Cyberthreat.id - Peneliti memanfaatkan kerentanan Emotet untuk menghentikan penyebaran malware. Emotet merupakan malware berbasis email yang berada dibalik beberapa operasi spam yang digerakkan oleh botnet dan serangan ransomware.

Peneliti keamanan siber Binary Defense berhasil memanfaatkan kerentanan pada Emotet dengan mengaktifkan tombol pemutus yang disebut EmoCrash untuk mencegah malware menginfeksi sistem selama enam bulan.

James Quinn, peneliti Binary Defense, mengatakan malware merupakan perangkat lunak yang bisa saja memiliki kerentanan. Sama halnya dengan penyerang yang dapat mengeksploitasi kelemahan dalam perangkat lunak yang sah untuk menyebabkan kerusakan. Para penjaga sistem juga dapat merekayasa malware untuk menemukan kerentanannya lalu mengeksploitasinya.

Kerentanan yang dimanfaatkan untuk menghentikan penyebaran malware ini aktif antara 6 Februari 2020 hingga 6 Agustus 2020 selama 182 hari, sebelum pembuat malware menambal malware mereka dan menutup kerentanan pada Emotet.

Versi pertama dari EmoCrash yang dikembangkan Binary Defense dirilis sekitar 37 jam setelah Emotet meluncurkan perubahan dengan menggunakan skrip PowerShell yang akan menghasilkan nilai kunci registri untuk setiap korban dan mengatur data untuk setiap nilai ke nol.

Dengan cara ini, ketika malware memeriksa registri untuk nama file, itu akan berakhir dengan memuat exe kosong ".exe," sehingga menghentikan malware dari berjalan di sistem target.

"Saat malware mencoba mengeksekusi '.exe,' itu tidak akan dapat dijalankan karena '.' diterjemahkan ke direktori kerja saat ini untuk banyak sistem operasi," kata Quinn dilansir The Hacker News, Senin (17 Agustus 2020).

Dalam versi improvisasi dari EmoCrash, Quinn dapat mengeksploitasi kerentanan buffer overflow yang ditemukan dalam rutinitas penginstalan malware untuk merusak Emotet selama proses penginstalan, sehingga secara efektif mencegah pengguna terinfeksi.

Jadi, dibandingkan menyetel ulang nilai registri, skrip bekerja dengan mengidentifikasi arsitektur sistem untuk menghasilkan nilai registri penginstalan untuk nomor seri volume pengguna, menggunakannya untuk menghemat buffer sebesar 832 byte.

"Dua log kerusakan akan muncul dengan ID peristiwa 1000 dan 1001 yang dapat digunakan untuk mengidentifikasi titik akhir dengan biner Emotet yang dinonaktifkan dan mati setelah penerapan tombol pemutus," ujarnya.

Untuk merahasiakannya dari pelaku ancaman dan menambal kode mereka, Binary Defense bekerjasama dengan Tim Tanggap Darurat Komputer (CERT) dan Tim Cymru untuk mendistribusikan skrip eksploitasi EmoCrash ke organisasi yang rentan.

Meskipun Emotet menghentikan metode penginstalan berbasis kunci registri pada pertengahan April, baru pada 6 Agustus ketika pembaruan ke pemuat malware sepenuhnya menghapus kode nilai registri yang rentan.

"Pada 17 Juli 2020, Emotet akhirnya kembali melakukan spamming setelah beberapa bulan waktu pengembangannya. Dengan EmoCrash yang masih aktif di awal pengembalian penuh, hingga 6 Agustus, EmoCrash mampu memberikan perlindungan total dari Emotet."

Sejak berhasil diidentifikasi pertama kali pada tahun 2014, Emotet telah berevolusi dari yang awalnya hanya sebagai malware perbankan, menjadi salah satu malware canggih yang dapat berfungsi sebagai pengunduh, pencuri informasi, dan robot spam tergantung pada cara penyebarannya.

Awal Februari ini, operator Emotet mengembangkan fitur baru untuk memanfaatkan perangkat yang sudah terinfeksi untuk mengidentifikasi dan membahayakan korban baru yang terhubung ke jaringan Wi-Fi terdekat.

Menurut Binary Defense, dengan pembaruan fitur ini, muncul mekanisme baru yang menghasilkan nama file untuk menyimpan malware di setiap sistem korban, menggunakan nama file sistem exe atau dll yang dipilih secara acak dari direktori system32.

Perubahan itu dilakukan dengan mengenkripsi nama file dengan kunci XOR yang kemudian disimpan ke nilai registri Windows yang disetel ke nomor seri volume korban. []

Redaktur: Arif Rahman