Virus Suicide Ini Sanggup Menghancurkan Pc Anda
Pada bulan Mei, beberapa situs media menerbitkan laporan yang menyampaikan bahwa jenis malware gres sanggup dipakai untuk menghancurkan komputer korban. Meskipun laporan tersebut mungkin menawarkan peringkat yang efektif, telah dikonfirmasi bahwa kekhawatiran dan keraguan yang mereka timbulkan bekerjsama tidak membantu. Untungnya, banyak profesional keamanan dan peretasan, menyerupai Graham Cluley, cepat mengoreksi persepsi palsu yang dikembangkan artikel ini, memungkinkan kami menemukan ancaman, yang dikenal sebagai Rombertik.
Perusahaan perangkat lunak ini tahu bahwa Tripwire mengakui Rombertik sebagai pola malware yang menarik, terutama lantaran sikap anti-penelitiannya. Mari kita periksa ancaman dengan menjelajahi cara memanfaatkan masing-masing dari empat metode pengelakan paling sering yang diterapkan oleh malware: kesadaran eksternal, sumber daya otomatis yang membingungkan, penghindaran bergantung waktu, dan data internal yang membingungkan.
KESADARAN EKSTERNAL
Pertama, tindakan ambigu atau kesadaran eksternal terkait dengan kemampuan sampel malware, termasuk Rombertik, untuk mengevaluasi keadaan PC yang dicoba dicemari.
Selanjutnya, analis risiko Talos Security Group (TSG), Ben Baker dan Alex Chiu, memposting laporan wacana sikap menghindar Rombertik. Temuan khusus mereka menyimpulkan, di antara faktor-faktor lain, bahwa malware mengimplementasikan garis inspeksi untuk mengidentifikasi apakah itu beroperasi di sekitar kotak pasir. Setelah eksekusi, Rombertik memulai putaran investigasi sebelum menginstal sendiri pada komputer korban. Ini kemudian meluncurkan duplikat kedua dari malware, yang ditimpa oleh operasi utama malware. Sebelum malware diaktifkan, ia melaksanakan serangkaian inspeksi suplemen untuk memilih apakah itu berjalan di memori. Jika filter penjaga terakhir ini, malware melaksanakan upaya untuk menimpa Master Boot Record (MBR) dan mem-boot ulang perangkat, secara efektif membuat komputer tidak berguna.
Pada dasarnya, itu yaitu kemampuan Rombertik untuk menimpa Master Boot Record yang menyulut gosip spekulatif yang terkandung dalam artikel yang dipermasalahkan. Namun, bahkan pada ketika itu, umumnya ada lebih banyak pada ukuran pelindung ini daripada apa yang memenuhi mata. Bahkan, beberapa hari sehabis rilis laporan Cisco, perusahaan keamanan Symantec menerbitkan sebuah artikel di halaman web Respons Keamanan mereka di mana itu menjelaskan bagaimana Rombertik, pada kenyataannya, versi terbaru dari perangkat crimeware gelap pasar yang dikenal sebagai Carbon Form- Orang bakhil. Dalam ringkasan khusus ini, kemampuan Rombertik untuk menimpa Master Boot Record mungkin beroperasi lebih sedikit sebagai tindakan pengimbangan versus profesional keamanan, dan lebih sebagai faktor penghambat bagi penyerang yang kurang berpengalaman yang mungkin mencari cara untuk mengubah isyarat malware.
Sebagai dukungan tambahan, Rombertik menyuntikkan dirinya ke dalam browser korbannya untuk membantu menyembunyikan dirinya. Sebagaimana dijelaskan oleh Joe Giron, lantaran itu malware terus menerus melalui operasi browser web untuk mengaitkan seorang jago keamanan dari Last Line Labs. Jika Rombertik mengidentifikasi bahwa memori peramban terdiri dari pengait, ini mungkin disebabkan oleh pekerjaan kotak pasir.
PERPLEXING AUTOMATED RESOURCES
Perangkat lunak perusak ini juga memanfaatkan sumber daya otomatis yang membingungkan sehingga sanggup membuat sarana untuk menghindari pengakuan. Malware kemudian menulis byte data arbitrer untuk menyimpan sekitar sembilan ratus dan enam puluh juta kali. Metode khusus ini mengaburkan kotak pasir. Karena mereka tidak sanggup mengidentifikasi, terlepas dari apakah itu mengulur-ulur lantaran malware tidak tidur, banyak sandbox kesudahannya keluar analisis mereka sebelum Rombertik dimulai untuk memperlihatkan sikap jahat. Selain itu, jenis-jenis lintas stalling banjir dan alat pelacakan dengan entri log, mempersulit proses analisis sementara sikap berbahaya terlihat.
Rombertik menjalankan isyarat stalling, yang merupakan bukti bagaimana seni administrasi jahat telah berevolusi seiring dengan langkah-langkah jawaban yang dipakai oleh personel keamanan. Beberapa metode pertama yang dipahami oleh malware yaitu untuk mengkode dan mengenkripsi. Taktik ini memotivasi perusahaan-perusahaan AV untuk mengadopsi analisis yang kuat, yang pada gilirannya mendorong penyerang merancang malware dengan kesadaran eksternal dalam pikiran. Pada ketika peneliti keamanan menanggapi dengan menganalisis bagaimana isyarat jadwal jahat berjalan di lingkungan virtual dan nyata, suatu kemajuan yang membawa kita pada fase ketika ini di mana pembuat malware memasukkan isyarat tunggu atau stalling sebagai metode untuk menutup analisis ini. Jelas, Rombertik telah mendapat perhatian dari komunitas ingin tau malware lantaran memanfaatkan perkembangan ketika ini.
PENGGUNAAN WAKTU DEPENDEN
Time Dependent Evasion mungkin yaitu seni administrasi yang paling tidak terperinci dalam tindakan Rombertik. Menurut Symantec, malware menghasilkan file “% SystemDrive% \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup [RANDOM CHARACTERS] .vbs,” yang memastikan bahwa isyarat sanggup dijalankan setiap kali Windows melaksanakan booting. Namun, tidak banyak yang diketahui, lantaran sebagian besar klarifikasi telah menargetkan karakteristik mengelak Rombertik yang tersisa.
BAFFLING INNER DATA
Cukup banyak teknik mengelak terakhir yang umumnya dipakai oleh malware yaitu sumber daya jadwal yang membingungkan. Di sini Rombertik membuat penggunaan isyarat sampah untuk membantu menyembunyikan beberapa fungsi terpentingnya. Percayalah ketika saya mengatakan, Baker dan Chiu menemukan bahwa sekitar sembilan puluh tujuh persen file yang dikemas terdiri dari tujuh puluh lima gambar dan kira-kira delapan ribu fungsi yang sama sekali tidak digunakan. Pendekatan yang satu ini memungkinkan pembuat malware untuk menyembunyikan banyak file Rombertik utama, yang hanya berukuran dua puluh delapan kilobyte, sehingga menyulitkan analis dan alat otomatis untuk menganalisis setiap fungsi dari malware ini.
KESIMPULAN
Memberikan kemampuannya untuk menimpa Master Boot Record yang mengesampingkan kondisi spesifik, penggunaannya baik isyarat sampah dan stalling, dan permulaannya setiap kali Windows dimulai, membuat kita percaya bahwa Rombertik yaitu penguasa penghindaran. Kemudian lagi mustahil ini menyiratkan bahwa teknik persembunyiannya sempurna. Para peneliti di Symantec menemukan titik kunci publik RSA yang memungkinkan para peneliti untuk mencegah memicu Rombertik ke pencucian Master Boot Record. Selain itu, ketika menyelidiki malware, kotak pasir Symantec tidak terdeteksi oleh Rombertik. Tersebut keduanya mendorong kemajuan. Malware mungkin berubah dengan kaitannya dengan penggunaan sikap tersembunyi, tetapi pasar keamanan mengikuti. Setiap hari, pakar keamanan merancang teknik gres untuk memenuhi ancaman yang muncul ini, dan setiap hari, individu online mengalami laba dengan menikmati dukungan dan keamanan tambahan.