Peneliti keamanan telah menemukan cara baru yang
memungkinkan malware untuk menyuntikkan kode berbahaya ke proses lain tanpa
terdeteksi oleh program antivirus dan sistem keamanan endpoint lainnya.
Metode baru ditemukan oleh para peneliti dari perusahaan
keamanan Ensilo yang dijuluki itu AtomBombing karena mengandalkan Windows
mekanisme tabel atom. Tabel ini khusus disediakan oleh sistem operasi dan dapat
digunakan untuk berbagi data antara aplikasi.
"Apa yang kami temukan adalah bahwa aktor ancaman dapat
menulis kode berbahaya ke dalam tabel atom dan memaksa program yang sah untuk
mengambil kode berbahaya dari meja," kata Ensilo peneliti Tal Liberman
dalam posting blog. "Kami juga menemukan bahwa program yang sah, sekarang
yang berisi kode berbahaya, dapat dimanipulasi untuk mengeksekusi kode
itu."
Teknik ini kode-injeksi baru saat ini tidak terdeteksi oleh
antivirus dan program keamanan endpoint karena didasarkan pada fungsi yang sah,
menurut Liberman. Juga, mekanisme tabel atom hadir di semua versi Windows dan
itu bukan sesuatu yang bisa ditambal karena itu bukan kerentanan.
program malware menggunakan teknik injeksi kode untuk
berbagai alasan. Misalnya, Trojans perbankan menyuntikkan kode berbahaya ke
dalam proses browser untuk memantau dan memodifikasi situs lokal ditampilkan -
biasanya perbankan website. Hal ini memungkinkan mereka untuk mencuri
kredensial login dan rincian kartu pembayaran atau untuk diam-diam mengarahkan
transaksi ke rekening mereka.
Kode injeksi juga dapat digunakan untuk memotong pembatasan
yang memungkinkan data tertentu untuk diakses hanya oleh proses tertentu.
Sebagai contoh, dapat digunakan untuk mencuri password terenkripsi dari
aplikasi lain atau untuk mengambil screenshot dari desktop pengguna jika proses
malware itu sendiri tidak memiliki hak istimewa yang diperlukan.
Hanya ada beberapa teknik injeksi kode yang terkenal dan
banyak produk keamanan endpoint sudah memiliki mekanisme untuk mendeteksi
mereka.
Namun, "menjadi teknik kode injeksi baru, AtomBombing
bypass [antivirus] dan solusi pencegahan penyusupan endpoint lainnya,"
kata Liberman.
Bahkan jika serangan itu tidak mengeksploitasi kerentanan
software, vendor keamanan bisa mendeteksi dan memblokir payload berbahaya, kata
Liviu Arsene, seorang analis senior e-ancaman pada BitDefender. Jika payload
tidak dijalankan dan mencoba untuk menyuntikkan kode berbahaya ke dalam
aplikasi yang sah upaya masih bisa terdeteksi dan diblokir karena vendor
keamanan sering memantau proses dan jasa di seluruh seumur hidup eksekusi
mereka, katanya.
Untuk membantu menghindari infeksi malware, Microsoft
mendorong pelanggan untuk berlatih kebiasaan komputasi baik online, termasuk
berolahraga hati-hati saat mengklik link ke halaman web, membuka file yang
tidak diketahui, atau menerima transfer file, kata seorang wakil Microsoft
dalam sebuah pernyataan email. "Sebuah sistem harus sudah dikompromikan
sebelum malware dapat memanfaatkan teknik kode-injection."
