya, dan dengan demikian, maka ia tidak akan terdeteksi oleh antivirus.