SHARE

Tim peneliti keamanan dari perusahaan Cybellum, sebuah perusahaan pencegahan zero-day yang berbasis di Israel telah berhasil menemukan teknik baru untuk mengambil alih aplikasi antivirus dan Windows secara penuh melalui teknik yang mereka beri nama Double-agent.

Teknik ini dipakai untuk mengubah program antivirus yang seharusnya berperan mencegah virus atau malware untuk berjalan dan menginfeksi sistem menjadi malware itu sendiri sehingga mereka menyebutnya sebagai Double-agent.

sumber gambar: cybellum.com

Double-agent memanfaatkan celah keamanan yang telah ada sejak 15 tahun yang lalu yang berimbas pada hampir semua versi Windows mulai dari Windows XP sampai yang terbaru Windows 10.

Double-agent mengeksploitasi sebuah perangkat atau tools bawaan dari Windows yang bernama “Microsoft Application Verifier” yang berfungsi sebagai perangkat untuk memverifikasi runtime pada sebuah aplikasi atau perangkat lunak untuk menemukan dan memperbaiki bugs pada aplikasi tersebut.

Kemampuan ini kemudian dimanfaatkan untuk mengganti tools verifier aslinya dengan tools verifier yang telah dimodifikasi untuk kemudian menyisipkan kode DLL berbahaya kedalam aplikasi targetnya. Akibatnya, DLL berbahaya tersebut akan disisipkan kedalam semua proses aplikasi tersebut dan semua prosesnya dapat diambil alih dan dimanipulasi. Hal ini membuat aplikasi yang sebelumnya terlihat normal berubah menjadi berbahaya.

Berikut adalah list Antivirus yang telah dilakukan pengetesan oleh Tim dari Cybellum dan diketahui terdampak oleh vulnerability ini:

  • Avast (CVE-2017-5567)
  • AVG (CVE-2017-5566)
  • Avira (CVE-2017-6417)
  • Bitdefender (CVE-2017-6186)
  • Trend Micro (CVE-2017-5565)
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • Malwarebytes
  • McAfee
  • Panda
  • Quick Heal
  • Norton

Setelah diinfeksi dengan DLL berbahaya, aplikasi antivirus tersebut kemudian dapat diubah menjadi malware, memanipulasi perilaku aplikasi antivirus untuk kemudian menginstall backdoor, menghubungi server C&C, sampai yang paling parah dapat dipakai untuk mencuri data-data pengguna.

Microsoft sendiri sebelumnya telah menyediakan konsep baru untuk menggantikan Microsoft Application Verifier ini yang bernama “Protected Process” yang memang dibuat khusus untuk aplikasi antivirus. Protected Process memiliki kemampuan untuk hanya menerima kode yang dipercaya dan ditandatangani sehingga dapat mencegah percobaan teknik serangan Double-agent yang memanfaatkan proses code injection.

Berikut adalah video Proof of Concept (POC) dari teknik Double-agent ini, kode sumber aplikasinya juga telah dirilis pada Github (link ada dibawah)

Referensi:
DoubleAgent: Taking Full Control Over Your Antivirus
Unpatchable ‘DoubleAgent’ Attack Can Hijack All Windows Versions — Even Your Antivirus!
DoubleAgent: Zero-Day Code Injection and Persistence Technique
DoubleAgent – Github

Tinggalkan komentar

Berikan komentar