Seorang peneliti keamanan telah mengidentifikasi strain malware baru yang juga menyebar sendiri dengan memanfaatkan kekurangan pada protokol file sharing Windows SMB. Namun tidak seperti ransomware WannaCry yang hanya menggunakan 2 tool hacking NSA yang bocor, malware baru ini mengeksploitasi menggunakan 7 tool.
Memang biasanya, beberapa kelompok hacking yang memanfaatkan tool hacking NSA yang bocor ini hampir semuanya hanya menggunakan dua alat: EternalBlue dan DoublePulsar.
Kini, Miroslav Stampar, seorang peneliti keamanan yang menciptakan tool populer ‘sqlmap’ dan sekarang anggota CERT milik Pemerintah Kroasia, telah menemukan worm jaringan baru, yang dijuluki EternalRocks, yang lebih berbahaya daripada WannaCry dan tidak memiliki kill-switch di dalamnya.
Tidak seperti WannaCry, EternalRocks tampaknya dirancang agar berfungsi secara diam-diam untuk memastikan tetap tidak terdeteksi pada sistem yang terinfeksi.
Stampar mengetahui EternalRocks setelah menginfeksi honeypot SMB-nya.
Just captured 406ac1595991ea7ca97bc908a6538131 and 5c9f450f2488140c21b6a0bd37db6a40 in MS17-010 honeypot. MSIL/.NET #WannaCry copycat(s) pic.twitter.com/VVMrAg0Gib
— Miroslav Stampar (@stamparm) May 17, 2017
Tool hacking NSA yang digunakan oleh EternalRocks, yang Stampar sebut “DoomsDayWorm” di Twitter, meliputi:
- EternalBlue — SMBv1 exploit tool
- EternalRomance — SMBv1 exploit tool
- EternalChampion — SMBv2 exploit tool
- EternalSynergy — SMBv3 exploit tool
- SMBTouch — SMB reconnaissance tool
- ArchTouch — SMB reconnaissance tool
- DoublePulsar — Backdoor Trojan
SMBTouch dan ArchTouch adalah alat pengintai SMB, yang dirancang untuk memindai port SMB terbuka di internet umum.
Sedangkan EternalBlue, EternalChampion, EternalSynergy dan EternalRomance adalah eksploitasi SMB, yang dirancang untuk mengompromikan komputer Windows yang rentan.
Dan DoublePulsar kemudian digunakan untuk menyebarkan worm dari satu komputer yang terkena dampak ke mesin rentan lainnya di jaringan yang sama.
Stampar menemukan bahwa EternalRock menyamar sebagai WannaCry untuk mengelabui para periset keamanan, namun bukannya menjatuhkan uang tebusan, ia mendapat kontrol tidak sah terhadap komputer yang terkena dampak untuk meluncurkan serangan cyber.
Somebody actually used complete Shadowbrokers dump (SMB part) and made a worm out of it. Uses WannaCry names (taskhost/svchost) to distract
— Miroslav Stampar (@stamparm) May 18, 2017
Berikut Cara Kerja Serangan EternalRocks:
Instalasi EternalRocks berlangsung dalam dua tahap proses.
Selama tahap pertama, EternalRocks mendownload browser web Tor pada komputer yang terkena dampak, yang kemudian digunakan untuk terhubung ke server command-and-control (C&C) yang berada di Dark Web.
“Tahap pertama, malware UpdateInstaller.exe (bisa melalui eksploitasi remote dengan malware tahap kedua) mendownload komponen .NET yang diperlukan. (Untuk tahap selanjutnya) TaskScheduler dan SharpZLib dari Internet, sambil menjatuhkan svchost.exe dan taskhost.exe,” kata Stampar.
Menurut Stampar, tahap kedua hadir dengan penundaan 24 jam dalam upaya menghindari teknik sandboxing, membuat infeksi worm tidak terdeteksi.
p.s. there is no ransomware here. After delayed (it seems 24h) download and self replicating worm pic.twitter.com/p9OfEpmv4N
— Miroslav Stampar (@stamparm) May 18, 2017
Setelah 24 jam, EternalRocks merespons server C&C dengan arsip yang berisi tujuh eksploitasi Windows SMB yang disebutkan di atas.
“Komponen svchost.exe digunakan untuk mendownload, membongkar dan menjalankan Tor dari archive.torproject.org bersama dengan komunikasi C&C (ubgdgno5eswkhmpy.onion) yang meminta instruksi lebih lanjut (misal: pemasangan komponen baru),” Stampar menambahkan.
Ketujuh eksploitasi SMB kemudian diunduh ke komputer yang terinfeksi. EternalRocks kemudian memindai internet untuk membuka port SMB dan menyebarkan dirinya ke sistem rentan lainnya juga.
Jika kamu ingin tahu dan update tentang ancaman cyber terbaru sebelum mereka masuk ke sistem kamu, pastikan kamu mengikuti Error 404 Cyber News di Facebook dan Instagram, atau berlangganan newsletter kami.
