idNSA.id – Security weakness yang signifikan telah ditemukan dalam aplikasi perangkat lunak yang dapat memungkinkan penyerang untuk menonaktifkannya. Selain itu, aplikasi ini dapat digunakan untuk mengontrol aplikasi yang diizinkan dan melakukan tindakan yang dilarang. Dengan cara ini, penyerang tidak hanya dapat melewati pertahanan anti-ransomware tetapi juga dapat menggunakannya untuk melakukan attack.
Peneliti dari University of London dan University of Luxembourg memberikan informasi rinci mengenai jenis serangan ini. Serangan ini diberi nama Cut-and-Mouse dan Ghost Control.
Serangan Cut-and-Mouse, para peneliti berusaha menyalahgunakan fitur folder yang dilindungi dari program antivirus untuk mengenkripsi file. Serangan Ghost Control dapat menonaktifkan perlindungan real-time dari program antivirus ini dengan mensimulasikan klik mouse.
Biasanya, sekelompok kecil aplikasi yang masuk whitelisted, seperti Notepad, diberikan hak istimewa untuk menulis ke folder yang dilindungi. Namun, aplikasi ini sendiri tidak dilindungi dari penyalahgunaan oleh aplikasi lain.
Serangan tersebut menunjukkan fakta bahwa jenis trusted ini tidak dapat dibenarkan karena bad tools atau malware dapat digunakan untuk melakukan operasi yang dilarang pada folder yang dilindungi dengan menggunakan aplikasi yang masuk sebagau whitelisted sebagai perantara.
Para peneliti mengevaluasi total 29 solusi antivirus, yang semuanya ditemukan rentan terhadap serangan Cut-and-Mouse, sementara 14 di antaranya ditemukan rentan terhadap serangan Ghost Control, dikutip dari postingan cyware.
Peneliti membuat skenario serangan yang menunjukkan bahwa malicious code dapat digunakan untuk mengontrol aplikasi tepercaya seperti Paint dan Notepad. Ini dapat disalahgunakan untuk melakukan operasi tulis dan mengenkripsi file korban yang disimpan di folder yang dilindungi.
1. Ransomware dapat membaca file dalam folder, mengenkripsinya di memori, dan kemudian menyalinnya ke clipboard sistem. Setelah ini, Notepad dapat dieksekusi untuk menimpa isi folder dengan data clipboard.
2. Selain itu, dengan menggunakan Paint sebagai aplikasi tepercaya, urutan serangan yang sama dapat digunakan untuk menimpa file pengguna dengan gambar yang dibuat secara acak untuk merusaknya secara permanen.
Pembuat malware terus berusaha menyelinap melewati pertahanan keamanan dan penemuan skenario serangan seperti ini dapat membantu mendapatkan kekuatan baru. Lebih lanjut, ini menunjukkan bahwa di bidang keamanan siber, tidak ada yang harus diterima begitu saja dan pengguna perlu melindungi diri mereka sendiri dengan keamanan berlapis untuk mengurangi risiko serangan inovatif tersebut.
