Virus Suicide Ini Dapat Menghancurkan PC Anda

Pada bulan Mei, beberapa situs media menerbitkan laporan yang mengatakan bahwa jenis malware baru dapat digunakan untuk menghancurkan komputer korban. Meskipun laporan tersebut mungkin memberikan peringkat yang efektif, telah dikonfirmasi bahwa kekhawatiran dan keraguan yang mereka timbulkan sebenarnya tidak membantu. Untungnya, banyak profesional keamanan dan peretasan, seperti Graham Cluley, cepat mengoreksi persepsi palsu yang dikembangkan artikel ini, memungkinkan kami menemukan ancaman, yang dikenal sebagai Rombertik.

Perusahaan perangkat lunak ini tahu bahwa Tripwire mengakui Rombertik sebagai contoh malware yang menarik, terutama karena perilaku anti-penelitiannya. Mari kita periksa ancaman dengan menjelajahi cara memanfaatkan masing-masing dari empat metode pengelakan paling sering yang diterapkan oleh malware: kesadaran eksternal, sumber daya otomatis yang membingungkan, penghindaran bergantung waktu, dan data internal yang membingungkan.

KESADARAN EKSTERNAL

Pertama, tindakan ambigu atau kesadaran eksternal terkait dengan kemampuan sampel malware, termasuk Rombertik, untuk mengevaluasi keadaan PC yang dicoba dicemari.

Selanjutnya, analis risiko Talos Security Group (TSG), Ben Baker dan Alex Chiu, memposting laporan tentang perilaku menghindar Rombertik. Temuan khusus mereka menyimpulkan, di antara faktor-faktor lain, bahwa malware mengimplementasikan garis inspeksi untuk mengidentifikasi apakah itu beroperasi di sekitar kotak pasir. Setelah eksekusi, Rombertik memulai putaran pemeriksaan sebelum menginstal sendiri pada komputer korban. Ini kemudian meluncurkan duplikat kedua dari malware, yang ditimpa oleh operasi utama malware. Sebelum malware diaktifkan, ia melakukan serangkaian inspeksi tambahan untuk menentukan apakah itu berjalan di memori. Jika filter penjaga terakhir ini, malware melakukan upaya untuk menimpa Master Boot Record (MBR) dan mem-boot ulang perangkat, secara efektif membuat komputer tidak berguna.

Pada dasarnya, itu adalah kemampuan Rombertik untuk menimpa Master Boot Record yang menyulut informasi spekulatif yang terkandung dalam artikel yang dipermasalahkan. Namun, bahkan pada saat itu, umumnya ada lebih banyak pada ukuran pelindung ini daripada apa yang memenuhi mata. Bahkan, beberapa hari setelah rilis laporan Cisco, perusahaan keamanan Symantec menerbitkan sebuah artikel di halaman web Respons Keamanan mereka di mana itu menjelaskan bagaimana Rombertik, pada kenyataannya, versi terbaru dari perangkat crimeware gelap pasar yang dikenal sebagai Carbon Form- Orang bakhil. Dalam ringkasan khusus ini, kemampuan Rombertik untuk menimpa Master Boot Record mungkin beroperasi lebih sedikit sebagai tindakan pengimbangan versus profesional keamanan, dan lebih sebagai faktor penghambat bagi penyerang yang kurang berpengalaman yang mungkin mencari cara untuk mengubah kode malware.

Sebagai perlindungan tambahan, Rombertik menyuntikkan dirinya ke dalam browser korbannya untuk membantu menyembunyikan dirinya. Sebagaimana dijelaskan oleh Joe Giron, karena itu malware terus menerus melalui operasi browser web untuk mengaitkan spesialis keamanan dari Last Line Labs. Jika Rombertik mengidentifikasi bahwa memori peramban terdiri dari pengait, ini mungkin disebabkan oleh pekerjaan kotak pasir.

PERPLEXING AUTOMATED RESOURCES

Perangkat lunak perusak ini juga memanfaatkan sumber daya otomatis yang membingungkan sehingga dapat menciptakan sarana untuk menghindari pengakuan. Malware kemudian menulis byte data arbitrer untuk menyimpan sekitar sembilan ratus dan enam puluh juta kali. Metode khusus ini mengaburkan kotak pasir. Karena mereka tidak dapat mengidentifikasi, terlepas dari apakah itu mengulur-ulur karena malware tidak tidur, banyak sandbox akhirnya keluar analisis mereka sebelum Rombertik dimulai untuk menunjukkan perilaku jahat. Selain itu, jenis-jenis lintas stalling banjir dan alat pelacakan dengan entri log, mempersulit proses analisis sementara perilaku berbahaya terlihat.

Rombertik menjalankan kode stalling, yang merupakan bukti bagaimana strategi jahat telah berevolusi seiring dengan langkah-langkah balasan yang digunakan oleh personel keamanan. Beberapa metode pertama yang dipahami oleh malware adalah untuk mengkode dan mengenkripsi. Taktik ini memotivasi perusahaan-perusahaan AV untuk mengadopsi analisis yang kuat, yang pada gilirannya mendorong penyerang merancang malware dengan kesadaran eksternal dalam pikiran. Pada saat peneliti keamanan menanggapi dengan menganalisis bagaimana kode program jahat berjalan di lingkungan virtual dan nyata, suatu kemajuan yang membawa kita pada fase saat ini di mana pembuat malware memasukkan kode tunggu atau stalling sebagai metode untuk menutup analisis ini. Jelas, Rombertik telah mendapatkan perhatian dari komunitas penasaran malware karena memanfaatkan perkembangan saat ini.

PENGGUNAAN WAKTU DEPENDEN

Time Dependent Evasion mungkin adalah strategi yang paling tidak jelas dalam tindakan Rombertik. Menurut Symantec, malware menghasilkan file “% SystemDrive% \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup [RANDOM CHARACTERS] .vbs,” yang memastikan bahwa kode dapat dijalankan setiap kali Windows melakukan booting. Namun, tidak banyak yang diketahui, karena sebagian besar penjelasan telah menargetkan karakteristik mengelak Rombertik yang tersisa.

BAFFLING INNER DATA

Cukup banyak teknik mengelak terakhir yang umumnya digunakan oleh malware adalah sumber daya program yang membingungkan. Di sini Rombertik menciptakan penggunaan kode sampah untuk membantu menyembunyikan beberapa fungsi terpentingnya. Percayalah ketika saya mengatakan, Baker dan Chiu menemukan bahwa sekitar sembilan puluh tujuh persen file yang dikemas terdiri dari tujuh puluh lima gambar dan kira-kira delapan ribu fungsi yang sama sekali tidak digunakan. Pendekatan yang satu ini memungkinkan pembuat malware untuk menyembunyikan banyak file Rombertik utama, yang hanya berukuran dua puluh delapan kilobyte, sehingga menyulitkan analis dan alat otomatis untuk menganalisis setiap fungsi dari malware ini.

KESIMPULAN

Memberikan kemampuannya untuk menimpa Master Boot Record yang mengesampingkan kondisi spesifik, penggunaannya baik kode sampah dan stalling, dan permulaannya setiap kali Windows dimulai, membuat kita percaya bahwa Rombertik adalah penguasa penghindaran. Kemudian lagi tidak mungkin ini menyiratkan bahwa teknik persembunyiannya sempurna. Para peneliti di Symantec menemukan titik kunci publik RSA yang memungkinkan para peneliti untuk mencegah memicu Rombertik ke pembersihan Master Boot Record. Selain itu, saat memeriksa malware, kotak pasir Symantec tidak terdeteksi oleh Rombertik. Tersebut keduanya mendorong kemajuan. Malware mungkin berubah dengan kaitannya dengan penggunaan perilaku tersembunyi, tetapi pasar keamanan mengikuti. Setiap hari, pakar keamanan merancang teknik baru untuk memenuhi ancaman yang muncul ini, dan setiap hari, individu online mengalami keuntungan dengan menikmati perlindungan dan keamanan tambahan.

Share this post