Ilmunesia - Malware Ini Lebih Berbahaya Dibanding WannaCry

Malware Ini Lebih Berbahaya Dibanding WannaCry

Malware Ini Lebih Berbahaya Dibanding WannaCry

ilmunesia.com – Baru-baru ini, seorang peneliti Internet Security dari Kroasia yang merupakan anggota tim tanggap darurat komputer pemerintah Kroasia (CERT) telah menemukan malware berbahaya baru yang lebih kuat daripada WannaCry. Malware tersebut bernama EternalRocks.

EternalRocks adalah virus varian baru dan lebih kuat yang baru-baru ini ditemukan oleh pakar keamanan dunia maya, Miroslav Stampar. Virus malware tersebut diklaim lebih kuat dibanding WannaCry, malware yang menginfeksi komputer di lebih dari 150 negara pada pertengahan bulan Mei.

Malware EternalRocks mampu menyebarkan dirinya sendiri dengan memanfaatkan kelemahan protokol berbagi file SMB pada Windows. Namun tidak seperti WannaCry Ransomware, EternalRocks tidak tanggung-tanggung menggunakan 7 tools hacking NSA yang sebelumya pada WannaCry hanya menggunakan 2 tools hacking NSA.

Tidak seperti WannaCry, EternalRocks tampaknya dirancang agar berfungsi secara diam-diam untuk memastikannya tetap tidak terdeteksi pada sistem yang terinfeksi.

Berikut ini alat hacking NSA yang digunakan oleh EternalRocks, yang oleh Stampar disebut “DoomsDayWorm” melalui akun twitternya

  • EternalBlue – alat eksploitasi SMBv1
  • EternalRomance – alat eksploitasi SMBv1
  • EternalChampion – alat eksploitasi SMBv2
  • EternalSynergy – alat eksploitasi SMBv3
  • SMBTouch – alat pengintai SMB
  • ArchTouch – alat pengintai SMB
  • DoublePulsar – Trojan Backdoor

SMBTouch dan ArchTouch adalah alat pengintai SMB, yang dirancang untuk memindai port SMB terbuka di internet umum.

Sedangkan EternalBlue, EternalChampion, EternalSynergy dan EternalRomance adalah eksploitasi SMB, yang dirancang untuk mengeksploitasi komputer Windows yang rentan. DoublePulsar kemudian digunakan untuk menyebarkan worm dari satu komputer yang terkena dampak ke komputer rentan lainnya di jaringan yang sama.

Stampar menemukan bahwa EternalRock menyamar sebagai WannaCry untuk mengelabui para periset keamanan, namun bukannya mendapatkan uang tebusan, ia mendapat kontrol tidak sah terhadap komputer yang terkena dampak untuk meluncurkan serangan cyber di masa depan.

Cara Kerja Serangan Malware EternalRocks:

Instalasi EternalRocks berlangsung dalam proses dua tahap.

Selama tahap pertama, EternalRocks mendownload browser web Tor pada komputer yang terkena dampak, yang kemudian digunakan untuk terhubung ke server perintah dan kontrol (C & C) yang terletak di jaringan Tor di DeepWeb .

Tahap tersebut juga diikuti instalasi UpdateInstaller.exe dan mendownload komponen NET yang diperlukan. Tahap selanjutnya TaskScheduler dan SharpZLib akan diunduh dari Internet, sambil menginfeksi svchost.exe  dan taskhost.exe

Kemudian pada tahap kedua akan ada penundaan selama 24 jam dalam upaya menghindari teknik sandboxing dan membuat infeksi tidak terdeteksi.

Setelah 24 jam, EternalRocks merespons server C & C dengan arsip berisi tujuh tools hacking dan menyerang Windows SMB.

Komponen svchost.exe digunakan untuk mendownload, membongkar dan menjalankan Tor dari archive.torproject.org bersama dengan komunikasi C & C (ubgdgno5eswkhmpy.onion) yang meminta instruksi lebih lanjut (misal: pemasangan komponen baru).

Semua tujuh eksploitasi SMB kemudian diunduh ke komputer yang terinfeksi. EternalRocks kemudian memindai internet untuk membuka port SMB untuk menyebarkan dirinya ke komputer yang rentan lainnya.

 

 

Foto : Istimewa
Sumber : https://www.klikmania.net/malware-berbahaya/

LEAVE A COMMENT