Minggu Keamanan 08: virus kembali

Saat membahas ancaman komputer, "malware" sering disebut malware apa pun, tetapi ini tidak sepenuhnya benar. Virus klasik adalah fenomena era pra-Internet, ketika informasi ditransfer antar komputer terutama pada disket, dan untuk distribusi kode berbahaya perlu "melampirkan" ke file yang dapat dieksekusi. Pekan lalu, para ahli Lab Kaspersky menerbitkan sebuah studi tentang virus KBOT. Menyebar dengan menginfeksi file yang dapat dieksekusi dan merupakan virus hidup pertama yang terlihat di alam liar dalam beberapa tahun terakhir.

Terlepas dari metode infeksi yang telah teruji oleh waktu, fungsionalitas malware ini cukup mutakhir: mencuri data pembayaran dan kata sandi dan kemudian mengunduhnya ke server perintah, menyediakan akses jarak jauh ke komputer yang terinfeksi menggunakan protokol RDP standar. Jika perlu, KBOT dapat mengunduh modul tambahan dari server, dengan kata lain, KBOT menyediakan kontrol penuh atas sistem. Semua ini adalah perangkat standar pria cyberattack modern, tetapi di sini kita juga berurusan dengan infeksi destruktif file exe.

Setelah memulai file yang terinfeksi, KBOT diperbaiki dalam sistem, mendaftar sendiri di startup dan penjadwal tugas. Studi ini menjelaskan secara rinci proses infeksi file yang dapat dieksekusi: virus memodifikasinya sehingga fungsi asli dari program tidak terpelihara. Karena itu, file dimodifikasi hanya pada drive logis plug-in: media eksternal, drive jaringan, dan sebagainya, tetapi tidak pada partisi sistem, jika tidak, bukannya pencurian data, OS akan sepenuhnya tidak beroperasi. Antara lain, KBOT adalah virus polimorfik, yaitu, ia mengubah kode setiap kali file terinfeksi.

Virus ini paling sering ditemukan di Rusia dan Jerman, tetapi jumlah total serangan relatif kecil. KBOT dan modulnya dideteksi oleh solusi Lab Kaspersky seperti Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b dan Trojan-PSW.Win32.Coins .nav. Pendekatan distribusi tradisional dalam malware ini menarik, tetapi belum tentu efektif. Pertama, menyimpan file yang dapat dieksekusi di media eksternal sekarang menjadi pengecualian daripada aturan. Kedua, jika kerusakan data pada hard disk adalah normal untuk virus 30 tahun yang lalu, sekarang tugas cybercriminal adalah untuk mendapatkan akses ke data pribadi tanpa diketahui selama mungkin. Kerusakan executable tidak berkontribusi pada stealth.

Apa lagi yang terjadi

Kerentanan kritis ditemukan di plugin Persetujuan Cookie GDPR untuk Wordpress, add-on sederhana untuk menampilkan pesan seperti "kami menggunakan cookie di situs web kami". Bug ini memungkinkan setiap pengguna yang terdaftar di Wordpress untuk mendapatkan hak administrator. Masalahnya sangat berbahaya di situs dengan registrasi terbuka, misalnya, untuk mengomentari publikasi. Sekitar 700 ribu situs terpapar.

Studi F-Secure tentang peretasan smart speaker Amazon Alexa diterbitkan . Para spesialis terhubung ke antarmuka debug kolom yang biasa, di-boot dari media eksternal (kartu SD yang terhubung ke pin pada antarmuka yang sama untuk debugging) dan memperoleh akses ke sistem file pada perangkat. Skenario ini memungkinkan Anda menginstal malware di kolom.

Rilis browser Firefox 73 menutup beberapa kerentanan serius, termasuk setidaknya satu dengan kemampuan untuk mengeksekusi kode arbitrer ketika mengunjungi situs web "siap".

Palo Alto Networks telah menyelidiki contoh-contoh konfigurasi Docker yang tidak aman . Melalui Shodan, contoh server Docker Registry yang tidak aman ditemukan. Dengan demikian, gambar Docker sendiri dan aplikasi yang tersimpan di dalamnya tersedia. Lima ratus malware telah dihapus

dari toko ekstensi untuk browser Google Chrome : mereka semua mengumpulkan data pengguna dan mengarahkan korban ke situs-situs untuk infeksi komputer selanjutnya. Malwarebytes memberi tahu

tentang contoh menarik dari program jahat untuk Android, yang dipulihkan setelah pengaturan ulang perangkat.