Jul Ismail

Malware Deitybounce

Pakar malware dunia sedang ramai membahas tentang malware Deitybounce. Malware ini digunakan oleh NSA (National Security Agency) untuk melakukan spionase. Malware ini sulit dideteksi oleh anti-virus karena bersembunyi di BIOS. Malware ini mulai dikenal ketika Edward Snowden membocorkan dokumen tenang operasi yang dilakukan NSA.  NSA merupakan badan intelejen Amerika Serikat yang mengumpulkan data-data intelejen dan melakukan analisa untuk kepentingan pertahanan Amerika Serikat.

Pada salah satu dokumen yang dibocorkan oleh Snowden, disebutkan tentang peralatan yang digunakan NSA untuk melakukan penyadapan. Diantaranya adalah ANT server. Sistem ANT Server inilah yang menggunakan malware Deitybounce. Malware ini khusus menyerang server yang menggunakan Dell Poweredge. Malware ini dapat melakukan exploit pada motherboard BIOS dan menggunakan Sistem Management Mode (SMM) untuk mengendalikan operating sistem. Malware ini dapat menjalankan kode pada waktu tertentu, tanpa mampu dideteksi oleh operating sistem ataupun aplikasi yang sedang dijelankan oleh komputer. Jadi malware ini dapat bersembunyi pada server, menjalankan perintah tertentu tanpa bisa dideteksi oleh Operating System maupun anti virus. Kemampuan malware ini bersembunyi dikarenakan malware menggunakan exploit yang memodifikasi BIOS.

Malware ini dibuat khusus untuk server-server Dell PowerEdge seri 1850/2850/1950/2950. Diduga malware ini menginfeksi server dengan menggunakan USB. Setelah menginfeksi server Deitybounce akan mengganti Bios server dengan Bios yang sudah dimodifikasi. Deitybounce ini dapat digunakan pada server yang memiliki sistem multiprosessor, menggunakan RAID dan OS Microsoft Windows 2000, XP, and 2003 Server.
Analisa tentang malware ini bisa dilihat pada link berikut ini:

http://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/

Analisa malware tersebut ditulis oleh Darmawan Salihun. Penjelasan tentang SMM bisa dilihat pada link berikut:

http://en.wikipedia.org/wiki/System_Management_Mode

Exploit yang memanfaatkan SMM sebenarnya bukanlan baru. Penjelasan tentang exploit yang memanfaatkan SMM bisa dilihat pada majalah phrack berikut:

http://phrack.org/issues/66/11.html

Dokumen NSA tentang ANT server bisa dilihat disini:

https://nsa.gov1.info/dni/nsa-ant-catalog/servers/index.html

deitybounce
deitybounce

julismail

Silahkan tuliskan tanggapan, kritik maupun saran