Cyberthreat.id - Para penjahat cyber berupaya mencari berbagai celah pengamanan untuk kemudian menyerang dan memangsa korbannya. Bahkan selalu saja mereka selangkah lebih maju. Ketika serangan berhasil dihadang, mereka terus berupaya mencari celah dan cara baru. Bahkan, kini hadir ransomware yang justru mampu menggunakan sistem keamanan untuk membantu serangan.  

Serangan itu telah diteliti cara kerjanya. Peneliti keamanan menerbitkan rincian serangan ransomware dapat menyalahgunakan Windows Encrypting File System (EFS). Beberapa vendor keamanan utama telah merilis tambalan untuk melindungi mesin dari serangan ini setelah alat anti-malware gagal mempertahankannya.

Pada penelitian yang dirilis Selasa (21 Januari 2020) itu disebutkan penemuan ini berasal dari SafeBreach Labs, di mana para peneliti melakukan brainstorming cara-cara baru yang lebih canggih untuk mengimplementasikan ransomware.

"Sangat penting kita memahami apa yang bisa dilakukan sehingga kita dapat mengembangkan kontrol yang lebih baik di sekitarnya," kata salah satu pendiri dan CTO Itzik Kotler kepada DarkReading.

Salah satu tujuannya adalah menemukan vektor serangan yang pertahanannya saat ini kurang mampu bertahan.

Dimulai pada Windows 2000, Microsoft mulai menawarkan EFS kepada pelanggan bisnis menggunakan edisi Windows Pro, Professional, Business, Ultimate, Enterprise, dan Education.

Laman DarkReading merinci, EFS memungkinkan enkripsi folder dan file tertentu yang dikunci untuk pengguna Windows. Enkripsi dan dekripsi dilakukan dalam driver NTFS, di bawah driver filter sistem file.

Bagian dari kunci enkripsi disimpan dalam file yang dapat diakses pengguna; bagian dihitung dari kata sandi akun. EFS tidak boleh bingung dengan BitLocker, yang merupakan fitur enkripsi disk penuh.

Para peneliti membuat konsep ransomware mereka di lingkungan lab untuk menguji apakah perangkat lunak antivirus dapat bertahan melawannya. Karena malware ini menggunakan fungsionalitas EFS, berbeda dengan taktik ransomware untuk menimpa file, malware ini menggunakan serangkaian panggilan sistem yang berbeda.

"Kami pikir ada potensi bagus di sana untuk sepenuhnya menghindari kontrol keamanan," kata Amit Klein, wakil presiden penelitian keamanan, kepada DarkReading. "Memang, itu yang terjadi."

Malware yang mereka kembangkan pertama kali menghasilkan kunci untuk digunakan oleh EFS, serta sertifikat untuk kunci itu, yang ditambahkan ke personal certificate store. Kemudian menetapkan kunci EFS saat ini untuk sertifikat yang dibuat malware; sekarang, kunci ini dapat dipanggil pada file dan folder tertentu untuk mengenkripsinya.

Ransomware menyimpan file-file utama ke memori dan menghapusnya dari dua folder:

• % APPDATA% \ Microsoft \ Crypto \ RSA \ sid \ (di mana sid adalah SID pengguna)
• % ProgramData% \ Microsoft \ Crypto \ RSA \ MachineKeys \

Dari sana, ransomware menghapus data EFS dari memori, menjadikan file terenkripsi tidak dapat diakses oleh korban. Idealnya, para peneliti menjelaskan, itu juga menghapus bagian disk yang kendur untuk memastikan data dari file kunci EFS dan file sementara yang digunakan oleh EncryptFile tidak dapat diambil.

Setelah itu, malware dapat mengenkripsi data yang dicuri dari dua file yang disebutkan sebelumnya menggunakan kunci publik yang ditanamkan ke ransomware dan mengirim data terenkripsi ke penyerang.

File dienkripsi pada level kernel yang dalam dan tidak akan diperhatikan oleh driver filter sistem file. “Serangan itu tidak memerlukan hak admin atau interaksi manusia,” Klein menulis dalam posting blognya sebagaimana dikutip DarkReading.

Setiap ransomware harus memiliki cara untuk mengembalikan file, Klein menjelaskan, dan yang ini tidak berbeda. Seorang penyerang perlu mendekripsi file kunci menggunakan kunci pribadi mereka untuk mengembalikannya ke keadaan semula. Ketika ini terjadi, Windows akan dapat membaca file pengguna.

Para peneliti menguji ransomware EFS pada Windows 10 64-bit versi 1803, 1809, dan 1903. Ini juga dapat bekerja pada sistem operasi Windows 32-bit dan pada versi Windows sebelumnya - kemungkinan Windows 8.x, Windows 7, dan Windows Vista.

Tim menguji malware-nya dengan tiga alat anti-ransomware dari vendor terkenal: ESET (Internet Security 12.1.34.0), Kaspersky (Alat Anti Ransomware untuk Bisnis 4.0.0.861a), dan Microsoft (Windows 10 Controlled Folder Akses pada Windows 10 64-bit versi 1809, build 17763). Ketiganya gagal bertahan melawan serangan ransomware jenis ini.

SafeBreach kemudian memberi tahu 17 vendor anti-malware dan anti-ransomware besar untuk titik akhir Windows, memberikan bukti konsepnya, dan menemukan banyak produk terpengaruh.

"Seluruh bisnis mengungkapkan ancaman ini kepada vendor solusi utama adalah tentang mengurangi ancaman ini digunakan di alam liar pada beberapa titik kemudian," kata Klein.

SafeBreach mengungkapkan serangan itu kepada perusahaan pada bulan Juni dan Juli 2019. Lebih dari enam bulan berlalu antara waktu pengungkapan kepada vendor terakhir dan pengungkapan ke publik.

"Beberapa vendor membutuhkan waktu yang sangat singkat untuk mencari tahu apa masalahnya dan bagaimana mereka ingin mengatasinya," katanya. "Vendor lain membutuhkan sedikit waktu untuk mulai bekerja mengatasi masalah ini." Kebanyakan vendor yang terkena dampak menyebarkan pembaruan untuk bertahan terhadap teknik serangan ini.

Salah satu solusi untuk serangan ini adalah dengan menonaktifkan ESF sepenuhnya, yang dimungkinkan dengan hak admin. Klein menyarankan mengambil rute ini jika organisasi Anda tidak secara aktif menggunakan fitur ini.

Saat ransomware berkembang, vendor keamanan juga harus beradaptasi untuk bertahan terhadap ancaman baru dan yang terus berubah. Alat berbasis tanda tangan "tidak sesuai dengan pekerjaan ini," tulis Klein dalam posnya, dan sementara solusi berbasis heuristik menjanjikan, penelitian tambahan diperlukan untuk melatih mereka untuk melindungi terhadap ancaman di masa depan.[]