Peneliti keamanan dari CyberArk telah menemukan teknik baru yang memungkinkan malware untuk menerobos Windows Defender, software keamanan standar yang ada di sistem operasi Windows.
Teknik baru ini memiliki nama panggilan Illusion Gap, yang mengandalkan gabungan dari dua serangan social engineering dan penggunaan server SMB. Serangan ini mengeksploitasi pilihan bagaimana Windows Defender memindai file yang tersimpan pada server SMB sebelum eksekusi.
Agar Illusion Gap dapat bekerja, penyerang harus menyakinkan pengguna untuk mengeksekusi file yang di-host di server SMB dibawah kendalinya. Mungkin hal ini terdengar rumit, tetapi serangan ini dapat dilakukan dengan file shortcut yang sederhana.
Bagaimana Illusion Gap Bekerja?
Masalah terjadi setelah pengguna mengklik dua kali file shortcut yang berbahaya ini. Secara default, Windows akan meminta server SMB salinab file untuk task membuat proses yang mengeksekusi file, sementara Windows Defender akan meminta salinan file tersebut untuk memindainya.
Server SMB dapat membedakan antara dua pemintaan tersebut, dan ini adalah masalah karena hakcer dapat mengkonfigurasi server SMB jahat mereka untuk merespon dua file yang berbeda.
Hacker dapat mengirim file berbahay ke Windows PE Loader, dan file jinek ke Windows Defender. Setelah Windows Defender memindai file yang bersih dan memberi lampu hijau, Windows PE Loader akan mengeksekusi file berbahaya tanpa Windows Defender yang menyadari bahwa file tersebut adalah dua hal yang berbeda.
Sekali lagi saya menyarankan untuk menggunakan software antivirus tambahan dan jangan pernah mengklik link sembarang, karena bisa membawa kita ke halaman website berbahaya.
Jakartawebhosting.com menyediakan layanan Windows Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.