Peringatan Windows 10: Berkembang Varian Trojan Baru Dapat Nonaktifkan Windows Defender

Top Ad

INIPASTI.COM, Artikel kali ini mengusung sebuah ulasan penting dari Davey Winder, kontributor senior majalah Forbes, terkait kekhawatiran akan munculnya ancaman keamanan baru bagi pengguna windows 10. Dikutip dan diterjemahkan dari forbes.com berikut ini.

Trickbot bukanlah ancaman baru, tetapi ancaman yang terus berkembang. Sentuhan terbaru dari pisau Trojan perbankan sejauh pengguna Windows 10 yang bersangkutan adalah penambahan metode baru untuk tidak hanya menghindari tetapi sebenarnya menonaktifkan perlindungan keamanan Windows Defender.

Inline Ad

Seperti yang dilaporkan pada 14 Juli di Forbes, Trickbot adalah Trojan perbankan yang sangat tersembunyi yang telah ada sejak 2016. Sejak itu, diperkirakan telah mengkompromikan tidak kurang dari 250 juta akun email dalam upaya untuk mendistribusikan muatan malware. Payload itu termasuk mencuri kredensial perbankan online dan dompet cryptocurrency.

Microsoft selalu menjadi yang terdepan dan utama sejauh menyangkut kampanye serangan Trickbot, dengan file Word dan Excel yang dipersenjatai menjadi pendekatan yang disukai. The kampanye terbaru menargetkan pengguna Windows 10 dan menerapkan sangat rinci dan meyakinkan, tapi palsu tetap, Office 365 halaman untuk meminta pembaruan browser menginstal Trojan itu sendiri.

Menonaktifkan Windows Defender

Tetapi hal-hal yang sangat tersembunyi, dan apa yang menandai Trickbot sebagai salah satu Trojan yang lebih berbahaya di alam liar sekarang, adalah bagaimana ia menargetkan para pengguna Windows 10 yang mengandalkan Windows Defender untuk melindungi mesin mereka dari ancaman malware. Sudah menjadi benang merah, setidaknya di antara malware yang lebih canggih yang terlihat selama bertahun-tahun, untuk menggunakan berbagai metodologi untuk menghindari deteksi oleh perangkat lunak keamanan dan karenanya mencegah dikebiri.

Akan tetapi, Trickbot akan mencapai jarak malware ekstra, dan tidak hanya mendeteksi Windows Defender tetapi menggunakan tidak kurang dari 17 langkah dalam upaya untuk menonaktifkannya sama sekali.

Bleeping Computer melaporkan bahwa setelah dieksekusi, Trickbot mencoba untuk menonaktifkan dan menghapus layanan WinDefend, menghentikan proses yang terkait dengan Windows Defender, menambahkan kebijakan Windows untuk menonaktifkan Windows Defender, menonaktifkan perlindungan real-time Windows Defender dan menonaktifkan pemberitahuan keamanan.

Namun, itu tampaknya belum cukup berhasil, dan para pengembang Trickbot Trojan sekarang telah menambahkan langkah-langkah lebih lanjut dalam upaya mereka untuk mencegah Windows Defender melindungi pengguna Windows 10 dari ancaman ini.

Laporan Bleeping Computer mengungkapkan bahwa para peneliti MalwareHunterTeam dan Vitali Kremez merekayasa balik varian Trickbot yang baru ditemukan dan menemukan itu telah menambahkan selusin metode lebih lanjut ke gudang persenjataan. “Metode-metode ini menggunakan pengaturan Registry atau perintah Set-MpPreference PowerShell untuk mengatur preferensi Windows Defender,” Bleeping Computer melaporkan.

Bisakah Trickbot dihentikan?

John Opdenakker, peretas etis, mengatakan bahwa praktik umum terbaik seperti memblokir akses ke Windows Registry dan memastikan bahwa pengguna tidak memiliki hak admin secara default membuat saran mitigasi yang baik. Namun, itu “tergantung pada seberapa canggih malware tertentu,” Opdenakker menambahkan, “dan Trickbot tampaknya melakukan peningkatan untuk mendapatkan hak istimewa sistem yang lebih tinggi setelah dieksekusi.”

Lalu ada AppLocker, sesuatu yang termasuk dalam Windows 10 tetapi jarang digunakan oleh rata-rata pengguna.

Menurut dokumentasi resmi Microsoft , “AppLocker membantu Anda mengontrol aplikasi dan file mana yang dapat dijalankan pengguna. Ini termasuk file yang dapat dieksekusi, skrip, file Pemasang Windows, perpustakaan tautan dinamis (DLL), aplikasi yang dikemas, dan pemasang aplikasi yang dikemas. “

Ian Thornton-Trump, kepala cybersecurity untuk Amtrust International, mengatakan bahwa mempertimbangkan AppLocker diinstal dan tersedia, “Saya hanya tidak mengerti mengapa lebih banyak orang tidak menggunakannya untuk memungkinkan hanya perangkat lunak resmi yang berjalan pada titik akhir.”

Seperti yang ditunjukkan oleh Thornton-Trump, aturan umum yang digunakan untuk melindungi sistem Anda adalah “mengapa membuatnya mudah?” Dan ia menyimpulkan “setelah semua, jika Anda dapat memuat font maka Anda dapat memuat eksploit.”

Juga telah ditunjukkan kepada saya bahwa Windows ” Tamper Protection ” memblokir upaya untuk memodifikasi pengaturan Windows Defender melalui registri dan dihidupkan secara default. Ini harus mencegah sebagian besar langkah-langkah baru yang digunakan oleh Trickbot menjadi efektif.

Vitali Kremez, salah satu peneliti yang bertanggung jawab untuk rekayasa terbalik Trickbot, mengkonfirmasi bahwa ini efektif dalam menonaktifkan Windows Defender. Namun, Kremez juga memberi tahu saya bahwa “itu tidak benar-benar memotong perlindungan tamper pada Windows 10,” yang berarti bahwa selama ini belum dinonaktifkan “pengguna pada Windows 10 harus relatifaman dari dinonaktifkannya Windows Defender mereka.”

Seorang juru bicara Microsoft mengeluarkan pernyataan berikut: “Versi terbaru Windows Defender melindungi dari varian malware Trickbot ini. Pelanggan yang menerapkan pembaruan, atau mengaktifkan pembaruan otomatis, akan dilindungi. Kami terus mendorong pelanggan untuk mengaktifkan pembaruan otomatis untuk membantu memastikan mereka terlindungi. “

Kremez memperingatkan bahwa “TrickBot memiliki lebih banyak cara dan metode kegigihan untuk tetap tidak terdeteksi,” jadi ini tidak boleh dilihat sebagai izin untuk pengguna Windows 10. Mereka yang telah menonaktifkan perlindungan perusak, mungkin untuk menghindari konflik dengan aplikasi keamanan pihak ketiga, tentu berisiko.

Saya juga telah diberi tahu oleh Kremez bahwa artikel Forbes dan laporan DeepInstinct yang dirujuknya, yang merujuk pada 250 juta akun email yang dikompromikan tidak benar. “Kami menemukan itu jauh sebelumnya,” kata Kremez, menambahkan “grup TrickBot tidak mengkompromikan 265 juta (jumlah aktual) akun email, tetapi mereka mengumpulkan kotak-kotak email itu.” Judul cerita ini telah diubah untuk mencerminkan hal ini informasi yang baru diungkapkan.

Davey Winder/forbes.com

(ul)

Bottom ad

Leave a Reply