idNSA.id - Operator malware yang ingin mengetahui lokasi korban yang telah terinfeksi biasanya mengandalkan teknik sederhana di mana mereka mengambil alamat IP korban dan memeriksanya dengan database IP-to-geo seperti MaxMind's GeoIP untuk mendapatkan perkiraan lokasi geografis korban.
Meskipun teknik ini tidak terlalu akurat, ini masih merupakan metode paling andal untuk menentukan lokasi fisik aktual pengguna berdasarkan data yang ditemukan di komputer mereka.
Namun, dalam sebuah posting blog bulan lalu, Xavier Mertens, seorang peneliti keamanan dengan SANS Internet Storm Center, mengatakan telah menemukan jenis malware baru yang menggunakan teknik lainnya.
Teknik ini bergantung pada pengambilan BSSID pengguna yang terinfeksi. Dikenal sebagai "Basic Service Set Identifier," BSSID pada dasarnya adalah alamat fisik MAC dari router nirkabel atau titik akses yang digunakan pengguna untuk terhubung melalui WiFi.
Anda dapat melihat BSSID di sistem Windows dengan menjalankan perintah:
netsh wlan show interfaces | find “BSSID”
Mertens mengatakan malware yang dia temukan mengumpulkan BSSID dan kemudian memeriksanya dengan database free BSSID-to-geo yang dikelola oleh Alexander Mylnikov.
Basis data ini adalah kumpulan BSSID yang diketahui dan lokasi geografis terakhir tempat mereka terlihat.
Jenis database ini cukup umum akhir-akhir ini dan biasanya digunakan oleh operator aplikasi seluler sebagai cara alternatif untuk melacak pengguna ketika mereka tidak bisa mendapatkan akses ke data lokasi ponsel secara langsung (yaitu, lihat WiGLE, salah satu layanan paling populer yang digunakan untuk jenis konversi BSSID-ke-geo ini).
Memeriksa BSSID terhadap basis data Mylnikov akan memungkinkan malware untuk secara efektif menentukan lokasi geografis fisik dari titik akses WiFi yang digunakan korban untuk mengakses internet, yang merupakan cara yang jauh lebih akurat untuk menemukan posisi geografis korban.
Menggunakan kedua metode secara bersamaan memungkinkan operator malware untuk mengonfirmasi bahwa kueri geolokasi berbasis IP awal sudah benar dengan metode BSSID.
Operator malware biasanya memeriksa lokasi korban karena beberapa kelompok ingin menjadikan korban hanya di dalam negara tertentu (seperti operasi yang disponsori negara) atau mereka tidak ingin menginfeksi korban di negara asalnya (untuk menghindari menarik perhatian lokal. penegakan hukum dan menghindari penuntutan).
Namun, database IP-ke-geo dikenal karena hasil yang sangat tidak akurat, karena perusahaan telekomunikasi dan pusat data cenderung memperoleh atau menyewa blok alamat IP di pasar bebas. Hal ini menyebabkan beberapa blok IP ditetapkan ke organisasi yang berbeda di wilayah lain dari pemilik awal / sebenarnya.
Menggunakan metode BSSID untuk memeriksa ulang lokasi geografis korban tidak banyak digunakan saat ini, tetapi teknik ini memiliki manfaat yang jelas bahwa operasi malware lainnya pasti akan menghargai dan memutuskan untuk menggunakannya di masa mendatang.
Redaktur: Hendro Prasetyo
