EternalBlue: Apa itu dan bagaimana cara kerjanya

Apa itu Biru Abadi?

EternalBlue adalah eksploitasi Microsoft yang digunakan oleh NSA saat mengumpulkan informasi. Exploit, yang secara resmi bernama MS17-010 oleh Microsoft, memberikan akses backend Badan Keamanan Nasional AS (NSA) ke perangkat yang menjalankan sistem operasi Windows seperti Windows XP dan Windows 7.

Setelah lima tahun mengetahui kerentanan dalam protokol berbagi file Microsoft SMBv1 (Server Message Block Version 1), NSA akhirnya memberi tahu Microsoft tentang keberadaannya. Namun, pada saat mereka melakukannya, itu telah dibocorkan oleh kolektif peretas terkenal bernama Shadow Brokers.

Kebocoran tersebut membahayakan jutaan pengguna, dan seluruh insiden menggarisbawahi ancaman yang ditimbulkan oleh pengembangan dan pemeliharaan perangkat lunak pintu belakang NSA.

Bagaimana EternalBlue dikembangkan?

EternalBlue dikembangkan oleh NSA, yang telah mencari potensi kerentanan dalam perangkat lunak Microsoft selama bertahun-tahun. Terakhir, ketika kerentanan ditemukan dalam protokol SMBv1, NSA mengembangkan eksploit mereka untuk mengeksploitasi kerentanan ini.

Selama setengah dekade, alih-alih memperingatkan Microsoft tentang risiko yang dihadapi penggunanya, NSA menggunakan EternalBlue untuk membantu operasi kontraterorisme dan kontraintelijen. EternalBlue hanyalah salah satu contoh penggunaan exploit dan software backdoor oleh NSA.

Ketika NSA akhirnya memutuskan untuk memberi tahu Microsoft, langkah-langkah diambil untuk memperbaiki kerentanan tersebut. Microsoft merilis tambalan untuk mengeksploitasi, tetapi saat itu sudah terlambat bagi banyak orang. Sekarang mari kita lihat lebih dekat bagaimana eksploit ini benar-benar bekerja.

Bagaimana cara kerja EternalBlue?

Eksploitasi EternalBlue bekerja dengan memanfaatkan protokol SMBv1 yang tidak aman. Protokol ini memungkinkan perangkat Microsoft berkomunikasi dengan sistem Microsoft lainnya, seperti menjalankan layanan file dan cetak, tetapi rentan terhadap gangguan.

Untuk menjalankan eksploit EternalBlue, penyerang hanya perlu mengirim paket data SMBv1 berbahaya ke server Windows yang memiliki kerentanan. Paket tersebut akan berisi muatan malware yang kemudian dapat dengan cepat menyebar ke perangkat lain yang menginstal perangkat lunak Microsoft yang rentan.

Setelah Shadow Brokers merilis eksploit pada tahun 2017, peretas mengeksploitasi kerentanan untuk meluncurkan serangan yang menghancurkan dan menyebarkan malware dalam jumlah besar. Dua insiden penting menggambarkan dampak dari kerentanan.

Saya bisa menangis

Pada 12 Mei 2017, ransomware WannaCry mulai menyebar dengan cepat melalui kerentanan EternalBlue, menginfeksi 10.000 perangkat per jam. Dalam 24 jam, 230.000 mesin Microsoft Windows di 150 negara berbeda terinfeksi. Ransomware, yang mengenkripsi data pada perangkat yang terinfeksi, pada akhirnya memengaruhi organisasi besar seperti FedEx, Deutsche Bahn, dan NHS Inggris.

Bukan Petya

Serangan ransomware Petya menggunakan eksploitasi EternalBlue untuk menyebar dengan cepat ke perangkat Microsoft pada tahun 2017. Malware menginstal dirinya sendiri, mengenkripsi data pada perangkat host, dan kemudian meminta uang tebusan $300 sebagai ganti kunci dekripsi.

Apakah EternalBlue masih tersedia?

Kerentanan yang dieksploitasi oleh EternalBlue diperbaiki dengan tambalan keamanan dari Microsoft pada 2017 setelah NSA memberi tahu Microsoft tentang keberadaannya. Oleh karena itu, perangkat Windows dengan peranti lunak yang diperbarui aman dari ancaman khusus ini.

Meskipun kerentanan telah ditambal pada tahun 2017, serangan EternalBlue masih sering terjadi. Perusahaan keamanan Avast memperkirakan memblokir sekitar 20 juta upaya eksploitasi EternalBlue setiap bulan. Dengan mengingat hal itu, Anda mungkin bertanya-tanya apakah Anda masih harus takut dengan EternalBlue hari ini.

Haruskah saya takut pada EternalBlue?

Jika Anda menggunakan Windows versi lama atau belum memperbarui perangkat sejak 2017, Anda hampir pasti masih berisiko terkena EternalBlue. Jika Anda menggunakan Windows versi terbaru dan secara teratur menginstal pembaruan baru, Anda tidak perlu khawatir tentang eksploitasi EternalBlue.

Namun, bukan berarti Anda kebal terhadap serangan malware dan ransomware seperti WannaCry dan Petya. Program jahat ini dapat menyebar dengan cara lain, jadi penting untuk tetap waspada meskipun eksploitasi EternalBlue tidak menimbulkan ancaman khusus bagi Anda.

Kabar baiknya adalah sekarang Anda dapat mengambil langkah-langkah untuk melindungi diri dari malware dan ancaman online lainnya.

Bagaimana cara melindungi diri sendiri

Untuk melindungi diri Anda dari risiko online seperti ransomware, ikuti langkah-langkah sederhana ini:

• Selalu perbarui perangkat lunak. Jika Anda belajar dari situasi EternalBlue, penting untuk memperbarui perangkat lunak Anda. Saat pembaruan aplikasi dan sistem operasi tersedia, instal untuk memanfaatkan tambalan keamanan terbaru.
• Gunakan perangkat lunak anti-malware. Pastikan perangkat Anda dilindungi dengan perangkat lunak anti-malware yang kuat. Sistem ini dapat melindungi perangkat Anda dari perangkat lunak berbahaya dan ancaman online lainnya, meskipun – seperti semua alat keamanan siber – tidak ada yang akan membuat Anda sepenuhnya aman.
• Hati-hati dengan tautan. Meskipun Anda tidak lagi berisiko terkena EternalBlue, Anda masih dapat mengunduh malware dengan mengeklik tautan berbahaya. Email phishing sering mencoba mengelabui Anda agar mengunjungi situs yang akan menginfeksi perangkat Anda. Untuk melindungi diri Anda sendiri, jangan pernah mengeklik tautan dalam pesan daring kecuali Anda benar-benar yakin bahwa pengirimnya asli.
• Gunakan fitur perlindungan ancaman NordVPN. Dengan NordVPN Anda mendapatkan akses ke Threat Protection, rangkaian alat canggih untuk membuat Anda tetap aman saat online. Selain memblokir iklan dan pelacak online, Perlindungan Ancaman juga memindai malware yang diunduh dan mencegah Anda mengunjungi situs web yang diketahui memasang perangkat lunak berbahaya.