Hacking Team (HT), perusahaan yang menjual berbagai macam tools untuk melakukan spionase cyber baru saja dihack. 400GB dokumen perusahaan tersebut dishare di internet. Para pakar security saat ini sedang berlomba-lomba mempelajari dokumen-dokumen tersebut untuk mengetahui teknik dan tools apa saja yang digunakan oleh perusahaan tersebut. Ternyata ditemukan adanya dokumen tentang Hacking Team Malware. Malware canggih yang digunakan untuk melakukan spionase.

HT ditemukan paling tidak membuat 3 exploit yang menyerang adobe Flash dan kernel Windows.  2 exploit menyerang Flash, salah satunya CVE-2015-0349 sudah dipatch. Exploit flash lainnya disebut memanfaatkan celah keamanan baru yang dinobatkan HT sebagai “the most beautiful Flash bug for the last four years.” Hasil pengujian exploit ini membuat penyerang dapat menjalankan aplikasi windows calculator dan shellcode secara remote. Celah keamanan ini terdapat pada aplikasi Adobe Flash Player 9 dan versi sebelumnya,desktop/metro IE, Chrome, Firefox dan Safari. Bahkan diduga Adobe Flash Player versi terbaru 18.0.0.194 juga masih mengandung bug ini.

Penyebab celah keamanan ini adanya celah keamanan ByteArray class user-after-free (UAF). Dengan memanfaatkan celah keamanan UAF ini exploit dapat menjalankan shellcode. Exploit dapat membypass proteksi Control Flow Guard pada windows.

Sebenarnya teknik yang sering disebut trik ValueOf ini telah digunakan juga pada eksploitasi beberapa celah keamanan seperti CVE-2015-0349. Teknik ini telah dipresentasikan pada acara Pwn2Own 2015.

Dilaporkan beberapa insiden serangan di Korea dan jepang terindikasi menggunakan eksploit ini. Saat ini pihak microsoft maupun adobe sedang berupaya mengeluarkan patch terhadap zero-day ini. Ada juga peneliti yang sedang mengembangkan tools untuk mendeteksi keberadaan malware ini. Projeknya dapat dilihat di https://github.com/0xPoly/Hacking-Team-Sweeper Kelihatannya bakal ada lanjutannya temuan menarik tentang kasus Hacking Team ini.

Semoga bermanfaat:

bahan bacaan:

http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/

https://helpx.adobe.com/security/products/flash-player/apsb15-16.html

https://blog.malwarebytes.org/exploits-2/2015/07/hacking-team-leak-exposes-new-flash-zero-day/

http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-flash-zero-day-tied-to-attacks-in-korea-and-japan-on-july-1/

http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-the-open-type-font-manager-vulnerability-from-the-hacking-team-leak/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29