Uncategorized

Published on July 7th, 2015 | by rezwinda

0

Banking Trojan Dridex Mengeksploitasi MS Word

Orang sukses tidak diukur dengan berapa banyak harta yang dimilikinya, tetapi dari kontribusinya kepada masyarakat. Begitu pula dengan malware sukses, tidak diukur dengan seberapa rumit coding yang dimilikinya, tetapi dari kemampuannya menginfeksi komputer korban.

Yang namanya singa, seberapa ganas atau besarnya singa, tidak akan terlalu ditakuti jika ditampilkan dalam TV atau di luar mobil di Taman Safari. Yang menjadi masalah adalah jika singa tersebut berhasil masuk rumah atau mobil Anda.

Begitupula dengan malware ganas, kunci terpenting dari kesuksesan malware adalah bagaimana caranya ia bisa menginfeksi komputer korbannya dan menjalankan aksi jahatnya.

Hal ini terjadi pada Banking Trojan Dridex, yang menjalankan aksinya dengan mengirimkan dirinya menyamar sebagai file MS Word dan memiliki kemampuan eksploitasi celah keamanan Windows sehingga bisa mengakali perlindungan UAC User Account Control sehingga ia akan memiliki hak sebagai administrator dalam komputer yang diinfeksinya sehingga bisa menginstalkan diri secara otomatis di komputer korbannya guna menjalankan aksi jahat lainnya.

Perkembangan Trojan

Menurut data dari lab G Data, trojan merupakan kategori malware dengan perkembangan yang sangat tinggi, mengalahkan kategori malware lainnya.

Meskipun terkadang dalam satu malware bisa merupakan gabungan dari beberapa kategori seperti Zeus yang masuk dalam kategori trojan dan downloader. Lantaran perlindungan dari program antivirus yang selalu meng-update definisi untuk mengenali trojan terbaru ditambah dengan persaingan di antara malware sendiri sangat tinggi untuk mencari korbannya. Maka pembuat malware harus selalu memutar otak untuk menginfeksi komputer korban.

Dan dua hal yang berada di luar jangkauan perlindungan antivirus adalah kelemahan pada pengguna yang mudah dikelabui untuk mengaktifkan kode jahat dan kelemahan dalam celah keamanan dimana eksploitasi celah keamanan bisa membypass perlindungan antivirus, jadi sekalipun suatu sistem sudah dilindungi dengan antivirus terupdate, namun jika sistem tersebut memiliki celah keamanan (vulnerability) maka sistem tersebut tetap bisa diinfeksi dengan cara eksploitasi celah keamanan. Karena itu dua teknik yang menjadi favorit untuk menyebarkan malware adalah rekayasa sosial dan eksploitasi celah keamanan.

Eksploitasi MS Word

Teknik ini pula yang digunakan oleh Banking Trojan terbaru dengan nama Dridex. Ia menginfeksi komputer korbannya melalui rekayasa sosial dan datang dalam email. Menyadari kalau lampiran email diawasi dengan ketat oleh administrator, khususnya lampiran yang bisa dijalankan (.exe, .scr, .com) dan malahan banyak administrator yang juga memblok lampiran terkompres .zip.

Namun lampiran file kerja seperti MS Office dianggap cukup aman dan diperbolehkan lewat. Email yang dikirimkan dalam bentuk tagihan dalam dokumen MS Word yang jika dibuka akan meminta pengaktifan Macro.

Sebenarnya, dokumen yang dikirimkan aslinya adalah file .mht, file format arsip web page yang memang bisa dibuka dengan MS word. Namun dengan cerdik ekstensi .mht (.mhtml) tersebut diubah menjadi .doc. Hal ini akan makin meyakinkan pengguna karena icon yang ditampilkan dalam lampiran adalah icon MS Word.

Ini hanya merupakan awal dari rekayasa sosial yang dijalankan oleh Dridex. Sebab dengan tampilan yang meyakinkan, kemungkinan besar lampiran tersebut akan dibuka oleh korban. Sekali dibuka, malware tidak akan berjalan karena dokumen .doc tentunya tidak memiliki kemampuan menjalankan malware.

Namun fasilitas Macro dalam MS Office memiliki kemampuan dan akses yang lebih luas. Karena itu yang akan terbuka adalah dokumen pancingan untuk mengaktifkan Macro.

Dokumen yang dibuka akan terlihat seakan-akan terenkripsi dan karena dekripsi yang bermasalah tidak dapat ditampilkan dengan baik. Dan ada pesan kalau ingin membenarkan hal itu harus mengatifkan Macro.

Jika korbannya percaya dan mengaktifkan Macro, maka aksi malware akan mulai berjalan. Mengaktifkan Macro akan memulai pengunduhan kode jahat yang telah dipersiapkan. Macro akan mengunduh VBS Visual Basic Script yang kemudian akan mengunduh program dengan perintah /get.php yang akan diiinstalkan di ‘APPDATA’.

Eksploitasi UAC

Sekalipun berhasil mengunduh file untuk dieksekusi, sebenarnya Windows sudah membentengi diri dengan baik dan aplikasi tidak akan bisa dieksekusi karena ada satpam yang menjaga. Nama satpamnya adalah UAC User Account Control.

Jadi setiap kali menjalankan eksekusi file yang tidak dikenal, akan muncul jendela baru (pop up) dan harus ada persetujuan user / administrator untuk menjalankan file tersebut baru bisa dieksekusi. Hal ini rupanya sudah diantisipasi oleh pembuat malware, ia berusaha membypass UAC dan mendapatkan hak administrator.

Caranya adalah menyembunyikan popup UAC menggunakan file .sdb yang telah dibuat sedemikian rupa sehingga bisa mengeksploitasi celah keamanan UAC di Windows 8, Windows 7 SP1, Windows Server 2012, Windows Server 2008 R2 SP1 https://support.microsoft.com/en-us/kb/3045645. Hal ini akan langsung mengakibatkan Dridex terinstal di komputer korban dan menjalankan aksinya.

Dridex disebarkan untuk mendapatkan keuntungan finansial dari korbannya dan sasaran utamanya adalah pengguna bisnis khususnya UKM.

 

Sumber: detik.com

Tags: , , ,


About the Author



Comments are closed.

Back to Top ↑