Malware TrickBot Punya Senjata Baru, Dapat Pindai Kerentanan pada Firmware UEFI/BIOS

Ilustrasi. AMI BIOS. | Foto: ami.com)

Cyberthreat.id - Riset terbaru perusahaan keamanan siber AS, Eclypsium, mendeteksi malware TrickBot memiliki fitur baru yang dirancang untuk mendeteksi kerentanan firmware Unfield Extensible Firmware Interface (UEFI) atau Basic Input-Output System (BIOS) pada kompter yang ditargetkan.

UEFI adalah penerus modern dari sistem BIOS pada komputer yang terkenal bertahun-tahun. Firmware ini program pertama yang dijalankan saat menghidupkan komputer. Karena berjalan sebelum sistem operasi, firmware ini memiliki hak istimewa yang lebih tinggi daripada sistem operasi itu sendiri.

"Kode ini berjalan saat sistem pertama kali dihidupkan; itu bertanggung jawab untuk menginisialisasi perangkat keras dan memuat dan mentransfer kontrol ke sistem operasi. “ kata Eclypsium di situs webnya.

Sementara itu, TrickBot merupakan trojan yang diidentifikasi pada 2016;i terkenal canggih dengan kemampuannya dalam mendapatkan hak administrator perangkat, menyebar dalam jaringan, dan mengirimkan muatan malware tambahan.

Fitur baru yang ditemukan peneliti Eclypsium bersama Advanced Intelligence (AdvIntel) yaitu “TrickBoot”. Dikutip dari Security Week, diakses Jumat (4 Desember 2020), fitur ini memanfaatkan alat yang tersedia untuk mengidentifikasi kerentanan yang memungkinkan penyerang memodifikasi seperti membaca, menulis atau menghapus firmware UEFI/BIOS perangkat target.

Menurut peneliti, TrickBoot melakukan pengintaian untuk kerentanan firmware. Operator dapat melakukan tindakan yang lebih aktif terhadap target seperti memasang implan firmware dan backdoor (pintu belakang) atau menghancurkan perangkat yang ditargetkan.

Dengan memodifikasi atau menanamkan kode berbahaya di firmware, peneliti mengatakan penyerang dapat memastikan bahwa kode mereka yang akan berjalan terlebih dahulu. Ini memungkinkan penyerang mendapatkan akses penuh terhadap sistem yang ditargetkan.

Implan tingkat UEFI ini kuat dan tersembunyi sehingga sulit untuk dideteksi lantaran firmware bukan disimpan pada hard drive, tetapi pada motherboard. Dengan kata lain, penyerang dapat tetap bertahan bahkan jika firmware atau hard drive sistem diganti.

“TrickBot telah terbukti menjadi salah satu perangkat lunak perusak yang paling mudah beradaptasi saat ini, secara teratur menggabungkan fungsi baru untuk meningkatkan hak istimewa, menyebar ke perangkat baru, dan mempertahankan persistensi pada suatu host,” kata Eclypsium.

Ini bukan pertama kalinya TrickBot menunjukkan minat dalam penggunaan alat dan eksploitasi yang sudah mapan.

Sebelumnya, operator TrickBot mengadopsi Mimikatz dan EternalBlue untuk operasi jahat mereka, dan kini menggunakan versi driver “RwDrv.sys” yang dikaburkan dari alat “RWEverything” (read-write-everything).

RWEverything adalah alat yang memungkinkan penyerang untuk menulis ke firmware di hampir semua komponen perangkat, termasuk pengontrol SPI yang mengatur sistem UEFI / BIOS, tulis ThreatPost.

Alat itulah yang digunakan penyerang untuk memeriksa apakah firmware dapat dimodifikasi dengan memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak.

Kemampuan baru TrickBot yang mampu untuk menulis kode berbahaya ke firmware sistem, hingga menyembunyikan diri ini telah disalahgunakan di masa lalu oleh operator malware lain yakni malware LoJax dan kampanye APT Slingshot.

Pada Oktober lalu, bootkit firmware tersebut terlihat digunakan untuk menargetkan diplomat dan anggota organisasi non-pemerintah (LSM) di Afrika, Asia, dan Eropa, yang merupakan bagian dari distribusi malware “MosaicRegressor”.[]

Redaktur: Andi Nugroho

--------------------------

Ikuti Honeynet Project Workshop - Peran Honeynet pada Sistem Pemerintahan Berbasis Elektronik (SPBE) yang akan digelar pada
Rabu 20 Januari 2021 pukul 09.30 -12.00 WITA.

--------------------------