Semua pengguna Windows harus segera memperbarui setelah peretasan 'Kontrol Lengkap' dikonfirmasi

Beberapa minggu yang lalu, peneliti dari perusahaan keamanan siber Eclypsium mengungkapkan bahwa hampir semua produsen perangkat keras utama memiliki kelemahan yang memungkinkan aplikasi jahat mendapatkan hak istimewa kernel di tingkat pengguna, sehingga memperoleh akses langsung ke firmware dan perangkat keras.

Para peneliti merilis daftar vendor BIOS dan produsen perangkat keras yang mencakup Toshiba, ASUS, Huawei, Intel, Nvidia dan banyak lagi. Cacat ini juga mempengaruhi semua versi baru Windows yang mencakup Windows 7, 8, 8.1 dan Windows 10. Sementara Microsoft telah merilis pernyataan yang menegaskan bahwa Windows Defender lebih dari mampu menangani masalah ini, mereka tidak menyebutkan bahwa pengguna membutuhkannya. berada di versi terbaru Windows untuk memanfaatkan hal yang sama. Untuk versi Windows yang lebih lama, Microsoft mencatat bahwa ia akan menggunakan kemampuan HVCI (Hypervisor-enforced Code Integrity) untuk memasukkan daftar hitam driver yang dilaporkan kepada mereka. Sayangnya, fitur ini hanya tersedia pada prosesor Intel generasi ke-7 dan yang lebih baru; jadi CPU yang lebih lama, atau yang lebih baru di mana HCVI dinonaktifkan, memerlukan driver untuk dihapus secara manual.

Jika ini belum cukup menjadi berita buruk, peretas kini telah berhasil menggunakan kelemahan tersebut untuk mengeksploitasi pengguna. Remote Access Trojan atau RAT telah ada selama bertahun-tahun tetapi perkembangan terakhir membuatnya lebih berbahaya dari sebelumnya. NanoCore RAT dulu dijual di Dark Web seharga $25 tetapi dibobol kembali pada tahun 2014 dan versi gratisnya tersedia untuk para peretas. Setelah ini, alat menjadi canggih karena plugin baru ditambahkan ke dalamnya. Sekarang, para peneliti dari LMNTRX Labs telah menemukan tambahan baru yang memungkinkan peretas memanfaatkan kelemahan tersebut dan alat tersebut sekarang tersedia secara gratis di Dark Web.

Jika Anda meremehkan alat ini, itu dapat memungkinkan peretas untuk mematikan atau mem-boot ulang sistem, menelusuri file dari jarak jauh, mengakses dan mengontrol Pengelola Tugas, Editor Registri, dan bahkan mouse. Tidak hanya itu, penyerang juga dapat membuka halaman web, menonaktifkan lampu aktivitas webcam untuk memata-matai korban tanpa diketahui, dan merekam audio dan video. Karena penyerang memiliki akses penuh ke komputer, mereka juga dapat memulihkan kata sandi dan mendapatkan kredensial masuk menggunakan keylogger serta mengunci komputer dengan enkripsi khusus yang dapat bertindak seperti ransomware.

Kabar baiknya adalah bahwa NanoCore RAT telah ada selama bertahun-tahun, perangkat lunak ini dikenal baik oleh para peneliti keamanan. tim LMNTRX (melalui Forbes) memecah teknik deteksi menjadi tiga kategori utama:

• T1064 – Skrip: Karena skrip biasanya digunakan oleh administrator sistem untuk melakukan tugas rutin, eksekusi program skrip yang sah, seperti PowerShell atau Wscript, dapat menandakan perilaku yang mencurigakan. Memeriksa file kantor untuk kode makro juga dapat membantu mengidentifikasi skrip yang digunakan oleh penyerang. Proses Office, seperti winword.exe memunculkan contoh cmd.exe, atau aplikasi skrip seperti wscript.exe dan powershell.exe, dapat menunjukkan aktivitas berbahaya.

• T1060 – Kunci Jalankan Registri / Folder Startup: Memantau Registry untuk perubahan untuk menjalankan kunci yang tidak berkorelasi dengan perangkat lunak atau siklus tambalan yang dikenal, dan memantau folder awal untuk penambahan atau perubahan, dapat membantu mendeteksi malware. Program mencurigakan yang dijalankan saat start-up mungkin muncul sebagai proses outlier yang belum pernah terlihat sebelumnya jika dibandingkan dengan data historis. Solusi seperti LMNTRIX Respond, yang memantau lokasi penting ini dan meningkatkan peringatan untuk setiap perubahan atau penambahan yang mencurigakan, dapat membantu mendeteksi perilaku ini.

• T1193 – Lampiran Spearphishing: Sistem Deteksi Intrusi Jaringan, seperti LMNTRIX Detect, dapat digunakan untuk mendeteksi spearphishing dengan lampiran berbahaya saat transit. Dalam kasus LMNTRIX Detect, ruang detonasi internal dapat mendeteksi lampiran berbahaya berdasarkan perilaku, bukan tanda tangan. Ini sangat penting karena deteksi berbasis tanda tangan sering gagal untuk melindungi dari penyerang yang sering mengubah dan memperbarui muatannya.

Secara keseluruhan, teknik deteksi ini berlaku untuk organisasi dan untuk pengguna pribadi/rumahan, hal terbaik yang harus dilakukan saat ini adalah memperbarui setiap perangkat lunak untuk memastikannya berjalan pada versi terbaru. Ini termasuk driver Windows, perangkat lunak pihak ke-3, dan bahkan Pembaruan Windows. Yang terpenting, jangan mengunduh atau membuka email yang mencurigakan atau menginstal perangkat lunak pihak ketiga dari vendor yang tidak dikenal.