Teknik Serangan Baru yang mem-bypass SEMUA produk keamanan Windows

Anda pengguna Windows?
Anda memastikan bahwa program antivirus Anda diperbarui secara teratur?
Anda merasa aman?
Seharusnya tidak!

Peneliti keamanan di Matousec.com telah menemukan sebuah teknik serangan berbahaya yang dapat mem-bypass setiap produk keamanan Windows yang telah diuji dan memungkinkan kode berbahaya menyusup ke sistem anda.



Ya, Benar! SEMUA produk keamanan Windows yang telah diuji. Dan daftar ini cukup panjang dan serius:

* 3D EQSecure Professional Edition 4.2
* avast! Internet Security 5.0.462

* AVG Internet Security 9.0.791

* Avira Premium Security Suite 10.0.0.536

* BitDefender Total Security 2010 13.0.20.347


* Blink Professional 4.6.1

* CA Internet Security Suite Plus 2010 6.0.0.272

* Comodo Internet Security Free 4.0.138377.779

* DefenseWall Personal Firewall 3.00

* Dr.Web Security Space Pro 6.0.0.03100

* ESET Smart Security 4.2.35.3


* F-Secure Internet Security 2010 10.00 build 246

* G DATA TotalCare 2010

* Kaspersky Internet Security 2010 9.0.0.736

* KingSoft Personal Firewall 9 Plus 2009.05.07.70

* Malware Defender 2.6.0

* McAfee Total Protection 2010 10.0.580


* Norman Security Suite PRO 8.0

* Norton Internet Security 2010 17.5.0.127

* Online Armor Premium 4.0.0.35

* Online Solutions Security Suite 1.5.14905.0

* Outpost Security Suite Pro 6.7.3.3063.452.0726

* Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION


* Panda Internet Security 2010 15.01.00

* PC Tools Firewall Plus 6.0.0.88

* PrivateFirewall 7.0.20.37

* Security Shield 2010 13.0.16.313

* Sophos Endpoint Security and Control 9.0.5

* ThreatFire 4.7.0.17


* Trend Micro Internet Security Pro 2010 17.50.1647.0000

* Vba32 Personal 3.12.12.4

* VIPRE Antivirus Premium 4.0.3272

* VirusBuster Internet Security Suite 3.2

* Webroot Internet Security Essentials 6.1.0.145

* ZoneAlarm Extreme Security 9.1.507.000


* Kemungkinan versi lain dari software yang tersebut di atas

* Kemungkinan produk perangkat lunak lainnya yang menggunakan kernel hook dalam mengimplementasikan fitur keamanan



Serangan itu merupakan suatu gerakan "umpan-dan-tukar" yang cerdas. Kode berbahaya akan diteruskan ke perangkat lunak keamanan untuk pemindaian (scanning), tetapi begitu diberi lampu hijau, ia akan ditukarkan dengan kode berbahaya. Serangan itu bekerja bahkan lebih ampuh pada sistem multi-core (dual core, core 2 duo, dan kawan2) karena satu thread tidak mengawasi thread lain yang berjalan secara bersamaan, membuat pertukaran tersebut lebih mudah.



Serangan tsb dinamai KHOBE (Kernel Hook Bypassing Engine), memanfaatkan sebuah modul yang disebut Windows System Service Descriptor Table, atau SSDT, yang dihubungkan ke kernel Windows. Sayangnya, SSDT digunakan oleh perangkat lunak antivirus.



Catatan: Masalah yang mempengaruhi SSDT sebenarnya telah dikenal sebelumnya tetapi belum dimanfaatkan oleh penyerang. Namun, karena sistem multi-core membuat serangan ini lebih dapat diandalkan, dan multi-core sekarang telah banyak digunakan, serangan ini sekarang menjadi ancaman yang lebih besar.




Oh, dan jangan berpikir bahwa hanya karena Anda berjalan sebagai user biasa (bukan Admin) maka Anda aman. Serangan ini tidak membutuhkan hak admin.



Namun, serangan ini membutuhkan banyak kode untuk bekerja, sehingga jauh dari ideal bagi penyerang. Namun, kemampuannya untuk menetralisir perangkat lunak keamanan cukup menakutkan. Saya berasumsi bahwa vendor keamanan di seluruh dunia kini berebut untuk memperbaiki masalah ini.



Beberapa vendor keamanan dunia mengklarifikasi bahwa berita ini terlalu dibesar2kan. Karena faktanya, teknik serangan ini hanya dapat berhasil jika digunakan oleh Malware yang tak terdeteksi oleh engine AntiVirus yang bersangkutan. Dengan kata lain, jika suatu malware menggunakan teknik ini, namun malware tersebut telah terdeteksi di signature sebuah AV, dapat dipastikan teknik ini tak dapat bekerja.



Klarifikasi tersebut memang sangat masuk akal, namun yang menjadi masalah adalah: Seberapa mampu produk keamanan menambahkan signature untuk mendeteksi SEMUA Malware yang perkembangannya seperti jamur di musim hujan itu? Pasti ada 1 atau 2 atau 5 varian yang berhasil tak terdeteksi :)

Dan lagipula, Malware selalu 1 langkah lebih maju dibanding AV, dikarenakan malware yang bersifat aktif dan sebaliknya AV yang bersifat reaktif. Thats the fact!! accept that.



Masihkah Anda merasa aman? WASPADALAH!!

di 8/17/2010 04:43:00 PM
Label: ,

1 komentar:

Anonim mengatakan...

aman,... lha wong ra tau online,.. ra tau colok flasdish,... pokoke gak neko-neko lah,...

18 Agustus 2010 pukul 10.02

Posting Komentar

 
© We - DOS studio10 Theme Copyright by Free Download Softwarez | Game | Movie | Tips | Trik | E-Book | Hacking | DLL | Template by We - DOS studio10 | Offical Site We - DOS studio10
Buat sahabat - sahabat We - DOS studio10 yang ingin request software, game, movie, tutorial, e-book dll silahkan ke Fans Page kami via Forum Diskusi Facebook dan laporkan jika ada link download yang bermasalah supaya bisa kami perbaiki | --[Don't talk about politic!!! i hate politics, i think you should do! NO PORN PLEASE! Segala hal yang berbau atau nyerempet ke pornografi atau vulgar tidak di perbolehkan]-- | terimakasih atas kunjungannya