Hacker Temukan Cara Bebaskan Malware dari "Penjara" Antivirus

KOMPAS.com- Aplikasi antivirus sejatinya diciptakan untuk melindungi perangkat digital dari serangan virus dan malware. Namun, peranti lunak pelindung tersebut justru digunakan untuk tujuan lain yang berkaitan dengan perusakan atau pencurian data pengguna.

Baru-baru ini, seorang auditor keamanan asal Austria, Florian Bogner menemukan modus penyalahgunaan antivirus melalui rekayasa pada fitur "restore from quarantine" (pemulihan dari karantina). Metode penyerangan tersebut dinamai AVGater.

Rekayasa ini memungkinkan hacker untuk mengakses file yang telah dikarantina oleh aplikasi antivirus dan melepaskannya lagi ke sistem. Ibarat penjahat yang dipenjara di kurungan besi kemudian kabur dibebaskan oleh rekannya.

Dalam video berdurasi 23 detik, Bogner menjelaskan secara singkat bagaimana AVGater bekerja dan merekayasa antivirus.

Sebuah antivirus bila mendeteksi adanya malware pada sebuah file, secara otomatis file tersebut akan dimasukkan ke dalam folder karantina.

Setelah "dikurung", file tersebut seharusnya tidak dapat aktif lagi, tidak dapat menginfeksi atau menyerang sistem perangkat. Namun oleh hacker, "penjara" file tersebut bisa dibobol.

Caranya dengan memanfaatkan kelemahan sistem file Windows NTFS yang memungkinkan hacker memindahkan file di folder karantina ke tempat yang diinginkan. Hacker juga memanipulasi fitur pencarian Dynamic Link Library yang memberikan hak penuh terhadap file tersebut.
 
Seperti dirangkum Kompas Tekno dari Techspot, Rabu (15/11/2017), setelah mengetahui masalah itu, Bogner langsung menghubungi beberapa vendor antivirus yang rentan terhadap kelemahan.

Beberapa perusahaan antivirus, seperti Emisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro, dan ZoneAlarm langsung mengambil langkah cepat dengan merilis pembaruan sistem untuk memperbaiki sistemnya.

Bukan kali pertama

Penyalahgunaan antivirus untuk keperluan lain ternyata bukan terjadi kali ini saja. pada Oktober 2017 lalu, Dokumen Rahasia Nasional Amerika tahun 2015 diduga diretas dengan menggunakan antivirus Karspersky.

Pencurian dokumen NSA pada saat itu membahas terkait informasi jaringan komputer luar negeri dan perlindungan dari serangan siber. Kasus ini disebut-sebut sebagai pelanggaran keamanan NSA yang paling signifikan.

Saat dituding oleh beberapa sumber yang enggan disebutkan namanya atas kasus peretasan data,  Perusahaan antivirus asal Rusia tersebut lantas membantah tuduhan tersebut.  

Karspersky menyatakan independensinya sebagai sebuah perusahaan skala Internasional yang tidak memiliki keterkaitan pemerintah mana pun termasuk Rusia.