Menyelidiki Fivesys – Tanda Tangan Digital Tidak Sah yang dikeluarkan Microsoft
Diterbitkan: 2022-12-23- Apa itu Rootkit?
- Apa itu Rootkit Fivesys?
- Bagaimana Cara Mendapatkan Tanda Tangan Digital Microsoft?
- Bagaimana Menghilangkan Rootkit seperti Fivesys?
- 1. Gunakan perangkat lunak penghapus rootkit.
- 2. Jalankan pemindaian waktu boot.
- 3. Bersihkan perangkat dan instal ulang sistem operasi.
- Apa Yang Dapat Kita Lakukan Untuk Melindungi Terhadap Rootkit?
- Membungkus
Peretas telah mengambil keuntungan dari rootkit, atau perangkat lunak berbahaya yang memberikan akses tidak sah ke sistem komputer , yang entah bagaimana mendapat persetujuan digital dari Microsoft. Penemuan yang mengkhawatirkan ini menimbulkan pertanyaan penting tentang seberapa rentan kita terhadap perangkat lunak berbahaya. Mari kita lihat lebih dekat rootkit ini dan bagaimana rootkit ini melewati protokol keamanan Microsoft.
Apa itu Rootkit?
Rootkit adalah alat perangkat lunak berbahaya yang dapat digunakan penjahat dunia maya untuk menguasai sistem komputer. Alat ini memungkinkan penyerang menyembunyikan malware dan aktivitas berbahaya atau bahkan mengakses sistem tanpa terdeteksi.
Rootkit adalah predator puncak kejahatan dunia maya lebih dari satu dekade lalu. Program komputer rahasia ini dirancang untuk memberi penyerang pijakan yang tidak terputus di komputer korban sambil menyembunyikan aktivitas jahat dari sistem operasi dan solusi antimalware.
Mitigasi keamanan yang diperkenalkan dengan Windows Vista telah mengusir penyusup yang tinggal di dalam kernel sistem operasi, tetapi kadang-kadang muncul kembali.
Rootkit mungkin berisi backdoors, keyloggers, malware pencuri data, skrip jahat, dan metode canggih lainnya yang menyulitkan pemilik sistem atau administrator untuk dideteksi. Dengan mengeksploitasi kerentanan, mereka dapat mengendalikan sistem tanpa memerlukan kredensial pengguna dan mengakses informasi rahasia yang tersimpan di dalamnya.
Dengan demikian, mereka merupakan ancaman berbahaya bagi keamanan dunia maya yang tidak boleh dianggap enteng . Faktanya, ketika ancaman rootkit menjadi lebih maju dan canggih, semakin penting bagi organisasi dan individu untuk tetap mendapat informasi tentang mekanisme pertahanan terbaru yang tersedia dan memperbarui sistem mereka secara teratur untuk melindungi dari serangan semacam itu.
Apa itu Rootkit Fivesys?
Menurut laporan baru-baru ini oleh perusahaan keamanan siber Bitdefender, penjahat elektronik telah menggunakan rootkit yang diberi nama “FiveSys” yang secara menakutkan menerima tanda tangan elektronik dari Microsoft.
Program jahat tersebut diduga memberi penyerang "hak istimewa yang hampir tidak terbatas" pada sistem yang terinfeksi, dan peretas menggunakannya untuk menargetkan gamer online untuk pencurian kredensial dan pembajakan pembelian dalam game. Menurut peneliti, “FiveSys” juga dapat dialihkan ke jenis pencurian data lainnya.
Karena dimasukkannya sertifikat driver Microsoft Windows Hardware Quality Labs Testing (WHQL) yang tampak sah, rootkit FiveSys dapat memperoleh akses ke sistem yang ditargetkan.
WQOS menghasilkan tanda tangan digital satu-satunya yang memungkinkan penginstalan driver bersertifikat di komputer Windows melalui program Pembaruan Windows resmi, memberikan kepercayaan kepada pengguna akhir. Setelah dimuat, rootkit memberi pembuatnya hak istimewa yang hampir tak terbatas.
Bitdefender, sebuah perusahaan keamanan, menemukan peningkatan driver jahat dengan tanda tangan elektronik yang valid. Menurut perusahaan, rootkit yang dimaksud memungkinkan penyerang untuk menghindari keamanan dan mendapatkan akses ke dan kontrol sistem yang ditargetkan dengan mengalihkan lalu lintas HTTP dan HTTPS ke domain di server proxy yang dikendalikan penyerang.
Sertifikat WHQL yang disusupi mirip dengan yang digunakan di rootkit Netfilter, yang ditemukan awal tahun ini. Fivesys adalah rootkit kedua yang menggunakan sertifikat Microsoft, dan Bitdefender memperkirakan bahwa lebih banyak serangan akan menggunakan sertifikat driver yang sah.
Menurut Bitdefender, FiveSys berasal dari China dan terlihat terutama menargetkan pemain game online China. Menurut perusahaan keamanan, tujuan utamanya adalah untuk mendapatkan kendali atas kredensial dalam game untuk melakukan pembelian dalam game. Fivesys belum terlihat di alam liar di luar China.
Keacakan yang digunakan rootkit ini untuk mengalihkan lalu lintas yang disusupi membuat penghapusannya menjadi sulit. Untuk memperumit upaya penghapusan potensial, rootkit menyertakan daftar 300 domain pada TLD '.xyz' yang tampaknya dihasilkan secara acak dan disimpan dalam bentuk terenkripsi di dalam biner.
Untuk melindungi dirinya sendiri, rootkit menggunakan berbagai strategi, termasuk mencegah kemampuan mengedit registri dan mencegah penginstalan rootkit lain dan malware dari berbagai grup.
Karena pola acak, mengidentifikasi dan mematikan domain menjadi sulit. Bitdefender, pada bagiannya, segera menghubungi Microsoft terkait penggunaan sertifikat driver WHQL. Microsoft dengan cepat mencabut tanda tangan elektronik.
Bagaimana Cara Mendapatkan Tanda Tangan Digital Microsoft?
Penjahat dunia maya diketahui menggunakan sertifikat digital curian, tetapi dalam kasus ini, mereka dapat memperoleh sertifikat yang valid. Masih belum jelas bagaimana penjahat dunia maya bisa mendapatkan sertifikat yang valid.
Tanda tangan digital adalah algoritme yang digunakan bisnis dan organisasi besar lainnya untuk keamanan. Tanda tangan elektronik menghasilkan "sidik jari virtual" yang ditautkan ke entitas tertentu dan digunakan untuk memverifikasi kepercayaan mereka. Sebagai tindakan pengamanan, Microsoft menggunakan proses penandatanganan digital untuk menolak program yang tampaknya tidak berasal dari sumber tepercaya.
Namun, protokol keamanan perusahaan tampaknya tidak cocok untuk rootkit "FiveSys" dan penangan penjahat dunia maya , yang dapat membuat program jahat mereka ditandatangani dengan stempel persetujuan digital Microsoft. Tidak jelas bagaimana mereka mencapai ini.
Itu bisa saja diajukan untuk validasi dan entah bagaimana lulus pemeriksaan. Meskipun persyaratan penandatanganan digital mendeteksi dan menghentikan sebagian besar rootkit, persyaratan tersebut tidak dapat diandalkan. Tidak jelas bagaimana FiveSys menyebar, tetapi para peneliti percaya itu dibundel dengan unduhan perangkat lunak yang diretas.
Setelah diinstal, rootkit FiveSys mengalihkan lalu lintas internet ke server proxy, yang dilakukannya dengan menginstal sertifikat root khusus sehingga browser tidak memperingatkan tentang identitas proxy yang tidak diketahui; itu juga mencegah malware lain menulis pada driver, kemungkinan besar dalam upaya untuk mencegah penjahat dunia maya lainnya mengeksploitasi sistem yang disusupi.
Menurut analisis serangan, rootkit FiveSys digunakan dalam serangan siber terhadap pemain game online untuk mencuri kredensial login dan membajak pembelian dalam game.
Karena popularitas game online, banyak uang dapat terlibat – tidak hanya karena informasi perbankan terkait dengan akun, tetapi juga karena barang virtual bergengsi dapat menghasilkan uang dalam jumlah besar saat dijual, menyiratkan bahwa penyerang dapat mengeksploitasi akses untuk mencuri dan menjual barang-barang ini.
Saat ini, serangan ditujukan untuk para gamer di China, tempat para peneliti percaya para penyerang juga berbasis.
Bagaimana Menghilangkan Rootkit seperti Fivesys?
Menghapus rootkit seperti Fivesys bisa menjadi tugas yang rumit dan menakutkan. Sebagian besar solusi antivirus tidak mendeteksi program jahat ini, jadi penting untuk mengambil tindakan proaktif terhadapnya. Langkah pertama adalah menyelesaikan pemindaian mendalam pada komputer Anda yang mendeteksi dan menghilangkan rootkit. Selanjutnya, ikuti langkah-langkah berikut:
1. Gunakan perangkat lunak penghapus rootkit.
Jangan mengandalkan Windows Defender atau perangkat lunak keamanan bawaan lainnya karena sebagian besar rootkit dapat menghindari pengamanan penting. Gunakan perangkat lunak khusus seperti Avast One untuk perlindungan lengkap. Avast menggabungkan jaringan pendeteksi ancaman terbesar di dunia dengan perlindungan malware pembelajaran mesin menjadi satu alat ringan yang mampu mendeteksi dan menghapus rootkit dan bertahan dari semua jenis ancaman online di masa depan.
2. Jalankan pemindaian waktu boot.
Malware modern menggunakan teknik canggih untuk menghindari deteksi oleh perangkat lunak antivirus. Rootkit pada perangkat yang menjalankan sistem operasi dapat mengecoh pemindaian antivirus otomatis.
Jika program antivirus meminta sistem operasi untuk membuka file malware tertentu, rootkit dapat mengubah aliran data dan membuka file yang tidak berbahaya. Mereka juga dapat mengubah kode pencacahan file malware, yang menyimpan dan membagikan informasi tentang malware dan mencegahnya disertakan dalam pemindaian.
Rootkit terdeteksi selama proses pengaktifan komputer Anda dengan pemindaian saat boot. Keuntungan dari pemindaian saat boot adalah rootkit biasanya masih tidak aktif dan tidak dapat bersembunyi di sistem Anda.3.
3. Bersihkan perangkat dan instal ulang sistem operasi.
Jika perangkat lunak antivirus dan pemindaian saat boot gagal menghapus rootkit, coba cadangkan data Anda, hapus perangkat Anda, dan instal dari awal. Ini terkadang satu-satunya pilihan saat rootkit beroperasi pada tingkat boot, firmware, atau hypervisor.
Pertama, Anda harus memahami cara memformat hard drive dan mengkloning hard drive untuk mencadangkan file penting Anda. Meskipun Anda mungkin perlu menghapus drive C: utama, Anda masih dapat menyimpan sebagian besar data Anda. Ini adalah opsi terakhir untuk menghapus rootkit.
Pembaruan perangkat lunak antimalware yang sering juga akan membantu menjaga sistem Anda aman dari upaya penyusupan baru. Dengan menerapkan teknik ini, berurusan dengan rootkit yang ada dan muncul seperti Fivesys akan menjadi jauh lebih mudah.
Apa Yang Dapat Kita Lakukan Untuk Melindungi Terhadap Rootkit?
Rootkit adalah ancaman keamanan serius yang sulit dideteksi dan dihapus, tetapi ada langkah pencegahan yang dapat diambil untuk mengurangi peluang tersebut. Misalnya, memperbarui sistem operasi dan perangkat lunak memastikan Anda tidak menjadi rentan terhadap vektor serangan yang dikenal untuk instalasi rootkit. Manajemen tambalan yang baik adalah kuncinya di sini, dan perangkat lunak antivirus juga merupakan keharusan – tetap up-to-date dengan definisi virus sehingga penyerang memiliki lebih sedikit pilihan.
Berhati-hatilah saat mengunduh apa pun juga – selalu pastikan itu dari sumber yang dapat dipercaya dan memiliki ulasan yang bagus. Nonaktifkan driver atau executable yang tidak ditandatangani, karena ini dapat menjadi titik masuk yang rentan untuk rootkit. Terakhir, firewall yang kuat atau proksi pemfilteran web akan membantu memblokir penyerang yang mencoba mengeksploitasi kerentanan dalam sistem yang belum ditambal. Semua tindakan pencegahan ini memberi Anda peluang terbaik untuk mengurangi infeksi rootkit.
Sementara rootkit saat ini digunakan untuk mencuri kredensial login dari akun game, rootkit dapat digunakan untuk melawan target lain di masa mendatang. Namun, dengan mengambil beberapa tindakan pencegahan keamanan siber sederhana, Anda dapat menghindari menjadi korban serangan ini atau yang serupa.
Agar aman, unduh perangkat lunak hanya dari situs web vendor atau sumber tepercaya. Selain itu, solusi keamanan modern dapat mendeteksi malware, termasuk rootkit, dan mencegah eksekusinya.
Penting untuk mengambil langkah-langkah untuk melindungi diri Anda dari perangkat lunak berbahaya seperti FiveSys. Pastikan Anda selalu memperbarui sistem Anda dengan tambalan terbaru—ini akan membantu melindungi Anda dari ancaman yang diketahui seperti ini.
Selain itu, gunakan perangkat lunak antivirus yang andal untuk memindai aktivitas mencurigakan atau perangkat lunak berbahaya di sistem komputer Anda. Terakhir, waspadai upaya phishing; jangan mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal karena dapat berisi malware seperti Kovter.
Selain membersihkan dan mengoptimalkan PC Anda, BoostSpeed melindungi privasi, mendiagnosis masalah perangkat keras, menawarkan tip untuk meningkatkan kecepatan, dan menyediakan 20+ alat untuk memenuhi sebagian besar kebutuhan pemeliharaan dan layanan PC.
Membungkus
Pembaruan 'Patch Tuesday' Microsoft terus-menerus menemukan dan menambal kerentanan zero-day baru. Apple juga bergegas untuk menambal macOS awal tahun ini setelah peneliti menemukan cara untuk menghindari GateKeeper, karantina file, dan mekanisme keamanan notaris menggunakan malware yang disamarkan sebagai file dokumen biasa.
Apple juga merilis versi baru dari keempat sistem operasi sehari sebelum peluncuran produk utamanya di bulan September untuk mengatasi masalah keamanan seperti kerentanan yang disebabkan oleh spyware Pegasus NSO Group, yang dapat menginstal malware di iPhone target tanpa sepengetahuan mereka.
Penemuan FiveSys telah menarik perhatian pada betapa rentannya kita terhadap perangkat lunak berbahaya yang melewati protokol keamanan kita tanpa terdeteksi dengan menggunakan sertifikat digital yang tampak sah tetapi palsu. Mengambil langkah proaktif akan membantu melindungi kita dari serangan semacam itu; menjaga sistem kami diperbarui dengan tambalan terbaru, menggunakan perangkat lunak antivirus yang andal, dan menyadari upaya phishing dapat sangat membantu dalam melindungi diri dari program jahat seperti rootkit seperti FiveSys.