Friday, March 24, 2017

DoubleAgent, Bukan Cuma Anti Anti Virus

Wihartoyo     Friday, March 24, 2017    
Broken Windows Foto: Sketchup
Para peneliti pengamanan jaringan dan computer dari Cybellum telah berhasil menemukan teknik zero-day code injection and persistence baru yang memungkinkan seorang attacker untuk mengambil alih aplikasi dan seluruh mesin yang menggunakan Windows. Mereka mendemonstrasikan serangan kepada solusi antivirus yang mereka sebut sebagai DoubleAgent karena mampu merubah antivirus menjadi agent malware.

Serangan Double Agent
"DoubleAgent mengeksploitasi perangkat yang sah pada Windows yang disebut sebagai 'Microsoft Application Verifier' yang merupakan bagian dari instalsi Microsoft Windows dan selalu disertakan pada seluruh versi dari MS Windows yang dipergunakan untuk menemukan dan memperbaikai bug pada suatu aplikasi," kata Cybellum.

"Peneliti kami telah menemukan kemampuan tak didokumentasikan dari 'Microsoft Application Verifier' yang memberikan kemampuan pada penyerang untuk mengganti standar verifikasi pada verifier dengan standar verifikasi mereka.  Penyerang dapat memanfaatkan kemampuan ini untuk menyuntikkan standar verifikasi yang telah dikastomisasi kepada suatu aplikasi. Sekali seorang mampu menyuntikkan verifikasi yang telah dikastomisasi, dia kemudian akan mendapatkan kontrol penuh terhadap aplikasi.
Meskipun, suatu serangan dapat dipergunakan untuk meng-kompromikan semua aplikasi, peneliti memilih untuk berfokus pada solusi antivirus, karena umumnya aplikasi ini umumnya dianggap sebagai terpercaya.
"Dengan menggunakan DoubleAgent, seorang penyerang dapat mengambil kontrol penuh dari antivirus dan mempergunakannya tanpa harus takut akan diblok," kata mereka memberikan catatan. Kontrol ini meliputi:
Merubah aplikasi menjadi malware (selama tidak bisa teridenfikai oleh solusi pengamanan lainnya)
Memodifikasi kebiasaannya (membuatnya stop bekerja)
Mempergunakannya untuk menjalankan aksi yang seharusnya segera bisa teridentifikasi sebagai suspicious (misal oleh exfiltrate data, C&C communication, dst)
Menghancurkan komputer (mengenkrip seluruh file, memformat hard disk drice, dan seterusnya)

Peneliti Cybellum telah mendemontrasikan DoubleAgent code injection untuk menyerang Symantec Norton Antivirus, dan menawarkan POC untuk exploit code di GitHub. Teknikal detail dari double agent bisa diambil di sini.

Para peneliti telah menyampaikan kepada vendor antivirus besar dan beberapa dari mereka telah menerapkan patch (Malwarebytes, dan AVG). Trend Micro sedang menerapkan patch nya. Sementara yang masih vulnerable adalah Avast, BitDevender, ESET, Kaspersky, dan F-Secure.

"Microsoft saat ini tengah menyediakan suatu desaign dan konsep baru untuk vendor antivirus yang mereka sebut sebagai protected proses.  Konsep baru ini khusus dibuat hanya untuk servis antivirus. Proses antivirus dapat dijalankan sebagai  'Protected Process' dan infrastruktur protected process hanya akan mengijinkan, kode yang telah dipercaya maupun yang telah ditandai untuk dimuat.  Protected Process juga pertahanan bawaan untuk melawan serangan code injection," jelas para peneliti.

"Ini berarti, bahkan bila seorang penyerang menemukan teknik baru zero day injection sekalipun, mereka tidak akan dapat melakukan untuk menyerang antivirus oleh karena kode nya tidak ditandai. Cuma, saat ini belum ada antivirus selain Windows Defender yang telah mengimplementasikan itu, meskipun Microsoft telah membuat disain ini 3 tahun yang lalu.
Kerentanan yang memungkinkan serangan DoubleAgent bekerja pada semua versi dan arsitektur Microsoft Windows.
"Kami memerlukan usaha lebih untuk mendeteksi dan menahan serangan ini serta menghentikan dengan menutup mata seluruh solusi pengamanan tradisional," lanjut para peneliti. "Sebagaimana terlihat di sini, mereka bukan cuma tidak efektif dalam menyerang zero day tapi juga membuka kesempatan bagi penyerang untuk membuat serangan yang lebih kompleks dan mematikan"


Recommended