Awas! Malware Ini Lebih Berbahaya Dibanding WannaCry

Baru-baru ini, seorang peneliti Internet Security dari Kroasia yang merupakan anggota tim tanggap darurat komputer pemerintah Kroasia (CERT) telah menemukan malware berbahaya baru yang lebih kuat daripada WannaCry. Malware tersebut bernama EternalRocks.

EternalRocks adalah virus varian baru dan lebih kuat yang baru-baru ini ditemukan oleh pakar keamanan dunia maya, Miroslav Stampar. Virus malware tersebut diklaim lebih kuat dibanding WannaCry, malware yang menginfeksi komputer di lebih dari 150 negara pada pertengahan bulan Mei.

Baca : Bahaya Virus Ransomware Bisa Memeras Korbannya dan Ini Cara Mencegahnya

Malware EternalRocks mampu menyebarkan dirinya sendiri dengan memanfaatkan kelemahan protokol berbagi file SMB pada Windows. Namun tidak seperti WannaCry Ransomware, EternalRocks tidak tanggung-tanggung menggunakan 7 tools hacking NSA yang sebelumya pada WannaCry hanya menggunakan 2 tools hacking NSA.

Tidak seperti WannaCry, EternalRocks tampaknya dirancang agar berfungsi secara diam-diam untuk memastikannya tetap tidak terdeteksi pada sistem yang terinfeksi.

Berikut ini alat hacking NSA yang digunakan oleh EternalRocks, yang oleh Stampar disebut “DoomsDayWorm” melalui akun twitternya

EternalBlue – alat eksploitasi SMBv1
EternalRomance – alat eksploitasi SMBv1
EternalChampion – alat eksploitasi SMBv2
EternalSynergy – alat eksploitasi SMBv3
SMBTouch – alat pengintai SMB
ArchTouch – alat pengintai SMB
DoublePulsar – Trojan Backdoor

SMBTouch dan ArchTouch adalah alat pengintai SMB, yang dirancang untuk memindai port SMB terbuka di internet umum.

Sedangkan EternalBlue, EternalChampion, EternalSynergy dan EternalRomance adalah eksploitasi SMB, yang dirancang untuk mengeksploitasi komputer Windows yang rentan. DoublePulsar kemudian digunakan untuk menyebarkan worm dari satu komputer yang terkena dampak ke komputer rentan lainnya di jaringan yang sama.

Stampar menemukan bahwa EternalRock menyamar sebagai WannaCry untuk mengelabui para periset keamanan, namun bukannya mendapatkan uang tebusan, ia mendapat kontrol tidak sah terhadap komputer yang terkena dampak untuk meluncurkan serangan cyber di masa depan.

Cara Kerja Serangan Malware EternalRocks:

Instalasi EternalRocks berlangsung dalam proses dua tahap.

Selama tahap pertama, EternalRocks mendownload browser web Tor pada komputer yang terkena dampak, yang kemudian digunakan untuk terhubung ke server perintah dan kontrol (C & C) yang terletak di jaringan Tor di DeepWeb .

Tahap tersebut juga diikuti instalasi UpdateInstaller.exe dan mendownload komponen NET yang diperlukan. Tahap selanjutnya TaskScheduler dan SharpZLib akan diunduh dari Internet, sambil menginfeksi svchost.exe dan taskhost.exe

Kemudian pada tahap kedua akan ada penundaan selama 24 jam dalam upaya menghindari teknik sandboxing dan membuat infeksi tidak terdeteksi.

Setelah 24 jam, EternalRocks merespons server C & C dengan arsip berisi tujuh tools hacking dan menyerang Windows SMB.

Komponen svchost.exe digunakan untuk mendownload, membongkar dan menjalankan Tor dari archive.torproject.org bersama dengan komunikasi C & C (ubgdgno5eswkhmpy.onion) yang meminta instruksi lebih lanjut (misal: pemasangan komponen baru).

Semua tujuh eksploitasi SMB kemudian diunduh ke komputer yang terinfeksi. EternalRocks kemudian memindai internet untuk membuka port SMB untuk menyebarkan dirinya ke komputer yang rentan lainnya.