Ancaman Baru Apple Silicon: Eksploitasi Malware Menggunakan x86-64 Biner dan Rosetta 2
Ancaman Baru Apple Silicon: Eksploitasi Malware Menggunakan x86-64 Biner dan Rosetta 2. Pengenalan chip Apple Silicon pada perangkat Mac telah membawa peningkatan signifikan dalam kinerja dan efisiensi energi, mengubah cara pengguna berinteraksi dengan komputer Mac. Namun, di balik inovasi tersebut, ada tantangan baru dalam hal keamanan siber.
Salah satu ancaman yang semakin meningkat adalah penggunaan biner x86-64 dan teknologi Rosetta 2 untuk mengeksploitasi perangkat Mac, yang memungkinkan penyerang untuk menyebarkan malware tanpa terdeteksi. Dalam artikel ini, kita akan menggali bagaimana hal ini bisa terjadi dan langkah-langkah yang dapat diambil untuk melindungi perangkat Anda.
Apa Itu Rosetta 2 dan Perannya dalam Keamanan Mac?
Rosetta 2 adalah fitur dari macOS Big Sur yang memungkinkan perangkat dengan chip Apple Silicon menjalankan aplikasi yang dibuat untuk prosesor Intel (x86-64). Teknologi ini bekerja dengan cara menterjemahkan instruksi x86-64 menjadi format yang dapat dijalankan oleh chip ARM-based Apple Silicon. Meskipun Rosetta 2 membawa banyak keuntungan dengan memungkinkan aplikasi lama tetap berjalan, di sisi lain, ia juga membuka celah bagi penyerang.
Salah satu mekanisme yang digunakan penyerang adalah menargetkan file terjemahan AOT (Ahead-of-Time) yang disimpan oleh Rosetta 2 di direktori /var/db/oah/. Saat aplikasi dijalankan, Rosetta 2 menciptakan file terjemahan ini untuk mempercepat eksekusi aplikasi x86-64. Meskipun payload berbahaya yang disisipkan dalam aplikasi dapat dihapus, file terjemahan yang mengandung jejak aktivitas tetap ada. Dengan cara ini, meskipun aplikasi telah “terhapus”, jejak malware tetap tersimpan.
Bagaimana Penyerang Memanfaatkan Rosetta 2 untuk Menyebarkan Malware
Aktor ancaman canggih, termasuk yang dikaitkan dengan negara seperti Korea Utara, telah mengidentifikasi cara untuk mengeksploitasi sistem ini. Penyerang dapat mengkompilasi malware untuk arsitektur x86-64, yang kemudian dijalankan melalui Rosetta 2. Dengan teknik ini, malware dapat menghindari deteksi awal karena menggunakan teknik penandatanganan kode yang lebih longgar daripada kode asli untuk perangkat Apple Silicon.
Proses ini dimungkinkan dengan biner universal, yang menggabungkan kode untuk x86-64 dan ARM64, memungkinkan malware untuk berfungsi di kedua arsitektur. Ketika dijalankan pada perangkat Apple Silicon, malware ini pertama kali diterjemahkan menggunakan Rosetta 2, yang kemudian menyimpan file terjemahan berbahaya di sistem. Ini memberi penyerang akses tersembunyi untuk melaksanakan aktivitas jahat tanpa terdeteksi, bahkan jika aplikasi asli telah dihapus.
Menangani Ancaman: Deteksi dan Pencegahan
Untuk mencegah atau mendeteksi serangan yang memanfaatkan teknik ini, berikut adalah beberapa langkah yang bisa diambil:
1. Audit File AOT di Direktori /var/db/oah/
Secara teratur memeriksa dan menganalisis file AOT dapat mengungkap file terjemahan yang telah dimodifikasi oleh malware. Cek cap waktu untuk mengetahui apakah file tersebut telah diubah atau dibuat dalam periode yang mencurigakan.
2. Pantau FSEvents dan Log Sistem
FSEvents adalah fitur di macOS yang melacak perubahan sistem file. Memantau log sistem untuk perubahan cepat pada direktori /var/db/oah bisa membantu mendeteksi aktivitas malware. Log ini dapat memberikan wawasan penting tentang jejak yang ditinggalkan oleh malware.
3. Gunakan Keamanan Tingkat Sistem
Pastikan bahwa System Integrity Protection (SIP) tetap aktif. SIP adalah fitur keamanan di macOS yang mencegah modifikasi tidak sah pada file sistem penting, termasuk file terjemahan yang dibuat oleh Rosetta 2. Dengan SIP aktif, malware tidak akan bisa mengubah atau menghapus file-file penting tanpa terdeteksi.
4. Perbarui dan Tingkatkan Keamanan Sistem
Pastikan macOS Anda selalu diperbarui dengan patch keamanan terbaru dari Apple. Apple secara rutin merilis pembaruan untuk mengatasi kerentanannya, termasuk yang mungkin digunakan oleh malware untuk mengeksploitasi sistem.
5. Pemantauan Jaringan dan Aktivitas Aplikasi
Secara aktif memantau jaringan dan aplikasi yang berjalan di perangkat Anda juga dapat membantu mendeteksi aktivitas mencurigakan. Gunakan perangkat lunak pemantauan keamanan atau firewall yang dapat memperingatkan Anda jika ada komunikasi jaringan yang mencurigakan atau jika aplikasi berperilaku tidak biasa.
Kesimpulan: Mengatasi Ancaman dengan Proaktif
Meskipun teknologi Rosetta 2 memberikan kemudahan bagi pengguna perangkat Apple Silicon, penggunaannya juga menghadirkan potensi risiko keamanan. Dengan pemahaman yang lebih baik tentang bagaimana penyerang dapat memanfaatkan biner x86-64 dan file terjemahan AOT, Anda dapat mengambil langkah-langkah preventif untuk melindungi perangkat Mac Anda.
Penting untuk secara aktif memantau file, aplikasi, dan jaringan yang digunakan oleh perangkat Apple Silicon Anda, serta memastikan bahwa fitur keamanan seperti System Integrity Protection tetap aktif. Dengan pendekatan yang hati-hati dan kesadaran tentang potensi ancaman ini, Anda dapat menjaga perangkat Anda tetap aman dari malware yang mencoba mengeksploitasi celah yang ada.
