Peretas White Hat mem-port eksploitasi Wannacry ke Windows 10. Terima kasih, saya kira?

Ada dua sistem operasi Windows yang sebagian besar kebal terhadap serangan cyber Wannacry baru-baru ini. Yang pertama, Windows XP, sebagian besar terhindar karena bug dalam kode Wannacry, dan yang kedua, Windows 10, memiliki pertahanan yang lebih canggih daripada Windows 7 dan karenanya tidak dapat terinfeksi.

Masuk ke tahap meninggalkan Peretas Topi Putih dari RiskSense, yang melakukan pekerjaan yang diperlukan untuk mem-port eksploitasi EternalBlue, peretasan yang dibuat NSA di root Wannacry, ke Windows 10, dan membuat modul Metasploit berdasarkan peretasan.

Modul mereka yang disempurnakan menampilkan beberapa peningkatan, dengan lalu lintas jaringan yang berkurang dan penghapusan pintu belakang DoublePulsar, yang menurut mereka mengganggu peneliti keamanan yang tidak perlu.

“Pintu belakang DoublePulsar adalah semacam ikan merah bagi para peneliti dan pembela untuk fokus,” kata analis riset senior Sean Dillon. “Kami menunjukkannya dengan membuat payload baru yang dapat memuat malware secara langsung tanpa harus menginstal backdoor DoublePulsar terlebih dahulu. Jadi orang yang ingin bertahan dari serangan ini di masa depan tidak boleh hanya fokus pada DoublePulsar. Fokus pada bagian eksploitasi mana yang dapat kami deteksi dan blokir.”

Mereka mempublikasikan hasil penelitian mereka tetapi mengatakan mereka mempersulit peretas Black Hat untuk mengikuti jejak mereka.

“Kami telah menghilangkan detail tertentu dari rantai eksploitasi yang hanya akan berguna bagi penyerang dan tidak terlalu berguna untuk membangun pertahanan,” kata Dillon. “Penelitian ini untuk industri keamanan informasi topi putih untuk meningkatkan pemahaman dan kesadaran akan eksploitasi ini sehingga teknik baru dapat dikembangkan untuk mencegah serangan ini dan di masa depan. Ini membantu pembela HAM lebih memahami rantai eksploitasi sehingga mereka dapat membangun pertahanan untuk eksploitasi daripada muatannya.”

Untuk menginfeksi Windows 10, peretas harus melewati Pencegahan Eksekusi Data (DEP) dan Pengacakan Tata Letak Ruang Alamat (ASLR) di Windows 10 dan menginstal muatan Asynchronous Procedure Call (APC) baru yang memungkinkan muatan mode pengguna dieksekusi tanpa pintu belakang.

Namun, para peretas sangat mengagumi peretas NSA asli yang menciptakan EternalBlue.

“Mereka pasti membuat banyak terobosan baru dengan eksploitasi. Ketika kami menambahkan target eksploit asli ke Metasploit, ada banyak kode yang perlu ditambahkan ke Metasploit agar setara dengan kemampuan untuk mendukung eksploit kernel jarak jauh yang menargetkan x64, ”kata Dillon, menambahkan bahwa eksploit asli juga menargetkan x86, menyebut prestasi itu “hampir ajaib.

“Anda berbicara tentang serangan heap-spray pada kernel Windows. Serangan heap spray mungkin adalah salah satu jenis eksploitasi yang paling esoterik dan ini untuk Windows, yang tidak memiliki kode sumber yang tersedia, ”kata Dillon. “Melakukan heap spray serupa di Linux itu sulit, tetapi lebih mudah dari ini. Banyak pekerjaan yang dilakukan untuk ini.”

Kabar baiknya adalah bahwa Windows 10 yang ditambal sepenuhnya, dengan MS17-010 terinstal, masih terlindungi sepenuhnya, dengan peretasan yang menargetkan Windows 10 x64 versi 1511, yang dirilis pada November 2015 dan diberi nama kode Threshold 2. Namun, mereka mencatat bahwa ini versi OS masih didukung oleh Windows Current Branch for Business.

Berita hari ini menggarisbawahi kecanggihan serangan yang dilakukan pada Windows oleh lembaga pemerintah, dan sekali lagi pentingnya tetap up to date untuk mengurangi risiko sebanyak mungkin.

Laporan RiskSense lengkap yang merinci peretasan baru bisa dibaca disini (PDF)