Analisa Malicious Code pada PDF Attack

Menggunakan Teknik Reverse Engineering

Artikel Ilmiah

  

Peneliti:

Lidya Desy Natalia (672010031)

Irwan Sembiring, S.T., M.Kom.

  

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

  

2015

  

Analisa Malicious Code pada PDF Attack

Menggunakan Teknik Reverse Engineering

Artikel Ilmiah

  

Diajukan kepada

Fakultas Teknologi Informasi

untuk memperoleh Gelar Sarjana Komputer

  

Peneliti:

Lidya Desy Natalia (672010031)

Irwan Sembiring, S.T., M.Kom.

  

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

  

2015

  Analisa Malicious Code pada PDF Attack Menggunakan Teknik Reverse Engineering 1) 2) Lidya Desy Natalia, Irwan Sembiring, S.T., M.Kom

  Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

  Jalan Diponegoro 52-60, Salatiga 50771, Jawa Tengah, Indonesia Email

  

Abstract

Nowdays, pdf is one of the widely used applications for sharing documents. Pdf

contains combination content between text, vector graphics and graphics raster, pdf can

also be inserted a content audio and video. Pdf can contain interactive element as

explanation, the hypertext, link besides pdf files can also be imported into other

applications like web pages. However, its wider acceptance among the user community

has also attracted the attackers to develop and spread malware using PDF files. Most of

the existing security tools are not equipped to deal with the attacks related to PDF

reader. In this paper we present techniques that can be used by an attacker to generate

PDF attacks. Then we propose portable document scanner (PeePDF and

PDFStreamDumper) which can detect the attacks by analyzing the suspicious objects and

the scripts that are embedded in the documents, with dynamic and static analysis

techniques to deal with the malware.

  Keyword: PDF Malware, Static Analysis, Dinamic Analysis.

  

Abstrak

Saat ini, pdf merupakan salah satu aplikasi yang banyak digunakan untuk berbagi

dokumen. Pdf berisi konten kombinasi antara text, grafis vector dan grafis raster, pdf juga

bisa disisipi sebuah konten audio maupun video. Pdf dapat memuat unsur interaktif

seperti penjelasan, link hypertext, selain itu file pdf juga dapat diimpor kedalam aplikasi

lain seperti halaman web. Karena penggunaan yang semakin luas di kalangan masyarakat

ini, membuat para penyusup tertarik untuk mengembangkan dan menyebarkan malware

yang menggunakan file pdf. Sebagian besar pdf reader, tidak dilengkapi untuk

menghadapi serangan terkait dengan kelemahan pdf. Dalam tulisan ini dibahas tentang

teknik yang digunakan oleh penyusup untuk menghasilkan serangan pdf, dan mengajukan

(PeePdf dan PDFStreamDumper) sebagai alat pemindai portabel yang dapat mendeteksi

serangan pdf dengan menganalisis script mencurigakan yang tertanam dalam file pdf,

dengan teknik Analisa Dinamis dan Statis.

  Kata Kunci: PDF Malware, Analisa Statis, Analisa Dinamis.

  1) Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya Wacana Salatiga. 2) Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.

  1. Pendahuluan

  Dalam beberapa Tahun terakhir ini telah terjadi serangan malware yang cukup mengganggu komunitas dunia TIK. Salah satu serangan tersebut adalah

  

malware dengan nama operasi APT1 telah berhasil menyerang sistem di beberapa

  negara. Kemudian setelah dilakukan analisa pada beberapa sample malware, serangan tersebut disinyalir didalangi oleh pemerintahan China dengan bukti yang telah berhasil diperoleh mengarah pada

  People’s liberation Army (PLA), General

Staff Department (GSD), 3rd Department (Military Cover Designator 61389).[1].

  Menurut jurnal “Penggunaan Teknik Reverse Engineering Pada Malware

  Analysis Untuk Identifikasi Serangan Malware

  ”, malware sebuah aplikasi yang dirancang khusus untuk dapat menyusup kedalam sistem tanpa diketahui pemilik sistem melalui sebuah program yang sudah dibuat dalam bentuk executable,

  

compile ke : word, pdf, doc, dll. Lebih sederhananya malware merupakan sebuah

  aplikasi yang dirancang untuk membuat celah pada keamanan sistem komputer.[2].

  Dalam kurun waktu yang cukup lama dokumen pdf sering digunakan oleh pengguna komputer sebagai salah satu media pertukaran informasi. Dokumen pdf merupakan sebuah format berkas untuk keperluan pertukaran dokumen digital. Format pdf digunakan untuk merepresentasikan dokumen dua dimensi yang meliputi teks dan grafik. Pentingnya pdf mengakibatkan hampir setiap pengguna komputer menjadi semakin bergantung pada teknologi informasi untuk lebih efisien dalam mencari referensi dan menyelesaikan tugas.

  Karena pembaca dokumen pdf semakin meningkat, banyak penyusup menjadikan dokumen pdf sebagai strategi distribusi malware. Dalam konteks ini, dokumen pdf memiliki celah keamanan yang disalahgunakan oleh oknum tertentu sebagai media eksploitasi terhadap komputer target. Dokumen pdf sering dianggap dapat dipercaya atau aman oleh pengguna komputer, dan penyerang sering menyamarkan dengan isi dokumen yang menarik. Sehingga para target tidak mengetahui bahwa file pdf yang dibuka telah tersisipkan malware.

  Pada penelitian ini diajukan suatu cara untuk melakukan analisis serangan

  

malware pada file pdf. Penelitian ini membutuhkan sebuah teknik untuk dapat

  menganalisa malware tersebut. Aplikasi tersebut umumnya memuat sebuah perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti menyebarkan virus, trojan, worm, atau memasang backdoor ke dalam sistem.

  Berdasarkan latar belakang masalah yang ada, maka dilakukan sebuah penelitian yang bertujuan menganalisa serangan malware pada file pdf menggunakan Backtrack 5 R3 dan Teknik Reverse Engineering.

  2. Kajian Pustaka

  Berdasarkan jurnal yang ditulis oleh Rahul Tyagi pada tahun 2011 mengenai

  

Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0, penelitian

  terdahulu ini memiliki persamaan metode yang digunakan untuk bisa menyusup ke sistem windows target yaitu dengan menggunakan Backtrack 5 R3. Pada penelitian terdahulu penulis menyusup ke sistem operasi windows melalaui Exploitasi Framework.[3].

  Penelitian yang berjudul Analisis Forensik Teknologi Informasi dengan Barang Bukti Hardisk yang dilakukan oleh Chandra Irvan dan Naikon Fandier pada tahun 2012 membahas tentang penggunaan forensik Teknologi Informasi (TI) dalam menemukan bukti kejahatan Komputer pada perangkat hardisk yang didalamnya sudah disisipkan malware untuk penyusup dapat masuk kedalam komputer korban dan menghapus file penting dalam komputer korban. Pada penelitian ini menggunakan tools forensic Autopsy pada Backtrack Linux 5 R1 digunakan sebagai alat tahapan forensic ini. Persamaan pada penelitian ini adalah penulis memanfaatkan tool yang terdapat pada Bactrack 5 untuk melakukan exploitasi dengan media yang berbeda yaitu file pdf dan juga memanfaatkan tool forensik yang terdapat pada Backtrack yaitu tool PeePdf.[4].

  Penelitian berjudul Undetectable Backdoor : The Art of Malicious Software

  

and Social Engineering oleh Faizal Achmad tahun 2013 ini membahas tentang

  penyisipan sebuah Backdoor yang diimplementasikan pada sebuah game dan sebuah antivirus. Ketika target menginstall game dan antivirus tersebut sebenarnya target juga sedang menjalankan sebuah backdoor tersebut. Persamaan dari penelitian terdahulu ini adalah penyisipan sebuah backdoor namun yang di implementasikan pada sebuah file pdf dengan tujuan yang sama pada penelitian terdahulu yaitu menyusup ke dalam sistem operasi windows.[5].

  Pada ummnya file pdf berisi konten kombinasi antara text, grafis vector dan grafis raster, namun pdf juga bisa disisipi sebuah konten audio maupun video, file pdf dapat memuat unsur interaktif seperti link hypertext, selain itu file pdf juga dapat diimpor kedalam aplikasi lain seperti halaman web.

  Pdf pada dasarnya terdiri dari komponen yang disebut objek, dan semua objek diwakili sebagai urutan byte. Penampilan halaman digambarkan oleh objek- objek yang ditampilkan pada halaman. Munculnya aliran konten digital, yang biasa disebut aplikasi pdf reader. [6].

  File pdf terdiri dari Header, Body, Cross Table Reference, Trailer, dan

  beberapa komponen opsional. Header menentukan versi pdf, Body yang berisi informasi tentang objek tidak langsung dan Trailer menentukan posisi Cross

  

Table Reference . File Header berada di bagian atas setiap file pdf untuk

menentukan versi pdf.[6].

  Beberapa waktu terakhir diketahui bahwa tingkat kelemahan pdf semakin meninggi.[7]. Berikut sejumlah kelemahan pdf dan teknik-teknik serangan

  

vulnerabilitas pada pdf reader: 1). Vulnerabilitas PDF URI, kelemahan ini

  berhubungan dengan Adobe PDF’s mailto URI, dimana URI (Uniform Resource

  

Identifier) dipakai sebagai akses ke sistem file lokal pada komputer pengguna

  untuk melancarkan serangan. Pada kasus ini, penyerang dapat menciptakan

  

request spesial URI. Sebagai contoh, request di bawah ini mampu mengakses

lapisan perintah lokal windows dan akan mengeksekusi sejumlah perintah.

  <<URI

  

Perintah tersebut memungkinkan penyerang menciptakan dokumen PDF

  khusus yang mengandung URI buatan demi mengakses sumber-sumber lokal dan mengeksekusi beberapa perintah dasar melalui sistem akses file, dan mengunduh

  

malware melalui internet sehingga menginfeksi komputer pengguna. 2).

  

Vulnerabilitas PDF J2BIG, adalah format kompresi gambar yang dapat dipakai

  sebagai sistem embedded dalam men-display gambar. Ketika sebuah dokumen pdf ter-display maka sistem itu akan terurai menjadi gambar. Vulnerabilitas ini dapat di-eksploit melalui pdf khusus berisi stream JBIG2 dengan header yang sudah dikorup. Ketika stream ini diinterprestasikan oleh Acrobat Reader maka akan menghasilkan arus buffer atau penahan. Arus buffer ini dapat digunakan untuk mengeksekusi kode arbitrasi salam konteks pengguna terkini melakukan

  

logged -in. Para pembuat malware telah mengeksplotasi kelemahan ini untuk

  menyebarkan infeksi malware engan menggunakan file pdf yang mengandung

  

stream JBIG2 yang sudah termodifikasi. Hal ini akan menyebabkan crash pada

  Adobe Acrobat Reader. 3). Vulnerabilitas yang berkaitan dengan fungsi PDF

  

Javascript, Di bagian ini membahas beberapa vulnerabilitas terkini yang

  menggunakan obyek javascript dalam pdf. Sejumlah fungsi dalam javascript yang lemah dan tidak aman, dieksploitasi menggunakan javascript yang diakali bersama dengan pdf. 4). UXSS (Universal Cross Site Scripting) dalam PDF,

  

Vulnerabilitas ini berhubungan dengan bagaimana pdf yang ber-host di web dapat

  digunakan untuk menjalankan serangan XSS. Di sini penyerang mengirim email dengan menggunakan teknik social engineering untuk mengakali konten pesan dan menyembunyikan link tersembunyi ke file pdf yang ada di server bersih. Ketika pengguna mengeklik link itu, penyerang melampirkan script yang sudah dieksekusi dalam meligitimasi sesi web. Kelemahan ini tergantung pada keyakinan si pengguna, dimana malware dapat dieksekusi sepanjang pengguna percaya bahwa mereka mengklik link yang benar.[7].

  Malicous software yang biasa dikenal dengan sebutan malware merupakan

  sebuah aplikasi yang dirancang khusus untuk dapat menyusup kedalam sistem tanpa diketahui pemilik sistem. Aplikasi tersebut umumnya memuat sebuah perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti menyebarkan virus, trojan, worm, atau memasang backdoor didalam sistem. Lebih sederhananya malware merupakan sebuah aplikasi yang dirancang untuk membuat celah pada keamanan sistem komputer. Malware adalah sebuah program yang sudah dibuat dalam bentuk executable, dalam bentuk compile ke: word, pdf, doc, dll extension, dll.

  Dengan hal tersebut kita membutuhkan sebuah teknik untuk dapat menganalisa malware. Dalam penelitian ini menggunakan teknik Reverse

  

Engineering , ada 2 pendekatan dalam melakukan analisa malware menggunakan

  teknik Reverse Engineering: Analisa statis dan analisa dinamis. Statis lebih kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan

  

disassembly , decompile, debugging kepada malware tersebut.[8]. Sedangkan

  dinamis lebih kepada pendekatan analisa yang secara kasat mata atau dengan kata lain interaksi penuh dengan malware dengan menjalankan file malware tersebut.[6].

3. Metode Penelitian

  Metode penyelesaian yang digunakan pada penelitian ini yaitu metode PPDIOO (Prepare, Plan, Desaign, Implement, Operate and Optimize). Pada metode ini ada beberapa tahap dalam membangun sebuah backdoor dalam sebuah

  

file pdf. Dengan adanya tahapan-tahapan pada perancangan akan lebih mudah

dalam pengerjaan serta mempermudah dalam menganalisis malware backdoor.

  Metode PPDIOO adalah sebuah metode penelitian yang dikembangkan oleh

  

Cisco System. Metode ini dipilih karena cocok dengan sistem dan pengujian yang

akan dilakukan.

  

Gambar 1 Skema Metodelogi PPDIOO (Cisco, 2005)

  Gambar 1 merupakan skema metodelogi PPDIOO yang terdiri dari 6 fase [9] antara lain Fase Prepare. Prepare adalah tahap dimana rencana kerja disusun agar penelitian dapat terorganisir dengan baik. Pada tahapan ini akan dikumpulkan data-data yang berkaitan dengan kebutuhan membangun sebuah malware

  

backdoor yang sesuai dengan tujuan dari penelitian ini. Pengumpulan data

  kebutuhan tersebut antara lain spesifikasi akan kebutuhan perangkat keras atau lunak yang akan dipakai dalam penelitian ini. Fase Plan. Plan adalah tahap dimana akan dirancang mekanisme pembuatan backdoor pada file pdf dan tahapan yang dijadikan sebagai parameter dan perlu mendapat perhatian sebelum merancang sebuah jaringan komputer yaitu: Menganalisis kebutuhan alat yang akan digunakan dalam perancangan backdoor file pdf dan implementasi terhadap jaringan lokal berdasarkan hasil analisis kebutuhan. Tahapan tersebut akan dijelaskan dalam tahap perencanaan dalam membangun malware backdoor. Ada beberapa hal yang harus diperhatikan yaitu perangkat yang akan digunakan dalam membangun dan pemberian IP Address merupakan hal yang cukup berpengaruh. Fase Design. Design adalah tahapan dimana akan digambarkan desain secara logis dari perancangan backdoor dalam file pdf menggunakan Backtrack 5 R3. Topologi jaringan pada penelitian ini adalah sebagai berikut :

  

Gambar 2 Topologi Jaringan

  Gambar 2 menunjukkan topologi jaringan yang akan digunakan dalam implementasi pada penelitian ini dimana 1 Laptop bertindak sebagai attacker pada

  VM Backtrack, dan sistem operasi Windows 7 sebagai laptop user terget. Fase

  

Implement . Implement adalah tahapan dimana perangkat yang telah terintegrasi

  dalam desain sistem akan diterapkan pada perangkat fisik. Gambar 3 merupakan proses implementasi malware backdoor ke dalam file berformat pdf.

  Gambar 3.Implementasi Malware ke dalam File Pdf

  Fase Operate. Operate adalah tahapan pengujian sistem yang dilakukan pada waktu nyata serta melakukan proses monitoring. Pada tahap operate dapat dilakukan proses perbaikan pada sistem yang sudah dibuat, hal ini akan disesuaikan dengan analisis yang dilakukan pada sistem yang dibuat. Pada tahap ini dapat dilakukan pemecahan masalah yang timbul selama proses yang mengakibatkan tidak berjalannya proses komunikasi secara baik dalam jaringan. Fase Optimize. Optimize adalah tahap terakhir dimana setelah melakukan implementasi dan analisis, tahapan ini juga dilakukan penilaian terhadap sistem yang dibangun apakah sudah sesuai dengan tujuan awal serta pencapaian yang sudah dilakukan.

  Konsep penelitian ini menggunakan teknik analisa Malware dengan Reverse

  

Engineering [10] yaitu, antara lain: Malware Defined. Tahap pertama dalam

  analisa Malware adalah mengklasifikasikan type dan jenis sample Malware. Pada tahapan pendefinisan ini merupakan sebuah tahapan peneliti Malware memberikan hipotesa atau kesimpulan sementara dari type dan jenis Malware.

  Define Goal Malware Analysis. Analisa Malware memiliki goal atau tujuan yang harus tercapai untuk membuktikan keberhasilan dari pembongkaran Malware. Secara umum tujuan itu menentukan apa yang terjadi, memastikan file, dan mesin yang mempunyai kemungkinan terkena infeksi Malware. MAER (Malware

  

Analysis Environtment and Requirement ). Malware analysis environment

  merupakan pembahasan yang mengarah pada kebutuhan seorang peneliti Malware dalam melakukan penelitian terhadap Malware. Pada Malware analisis

  

environment tidak dijelaskan mengenai teknik atau proses analisa Malware tetapi

  pembahasan ini mengarah pada komponen, design, dan arsitektur yang diperlukan dalam membangun laboratorium Malware analisis. Komponen yang ada didalam MAER antara lain: Malware Source, Virtual machine environment, Network hub.

  

Malware Identification. Proses identifikasi Malware merupakan sebuah tahapan

  seorang Malware analisis mendapatkan identitas dan data string dari sample

  

Malware . Monitoring Aktifitas Malware. Pada tahapan ini dilakukan monitoring

  dari perilaku Malware untuk mengetahui bagaimana Malware berinteraksi dengan sistem. Tahap ini dibutuhkan untuk memudahkan ketika dilakukannya proses

  

disassembly karena sudah mengetahui alur proses dari sample Malware.

Disassembly , Decompile, Debugging. Tahap ini merupakan tahapan yang paling

  dominan dalam melakukan reverse engineering Malware. Pada tahap debugging,

  

assembly , dan disassembly dilakukan pembongkaran source dari Malware untuk

  mencari informasi untuk membuktikan hipotesa awal setelah dilakukan tahapan sebelumnya.

4. Hasil dan Pembahasan

  Pada bagian ini dibahas tentang hasil dari implementasi sistem berdasarkan perancangan yang telah dibuat dengan tahapan analisa menggunakan reverse

  

engineering . Dalam melakukan reverse engineering malware dapat dilakukan

  menggunakan sebuah prosedur malware analysis. Pada penelitian ini prosedur

  

malware analysis menggunakan teknik Reverse Engineering mengacu pada jurnal

Malware Analyst oleh Ligh, M. H. tahun 2011.[11].

4.1 Menentukan SOP (Standard Of Procedure)

  Untuk memudahakan dalam melakukan penelitian ini digunakan standard of

  

procedure untuk merincikan pembahasan yang akan dibahas pada pengujian

malware . Pada penentuan SOP ditentukan pembahasan dibagi menjadi 5 yaitu:

Gambar 4 SOP dari Reverse Engineering

4.1.1 Basic Analysis

  Basic Analysis malware didalamnya melibatkan 2 teknik[8], yaitu Analisa

  Dinamis dan Analisa Statis. Melakukan analisis statis dan dinamis secara bersama-sama dapat membantu mengidentifikasi tujuan dan kemampuan dari

  

malware dan dapat memberikan serangkaian indikator teknis yang tidak hanya

dicapai oleh analisis statis.

a. Analisa Dinamis

  Analisa Dinamis adalah analisa dengan memberikan respon yang cepat dan yang terlihat dengan kasat mata.[6]. Berikut adalah tampilan file pdf yang sudah disisipi Javascript saat pertama kali dijalanakan. Saat file template.pdf dibuka, file tersebut meminta untuk save sebuah file form.pdf.

  

Gambar 5 Save Form.pdf

  Gambar 5 merupakan file form.pdf bersifat seperti autorun.inf berfungsi untuk menjalankan secara otomatis suatu program atau file yang terdapat pada media penyimpanan. Sehingga, apabila user menyetujui untuk save file tersebut maka dengan begitu backdoor sudah tertanam didalam sistem komputer user. Setelah backdoor tertanam, Adobe Reader memberikan informasi bahwa apabila

  

file template.pdf dibuka, dengan begitu maka ada file lain juga yang ikut

  dijalankan. Namun, biasanya user sering kali mengabaikan peringatan ini karna beranggapan bahwa file tersebut adalah aman.

  

Gambar 6 Peringatan dari Adobe Reader

  Gambar 6 menununjukan AcroRd32info.exe yang di miliki oleh Adobe Reader. AcroRd32info.exe ini yang bertanggungjawab untuk memberikan informasi atau pesan peringatan dari Adobe Reader[6], bahwa file yang dibuka mengandung javascript yang bisa dieksekusi saat file tersebut dijalankan atau saat

  user meng- klik “Open” dari jendela peringatan di atas.

  Ketika user meng- klik “Open” pada file template.pdf dengan begitu user memberikan attacker akses masuk ke dalam sistem komputer user sebagai target, seperti terlihat pada Gambar 7. Meterpreter membuka koneksi dari komputer

  

attacker (ip address: 192.168.43.223) dengan komputer target (192.168.43.116)

  dengan menggunakan port 4444 dan port 2868. Meterpreter adalah dari fitur metasploit yang menggunakan DLL injection untuk berkomunikasi melalui

  socket .[13].

  

Gambar 7 Meterpreter

b.

   Teknik Penyerangan

  Sesaat sesudah user windows 7 mengaktifkan backdoor, maka terciptalah saluran komunikasi antara komputer attacker dan komputer user windows 7 dalam bentuk sessions, seperti tampilan pada Gambar 8 dibawah ini.

  

Gambar 8 Tampilan Session pada Komputer Attacker

Attacker mengendalikan komputer user windows 7 melalui perantara

backdoor . Attacker berkomunikasi dengan backdoor menggunakan protokol TCP

  di port 4444. Terlihat bahwa attacker dapat mengakses command prompt dari user windows 7, terlihat pada gambar 9.

  

Gambar 9 Command prompt Backtrack dan Windows

Attacker dapat memonitoring komputer target melalui command prompt,

  seperti terlihat pada Gambar 9 menunjukan command prompt pada komputer VM atau komputer attacker sama dengan command prompt pada komputer windows target. Attacker bisa memonitoring komputer target melalui perintah-perintah yang ada dalam command prompt.

  Kegiatan diatas dinamakan payload metasploit. Payload adalah bagian dari perangkat lunak yang memungkinkan untuk memonitoring sistem komputer setelah di eksploitasi.[13]. Payload metasploit yang paling populer disebut

  

meterpreter , yang memungkinkan untuk melakukan segala macam monitoring

pada sistem target. Misalnya, keylogger yang dijelaskan pada Gambar 10.

  

Gambar 10 Keylogger

  Gambar 10 merupakan salah satu dampak dari penyerangan backdoor yang di kemas dalam file pdf, yaitu keylogger. Keylogger adalah malware yang dibuat dengan tujuan untuk mencatat setiap tekanan tombol pada keyboard.[13]. Catatan yang disimpan dalam suatu file yang bisa dilihat kemudian itu lengkap. Di dalamnya bisa terdapat informasi seperti aplikasi tempat penekanan tombol dilakukan dan waktu penekanan.

  Dengan cara ini, seseorang bisa mengetahui username, password, dan berbagai informasi lain yang dimasukkan dengan cara pengetikan. Keylogger ini cukup berbahaya karena secanggih apa pun enkripsi yang diterapkan oleh suatu

  

website , password itu tetap dapat diambil. Karena, password itu diambil sebelum

  sempat dienkripsi oleh sistem.[13]. Keylogger merekam sesaat setelah password diketikkan dan belum diproses oleh sistem _.

  c.

   Port Port terbuka tetap menjadi kerentanan, hal ini mengizinkan koneksi untuk

  aplikasi tetapi juga dapat berubah menjadi pintu terbuka untuk serangan. Berikut merupakan perbedaan dari komputer yang belum terserang malware backdoor dan komputer yang sudah terserang malware backdoor berdasarkan port yang terbuka, dijelaskan pada Gambar 11 dan Gambar 12.

  

Gambar 11 Komputer Sebelum Terjadi Serangan Gambar 11 merupakan gambar port dari komputer yang belum terjadi serangan malware backdoor.

  

Gambar 12 Komputer Setelah Terserang Backdoor

  Seperti terlihat pada Gambar 12 merupakan port yang terbuka setelah file pdf dibuka, komputer membuka port 4444 dari Ip Address 192.168.43.223 yang merupakan Ip Address attacker. Port 4444 menggunakan TCP/IP, TCP memungkinkan 2 host untuk saling terkoneksi dan bertukar data. Trojan atau virus biasanya menggunakan port ini untuk saling berkomunikasi, sehingga malware

  

backdoor ini juga menggunakan port 4444 untuk memberikan pintu akses kepada

attacker .

d. Analisa Statis Javascript

  Analisis statis biasanya mengikuti analisa dinamis. Analisa statis relatif menyita waktu dan lebih kompleks yang memerlukan pengetahuan teori. Statis lebih kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan

  

Disassembly, Decompile, Debugging kepada malware tersebut.[6]. Tujuan dari

  melakukan analisis code adalah untuk memahami cara kerja dari malware, dan untuk memverifikasi hasil yang diperoleh dari analisa dinamika.

  Pada bagian ini akan dibahas mengenai analisa struktur dari file pdf yang sudah disisipi malicious code menggunakan alat bantu PeePdf Forensics yang terdapat pada Backtrack 5 R3 dan PDFStreamDumper. Peepdf adalah tool Phyton untuk mengeksplorasi file pdf dalam rangka mengetahui file pdf yang berbahaya atau tidak, tujuan dari tool ini adalah untuk menyediakan semua komponen yang dibutuhkan untuk menganalisis keamanan dalam file pdf. Pdf Stream Dumper adalah perangkat gratis untuk analisis dokumen pdf berbahaya, juga memiliki beberapa fitur yang dapat mengetahui kerentanan file pdf.

  Berikut merupakan struktur file pdf yang di lihat menggunakan tool forensics PeePdf.

  

Gambar 13 Struktur File novirus.pdf

  Gambar 13 merupakan informasi yang bisa di dapat ketika membuka file pdf dengan menggunakan PeePdf. PeePdf memberikan informasi dari nama file, type

  

malware yang digunakan dalam file pdf, size dari file pdf hingga object yang

digunakan dalam file dan stream yang terdapat dalam file pdf tersebut.

  Masing-masing object tersebut saling berkaitan dalam mendeteksi javascript yang terdapat pada file template.pdf di bawah ini.

  

Gambar 14 Struktur File template.pdf

  File pdf yang berbahaya ditunjukan pada bagian Suspicious Element.[12].

Suspicious Element teruraikan menjadi beberapa bagian dan bagian inilah yang

sering disalahgunakan dalam menyisipkan malware dalam bentuk javascript.

  Adapun bagiannya, yaitu : /OpenAction, /Name, /JS, /AA, /Launch, /Javascript (intruksi program, menyediakan akses script yang di-embedded).

  Seperti terlihat pada Gambar 14, analisa di mulai dari Object pertama adalah Catalog pada Object 13.

  

Gambar 15 Object Catalog

  Seperti terlihat pada Gambar 15, terdapat object /OpenAction. /OpenAction adalah object yang memegang referensi untuk sebuah string atau stream yang mengandung kode javascript. Isi dari /OpenAction adalah 22 0 R, artinya javascript yang disisipkan mengarah ke object 22.

  

Gambar 16 Object 22 pada File PDF

  Gambar 16 menunjukkan javascript yang terdapat pada object 22 dengan type data /Action. Object 22 merupakan bagian dari Suspicious Elements yang terdapat pada file tamplate.pdf. Javascript yang tersisipkan pada Object 22 dapat dilihat pada Gambar 16. Javascript pada Gambar 16 menggunakan fungsi this.exportDataObject(), fungsi ini termasuk masukan parameter untuk meluncurkan atau membuka sebuah file yang dilampirkan yang terpasang di program. cName : “form”, adalah parameter yang diperlukan untuk menentukan

  

file lampiran (javascript yang disisipkan) yang akan diekspor atau dijalankan,

  yang dimaksud dijalankan di sini adalah file dengan nama tamplate.pdf. nLaunch : 0, artinya mengarahkan Adobe Reader untuk menyimpan file lampiran (javascript yang disisipkan) ke sementara file dan kemudian meminta sistem operasi untuk membuka template.pdf, nilai 0 menyebabkan file lampiran (javascript yang disisipkan) untuk bisa dijalankan. Kode ini akan bekerja di pdf reader, kode ini pada saat pertama kali dijalankan akan muncul pop-up yang meminta pengguna untuk menyetujui lampiran untuk dieksekusi.

  Javascript yang di sisipkan dan dieksekusi merupakan javascript yang dapat mengendalikan komputer target oleh attacker melalui cmd.exe.

  

Gambar 17 PDFStreamDumper Scaning Malware

  Seperti yang terlihat pada Gambar 17 PDFStreamDumper men-scan file template.pdf dan mendapatkan javascript di Object ke 23. Isi dari Object 23 ini dapat ditelusuri dengan alat bantu PDFStreamDumper seperti pada Gambar 17 di bawah ini.

  

Gambar 18 Object 23 pada PDFStreamDumper

  Gambar 18 adalah javascript yang terdapat pada Object 23. Object 23 merupakan bagian dari Suspicious Elements, yang terdapat pada file tamplate.pdf. Gambar 18 menunjukkan javascript yang terdapat pada Object 23 dengan tipe data /Action dan dengan paramater /Launch. /Launch adalah parameter yang digunakan untuk mengarahkan Adobe Reader menyimpan dan menjalankan

  

javascript yang telah disisipkan.[12]. Javascript yang telah disisipkan tersebut

  menjalankan perintah untuk masuk ke dalam system windows komputer target dan dapat mengendalikan cmd.exe yang terdapat di directory c:\windows\system32 komputer target ketika template.pdf di jalankan.

  4.1.2 MAER (Malware Analysis Environment dan Requirement)

  Pada penelitian ini ditentukan MAER sebagai penunjang penelitian. MAER merupakan komponen penting dalam malware analysis karena MAER merupakan sebuah media laboratorium untuk analisa malware. MAER dalam penelitian ini antara lain:

  1. Malware Repository menggunakan virusshare.

  2. Virtual Machine Environment menggunakan virtualbox.

  3. Network Hub menggunakan konfigurasi host only adapter.

  4.1.3 Malware Define

  Pada penelitian ini menyisipkan malware backdoor ke dalam file berformat PDF. malware backdoor termasuk ke dalam tipe Trojan variant dengan MD5 c99d3b955c56f22cf23edbb383f11cc0.

  Malware berfungsi sebagai pintu belakang yang membuka pintu komunikasi melalui networking dengan server control. Malware ini merupakan malware dengan sifat backdoor yang mempunyai kemampuan untuk berkomunikasi dengan penyusup melalui port yang terbuka.

  4.1.4 Goal Malware Analysis

  Dengan hipotesa yang telah dikemukakan dari malware define maka goal

  malware analisys dengan sample backdoor adalah sebagai berikut:

  1. Perubahan pada sistem yang terinfeksi malware

  2. Komunikasi malware didalam network

  3. Pencarian informasi server control

  4. Data yang dicuri 5.

   Simpulan

  Dokumen yang berformat pdf masih dapat disisipkan malware. Pengemasan

  

backdoor dilakukan dengan menyisipkannya pada file berformat pdf,

menggunakan tool Social Engineering Toolkit yang terdapat pada Backtrack 5 R3.

  Setelah itu, file tersebut diuji didalam komputer windows target. Saat file pdf yang sudah disisipi malware dibuka oleh target, file tersebut sebagai perantara membuka pintu untuk attacker masuk kedalam sistem komputer target melalui

  

port 4444. Port 4444 merupakan port TCP/IP. TCP/IP memungkinkan 2 host

  untuk saling terkoneksi dan bertukar data. Dampak yang yang dihasilkan adalah

attacker dapat memonitoring komputer target dan melakukan keylogger.

  

Keylogger adalah malware yang dibuat dengan tujuan untuk mencatat setiap

  tekanan tombol pada keyboard. Dengan cara ini, attacker bisa mengetahui , password, dan berbagai informasi lain yang dimasukkan dengan cara

  username pengetikan.

  Saran pertahanan yang diberikan adalah upgrade Adobe Reader, karena Adobe Reader versi 9.1 mempunyai celah keamanan yang bisa di manfaatkan pihak-pihak tidak bertanggung jawab. Antivirus yang di mana dapat menangkal serangan data seperti Kapersky dan Avast.

  Saran pengembangan yang dapat diberikan untuk penelitian lebih lanjut adalah malware adalah topik penelitian yang masih sangat terbuka luas. Selain

  

Reverse Engineering , deteksi malware dapat dilakukan pula menggunakan teknik

Signature Base Detection dan Behaviour Based.

6. Daftar Pustaka

  [1] Mandiant Intelligence Center Report. 2011. APT1: Exposing One of China's Cyber Espionage Units . http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf. [2] Nugroho, Heru Ari. Prayudi, Yudi. 2014. Penggunaan Teknik Reverse Engineering Pada

  Malware Analysis untuk Identifikasi Serangan Malware . Progam Studi Teknik Informatika Fakultas Teknlogi Informasi Universitas Islam Indonesia, Yogyakarta.

  

[3] Rahul Tyagi. 2011. Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0.

  Cyber Security & Anti-Hacking Organization, India.

[4] Simarmata, Chandra Irvan Diky. Saragih, Naikson Fandier. 2012. Analisis Forensik

  Teknologi Informasi dengan Barang Bukti Hardisk , www.academia.edu/8043511/Digital_Forensic_Analysis_with_Hardisk_as_Digital_Evidence [5] Achmad, Faizal. 2013. Undetectable Backdoor : The Art of Malicious Software and Social

Engineering . Program Studi Teknik Elektro dan Informatika Institut Teknologi Bandung,

Bandung.

  [6] Ulucenk, Caglar. Varadharajan, Vijay. Balakrishnan, Venkat, Tupakula, Udaya. 2011.

  Techniques for Analysing PDF Malware . Faculty of Science, Macquarie University, Sydney, Australia.

  [7] Teppalavalasa, Satyendra. 2010. Serangan Terhadap Portable Document Format (PDF). https://groups.yahoo.com/neo/groups/vaksin/conversations/messages/747. [8] Eilam, Eldad, 2007, Reversing, Secreet of Reverse Engineering, Indianapolis, Whiley Publishing.

  [9] Amin, Zaid. 2011. Metode Perancangan Jaringan dengan Model PPDIOO. http://news.palcomtech.com/metode-perancangan-jaringan-dengan-model-ppdioo/ [10] Sikroski, Michael. Honig, Andrew. 2012. Practical Malware Analysis, San Fransisco.

  [11] Ligh, M. H.. Adair, S. Hartstein, B. Richard, M. 2011. Malware Analyst: Tools and Techniques for fighting Malicious. [12] Robledo, H.G. 2012. Analyzing Characteristic of Malicious PDFs. IEEE Latin America Transactions, vol 10, No. 3. [13] Schmitt, Florian. Gassen,Gerhards-Padilla, Elmar. 2012. PDF Scrutinizer: Detecting JavaScript-Based Attacks in PDF Documents ., Tenth Anual International Conference on Privacy, Security and Trust.