Institutional Repository | Satya Wacana Christian University: Analisa Malicious Code pada PDF Attack Menggunakan Teknik Reverse Engineering

(1)

Analisa

Malicious Code

pada PDF

Attack

Menggunakan

Teknik Reverse Engineering

Artikel Ilmiah

Peneliti:

Lidya Desy Natalia (672010031) Irwan Sembiring, S.T., M.Kom.

Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

(2)

i

Analisa

Malicious Code

pada PDF

Attack

Menggunakan

Teknik Reverse Engineering

Artikel Ilmiah

Diajukan kepada Fakultas Teknologi Informasi

untuk memperoleh Gelar Sarjana Komputer

Peneliti:

Lidya Desy Natalia (672010031) Irwan Sembiring, S.T., M.Kom.

Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

(3)

(4)

(5)

(6)

(7)

(8)

(9)

viii

Analisa

Malicious Code

pada PDF

Attack

Menggunakan Teknik

Reverse Engineering

1)_{Lidya Desy Natalia,}2)_{Irwan Sembiring, S.T., M.Kom}

Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

Jalan Diponegoro 52-60, Salatiga 50771, Jawa Tengah, Indonesia Email: nattalidya@gmail.com

Abstract

Nowdays, pdf is one of the widely used applications for sharing documents. Pdf contains combination content between text, vector graphics and graphics raster, pdf can also be inserted a content audio and video. Pdf can contain interactive element as explanation, the hypertext, link besides pdf files can also be imported into other applications like web pages. However, its wider acceptance among the user community has also attracted the attackers to develop and spread malware using PDF files. Most of the existing security tools are not equipped to deal with the attacks related to PDF reader. In this paper we present techniques that can be used by an attacker to generate PDF attacks. Then we propose portable document scanner (PeePDF and PDFStreamDumper) which can detect the attacks by analyzing the suspicious objects and the scripts that are embedded in the documents, with dynamic and static analysis techniques to deal with the malware.

Keyword: PDF Malware, Static Analysis, Dinamic Analysis.

Abstrak

Saat ini, pdf merupakan salah satu aplikasi yang banyak digunakan untuk berbagi dokumen. Pdf berisi konten kombinasi antara text, grafis vector dan grafis raster, pdf juga bisa disisipi sebuah konten audio maupun video. Pdf dapat memuat unsur interaktif seperti penjelasan, link hypertext, selain itu file pdf juga dapat diimpor kedalam aplikasi lain seperti halaman web. Karena penggunaan yang semakin luas di kalangan masyarakat ini, membuat para penyusup tertarik untuk mengembangkan dan menyebarkan malware

yang menggunakan file pdf. Sebagian besar pdf reader, tidak dilengkapi untuk menghadapi serangan terkait dengan kelemahan pdf. Dalam tulisan ini dibahas tentang teknik yang digunakan oleh penyusup untuk menghasilkan serangan pdf, dan mengajukan (PeePdf dan PDFStreamDumper) sebagai alat pemindai portabel yang dapat mendeteksi serangan pdf dengan menganalisis script mencurigakan yang tertanam dalam file pdf, dengan teknik Analisa Dinamis dan Statis.

Kata Kunci: PDF Malware, Analisa Statis, Analisa Dinamis.

1)Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya Wacana Salatiga.

(10)

1 1. Pendahuluan

Dalam beberapa Tahun terakhir ini telah terjadi serangan malware yang cukup mengganggu komunitas dunia TIK. Salah satu serangan tersebut adalah malware dengan nama operasi APT1 telah berhasil menyerang sistem di beberapa negara. Kemudian setelah dilakukan analisa pada beberapa sample malware, serangan tersebut disinyalir didalangi oleh pemerintahan China dengan bukti yang telah berhasil diperoleh mengarah pada People’s liberation Army (PLA), General Staff Department (GSD), 3rd Department (Military Cover Designator 61389).[1].

Menurut jurnal “Penggunaan Teknik Reverse Engineering Pada Malware

Analysis Untuk Identifikasi Serangan Malware”, malware sebuah aplikasi yang

dirancang khusus untuk dapat menyusup kedalam sistem tanpa diketahui pemilik sistem melalui sebuah program yang sudah dibuat dalam bentuk executable,

compile ke : word, pdf, doc, dll. Lebih sederhananya malware merupakan sebuah

aplikasi yang dirancang untuk membuat celah pada keamanan sistem komputer.[2].

Dalam kurun waktu yang cukup lama dokumen pdf sering digunakan oleh pengguna komputer sebagai salah satu media pertukaran informasi. Dokumen pdf merupakan sebuah format berkas untuk keperluan pertukaran dokumen digital. Format pdf digunakan untuk merepresentasikan dokumen dua dimensi yang meliputi teks dan grafik. Pentingnya pdf mengakibatkan hampir setiap pengguna komputer menjadi semakin bergantung pada teknologi informasi untuk lebih efisien dalam mencari referensi dan menyelesaikan tugas.

Karena pembaca dokumen pdf semakin meningkat, banyak penyusup menjadikan dokumen pdf sebagai strategi distribusi malware. Dalam konteks ini, dokumen pdf memiliki celah keamanan yang disalahgunakan oleh oknum tertentu sebagai media eksploitasi terhadap komputer target. Dokumen pdf sering dianggap dapat dipercaya atau aman oleh pengguna komputer, dan penyerang sering menyamarkan dengan isi dokumen yang menarik. Sehingga para target tidak mengetahui bahwa file pdf yang dibuka telah tersisipkan malware.

Pada penelitian ini diajukan suatu cara untuk melakukan analisis serangan

malware pada file pdf. Penelitian ini membutuhkan sebuah teknik untuk dapat

menganalisa malware tersebut. Aplikasi tersebut umumnya memuat sebuah perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti menyebarkan virus, trojan, worm, atau memasang backdoor ke dalam sistem.

Berdasarkan latar belakang masalah yang ada, maka dilakukan sebuah penelitian yang bertujuan menganalisa serangan malware pada file pdf menggunakan Backtrack 5 R3 dan Teknik Reverse Engineering.

2. Kajian Pustaka

Berdasarkan jurnal yang ditulis oleh Rahul Tyagi pada tahun 2011 mengenai

Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0, penelitian

(11)

2

penelitian terdahulu penulis menyusup ke sistem operasi windows melalaui Exploitasi Framework.[3].

Penelitian yang berjudul Analisis Forensik Teknologi Informasi dengan Barang Bukti Hardisk yang dilakukan oleh Chandra Irvan dan Naikon Fandier pada tahun 2012 membahas tentang penggunaan forensik Teknologi Informasi (TI) dalam menemukan bukti kejahatan Komputer pada perangkat hardisk yang didalamnya sudah disisipkan malware untuk penyusup dapat masuk kedalam komputer korban dan menghapus file penting dalam komputer korban. Pada penelitian ini menggunakan tools forensic Autopsy pada Backtrack Linux 5 R1 digunakan sebagai alat tahapan forensic ini. Persamaan pada penelitian ini adalah penulis memanfaatkan tool yang terdapat pada Bactrack 5 untuk melakukan exploitasi dengan media yang berbeda yaitu file pdf dan juga memanfaatkan tool forensik yang terdapat pada Backtrack yaitu tool PeePdf.[4].

Penelitian berjudul Undetectable Backdoor : The Art of Malicious Software

and Social Engineering oleh Faizal Achmad tahun 2013 ini membahas tentang

penyisipan sebuah Backdoor yang diimplementasikan pada sebuah game dan sebuah antivirus. Ketika target menginstall game dan antivirus tersebut sebenarnya target juga sedang menjalankan sebuah backdoor tersebut. Persamaan dari penelitian terdahulu ini adalah penyisipan sebuah backdoor namun yang di implementasikan pada sebuah file pdf dengan tujuan yang sama pada penelitian terdahulu yaitu menyusup ke dalam sistem operasi windows.[5].

Pada ummnya file pdf berisi konten kombinasi antara text, grafis vector dan grafis raster, namun pdf juga bisa disisipi sebuah konten audio maupun video, file pdf dapat memuat unsur interaktif seperti link hypertext, selain itu file pdf juga dapat diimpor kedalam aplikasi lain seperti halaman web.

Pdf pada dasarnya terdiri dari komponen yang disebut objek, dan semua objek diwakili sebagai urutan byte. Penampilan halaman digambarkan oleh objek-objek yang ditampilkan pada halaman. Munculnya aliran konten digital, yang biasa disebut aplikasi pdf reader. [6].

File pdf terdiri dari Header, Body, Cross Table Reference, Trailer, dan

beberapa komponen opsional. Header menentukan versi pdf, Body yang berisi informasi tentang objek tidak langsung dan Trailer menentukan posisi Cross

Table Reference. File Header berada di bagian atas setiap file pdf untuk

menentukan versi pdf.[6].

Beberapa waktu terakhir diketahui bahwa tingkat kelemahan pdf semakin meninggi.[7]. Berikut sejumlah kelemahan pdf dan teknik-teknik serangan

vulnerabilitas pada pdf reader: 1). Vulnerabilitas PDF URI, kelemahan ini

berhubungan dengan Adobe PDF’s mailto URI, dimana URI (Uniform Resource

Identifier) dipakai sebagai akses ke sistem file lokal pada komputer pengguna

untuk melancarkan serangan. Pada kasus ini, penyerang dapat menciptakan

request spesial URI. Sebagai contoh, request di bawah ini mampu mengakses

(12)

3

malware melalui internet sehingga menginfeksi komputer pengguna. 2).

Vulnerabilitas PDF J2BIG, adalah format kompresi gambar yang dapat dipakai sebagai sistem embedded dalam men-display gambar. Ketika sebuah dokumen pdf ter-display maka sistem itu akan terurai menjadi gambar. Vulnerabilitas ini dapat di-eksploit melalui pdf khusus berisi stream JBIG2 dengan header yang sudah dikorup. Ketika stream ini diinterprestasikan oleh Acrobat Reader maka akan menghasilkan arus buffer atau penahan. Arus buffer ini dapat digunakan untuk mengeksekusi kode arbitrasi salam konteks pengguna terkini melakukan

logged-in. Para pembuat malware telah mengeksplotasi kelemahan ini untuk

menyebarkan infeksi malware engan menggunakan file pdf yang mengandung

stream JBIG2 yang sudah termodifikasi. Hal ini akan menyebabkan crash pada

Adobe Acrobat Reader. 3). Vulnerabilitas yang berkaitan dengan fungsi PDF

Javascript, Di bagian ini membahas beberapa vulnerabilitas terkini yang menggunakan obyek javascript dalam pdf. Sejumlah fungsi dalam javascript yang lemah dan tidak aman, dieksploitasi menggunakan javascript yang diakali bersama dengan pdf. 4). UXSS (Universal Cross Site Scripting) dalam PDF, Vulnerabilitas ini berhubungan dengan bagaimana pdf yang ber-host di web dapat digunakan untuk menjalankan serangan XSS. Di sini penyerang mengirim email dengan menggunakan teknik social engineering untuk mengakali konten pesan dan menyembunyikan link tersembunyi ke file pdf yang ada di server bersih. Ketika pengguna mengeklik link itu, penyerang melampirkan script yang sudah dieksekusi dalam meligitimasi sesi web. Kelemahan ini tergantung pada keyakinan si pengguna, dimana malware dapat dieksekusi sepanjang pengguna percaya bahwa mereka mengklik link yang benar.[7].

Malicous software yang biasa dikenal dengan sebutan malware merupakan

sebuah aplikasi yang dirancang khusus untuk dapat menyusup kedalam sistem tanpa diketahui pemilik sistem. Aplikasi tersebut umumnya memuat sebuah perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti menyebarkan virus, trojan, worm, atau memasang backdoor didalam sistem. Lebih sederhananya malware merupakan sebuah aplikasi yang dirancang untuk membuat celah pada keamanan sistem komputer. Malware adalah sebuah program yang sudah dibuat dalam bentuk executable, dalam bentuk compile ke: word, pdf, doc, dll extension, dll.

Dengan hal tersebut kita membutuhkan sebuah teknik untuk dapat menganalisa malware. Dalam penelitian ini menggunakan teknik Reverse

Engineering, ada 2 pendekatan dalam melakukan analisa malware menggunakan

teknik Reverse Engineering: Analisa statis dan analisa dinamis. Statis lebih kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan

disassembly, decompile, debugging kepada malware tersebut.[8]. Sedangkan

(13)

4 3. Metode Penelitian

Metode penyelesaian yang digunakan pada penelitian ini yaitu metode PPDIOO (Prepare, Plan, Desaign, Implement, Operate and Optimize). Pada metode ini ada beberapa tahap dalam membangun sebuah backdoor dalam sebuah file pdf. Dengan adanya tahapan-tahapan pada perancangan akan lebih mudah dalam pengerjaan serta mempermudah dalam menganalisis malware backdoor.

Metode PPDIOO adalah sebuah metode penelitian yang dikembangkan oleh Cisco System. Metode ini dipilih karena cocok dengan sistem dan pengujian yang akan dilakukan.

Gambar 1 Skema Metodelogi PPDIOO (Cisco, 2005)

(14)

5

Gambar 2 Topologi Jaringan

Gambar 2 menunjukkan topologi jaringan yang akan digunakan dalam implementasi pada penelitian ini dimana 1 Laptop bertindak sebagai attacker pada VM Backtrack, dan sistem operasi Windows 7 sebagai laptop user terget. Fase

Implement. Implement adalah tahapan dimana perangkat yang telah terintegrasi

dalam desain sistem akan diterapkan pada perangkat fisik. Gambar 3 merupakan proses implementasi malware backdoor ke dalam file berformat pdf.

Gambar 3.Implementasi Malware ke dalam File Pdf

Fase Operate. Operate adalah tahapan pengujian sistem yang dilakukan pada waktu nyata serta melakukan proses monitoring. Pada tahap operate dapat dilakukan proses perbaikan pada sistem yang sudah dibuat, hal ini akan disesuaikan dengan analisis yang dilakukan pada sistem yang dibuat. Pada tahap ini dapat dilakukan pemecahan masalah yang timbul selama proses yang mengakibatkan tidak berjalannya proses komunikasi secara baik dalam jaringan. Fase Optimize. Optimize adalah tahap terakhir dimana setelah melakukan implementasi dan analisis, tahapan ini juga dilakukan penilaian terhadap sistem yang dibangun apakah sudah sesuai dengan tujuan awal serta pencapaian yang sudah dilakukan.

Konsep penelitian ini menggunakan teknik analisa Malware dengan Reverse

Engineering [10] yaitu, antara lain: Malware Defined. Tahap pertama dalam

(15)

6

Define Goal Malware Analysis. Analisa Malware memiliki goal atau tujuan yang harus tercapai untuk membuktikan keberhasilan dari pembongkaran Malware. Secara umum tujuan itu menentukan apa yang terjadi, memastikan file, dan mesin yang mempunyai kemungkinan terkena infeksi Malware. MAER (Malware

Analysis Environtment and Requirement). Malware analysis environment

merupakan pembahasan yang mengarah pada kebutuhan seorang peneliti Malware dalam melakukan penelitian terhadap Malware. Pada Malware analisis

environment tidak dijelaskan mengenai teknik atau proses analisa Malware tetapi

pembahasan ini mengarah pada komponen, design, dan arsitektur yang diperlukan dalam membangun laboratorium Malware analisis. Komponen yang ada didalam MAER antara lain: Malware Source, Virtual machine environment, Network hub.

Malware Identification. Proses identifikasi Malware merupakan sebuah tahapan

seorang Malware analisis mendapatkan identitas dan data string dari sample

Malware. Monitoring Aktifitas Malware. Pada tahapan ini dilakukan monitoring

dari perilaku Malware untuk mengetahui bagaimana Malware berinteraksi dengan sistem. Tahap ini dibutuhkan untuk memudahkan ketika dilakukannya proses

disassembly karena sudah mengetahui alur proses dari sample Malware.

Disassembly, Decompile, Debugging. Tahap ini merupakan tahapan yang paling

dominan dalam melakukan reverse engineering Malware. Pada tahap debugging,

assembly, dan disassembly dilakukan pembongkaran source dari Malware untuk

mencari informasi untuk membuktikan hipotesa awal setelah dilakukan tahapan sebelumnya.

4. Hasil dan Pembahasan

Pada bagian ini dibahas tentang hasil dari implementasi sistem berdasarkan perancangan yang telah dibuat dengan tahapan analisa menggunakan reverse

engineering. Dalam melakukan reverse engineering malware dapat dilakukan

menggunakan sebuah prosedur malware analysis. Pada penelitian ini prosedur malware analysis menggunakan teknik Reverse Engineering mengacu pada jurnal Malware Analyst oleh Ligh, M. H. tahun 2011.[11].

4.1 Menentukan SOP (Standard Of Procedure)

Untuk memudahakan dalam melakukan penelitian ini digunakan standard of procedure untuk merincikan pembahasan yang akan dibahas pada pengujian malware. Pada penentuan SOP ditentukan pembahasan dibagi menjadi 5 yaitu:

(16)

7 4.1.1 Basic Analysis

Basic Analysis malware didalamnya melibatkan 2 teknik[8], yaitu Analisa Dinamis dan Analisa Statis. Melakukan analisis statis dan dinamis secara bersama-sama dapat membantu mengidentifikasi tujuan dan kemampuan dari

malware dan dapat memberikan serangkaian indikator teknis yang tidak hanya

dicapai oleh analisis statis.

a. Analisa Dinamis

Analisa Dinamis adalah analisa dengan memberikan respon yang cepat dan yang terlihat dengan kasat mata.[6]. Berikut adalah tampilan file pdf yang sudah disisipi Javascript saat pertama kali dijalanakan. Saat file template.pdf dibuka, file tersebut meminta untuk save sebuah file form.pdf.

Gambar 5 Save Form.pdf

Gambar 5 merupakan file form.pdf bersifat seperti autorun.inf berfungsi untuk menjalankan secara otomatis suatu program atau file yang terdapat pada media penyimpanan. Sehingga, apabila user menyetujui untuk save file tersebut maka dengan begitu backdoor sudah tertanam didalam sistem komputer user. Setelah backdoor tertanam, Adobe Reader memberikan informasi bahwa apabila

file template.pdf dibuka, dengan begitu maka ada file lain juga yang ikut

dijalankan. Namun, biasanya user sering kali mengabaikan peringatan ini karna beranggapan bahwa file tersebut adalah aman.

Gambar 6 Peringatan dari Adobe Reader

Gambar 6 menununjukan AcroRd32info.exe yang di miliki oleh Adobe Reader. AcroRd32info.exe ini yang bertanggungjawab untuk memberikan informasi atau pesan peringatan dari Adobe Reader[6], bahwa file yang dibuka mengandung javascript yang bisa dieksekusi saat file tersebut dijalankan atau saat

(17)

8

Ketika user meng-klik “Open” pada file template.pdf dengan begitu user memberikan attacker akses masuk ke dalam sistem komputer user sebagai target, seperti terlihat pada Gambar 7. Meterpreter membuka koneksi dari komputer attacker (ip address: 192.168.43.223) dengan komputer target (192.168.43.116) dengan menggunakan port 4444 dan port 2868. Meterpreter adalah dari fitur metasploit yang menggunakan DLL injection untuk berkomunikasi melalui socket.[13].

Gambar 7 Meterpreter

b. Teknik Penyerangan

Sesaat sesudah user windows 7 mengaktifkan backdoor, maka terciptalah saluran komunikasi antara komputer attacker dan komputer user windows 7 dalam bentuk sessions, seperti tampilan pada Gambar 8 dibawah ini.

Gambar 8 Tampilan Session pada Komputer Attacker

Attacker mengendalikan komputer user windows 7 melalui perantara

backdoor. Attacker berkomunikasi dengan backdoor menggunakan protokol TCP

di port 4444. Terlihat bahwa attacker dapat mengakses command prompt dari

user windows 7, terlihat pada gambar 9.

Gambar 9 Command prompt Backtrack dan Windows

Attacker dapat memonitoring komputer target melalui command prompt,

(18)

9

target. Attacker bisa memonitoring komputer target melalui perintah-perintah yang ada dalam command prompt.

Kegiatan diatas dinamakan payload metasploit. Payload adalah bagian dari perangkat lunak yang memungkinkan untuk memonitoring sistem komputer setelah di eksploitasi.[13]. Payload metasploit yang paling populer disebut meterpreter, yang memungkinkan untuk melakukan segala macam monitoring pada sistem target. Misalnya, keylogger yang dijelaskan pada Gambar 10.

Gambar 10 Keylogger

Gambar 10 merupakan salah satu dampak dari penyerangan backdoor yang di kemas dalam file pdf, yaitu keylogger. Keylogger adalah malware yang dibuat dengan tujuan untuk mencatat setiap tekanan tombol pada keyboard.[13]. Catatan yang disimpan dalam suatu file yang bisa dilihat kemudian itu lengkap. Di dalamnya bisa terdapat informasi seperti aplikasi tempat penekanan tombol dilakukan dan waktu penekanan.

Dengan cara ini, seseorang bisa mengetahui username, password, dan berbagai informasi lain yang dimasukkan dengan cara pengetikan. Keylogger ini cukup berbahaya karena secanggih apa pun enkripsi yang diterapkan oleh suatu

website, password itu tetap dapat diambil. Karena, password itu diambil sebelum

sempat dienkripsi oleh sistem.[13]. Keylogger merekam sesaat setelah password diketikkan dan belum diproses oleh sistem_.

c. Port

Port terbuka tetap menjadi kerentanan, hal ini mengizinkan koneksi untuk aplikasi tetapi juga dapat berubah menjadi pintu terbuka untuk serangan. Berikut merupakan perbedaan dari komputer yang belum terserang malware backdoor dan komputer yang sudah terserang malware backdoor berdasarkan port yang terbuka, dijelaskan pada Gambar 11 dan Gambar 12.

(19)

10

Gambar 11 merupakan gambar port dari komputer yang belum terjadi serangan malware backdoor.

Gambar 12 Komputer Setelah Terserang Backdoor

Seperti terlihat pada Gambar 12 merupakan port yang terbuka setelah file pdf dibuka, komputer membuka port 4444 dari Ip Address 192.168.43.223 yang merupakan Ip Address attacker. Port 4444 menggunakan TCP/IP, TCP memungkinkan 2 host untuk saling terkoneksi dan bertukar data. Trojan atau virus biasanya menggunakan port ini untuk saling berkomunikasi, sehingga malware backdoor ini juga menggunakan port 4444 untuk memberikan pintu akses kepada attacker.

d. Analisa Statis Javascript

Analisis statis biasanya mengikuti analisa dinamis. Analisa statis relatif menyita waktu dan lebih kompleks yang memerlukan pengetahuan teori. Statis lebih kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan

Disassembly, Decompile, Debugging kepada malware tersebut.[6]. Tujuan dari

melakukan analisis code adalah untuk memahami cara kerja dari malware, dan untuk memverifikasi hasil yang diperoleh dari analisa dinamika.

Pada bagian ini akan dibahas mengenai analisa struktur dari file pdf yang sudah disisipi malicious code menggunakan alat bantu PeePdf Forensics yang terdapat pada Backtrack 5 R3 dan PDFStreamDumper. Peepdf adalah tool Phyton untuk mengeksplorasi file pdf dalam rangka mengetahui file pdf yang berbahaya atau tidak, tujuan dari tool ini adalah untuk menyediakan semua komponen yang dibutuhkan untuk menganalisis keamanan dalam file pdf. Pdf Stream Dumper adalah perangkat gratis untuk analisis dokumen pdf berbahaya, juga memiliki beberapa fitur yang dapat mengetahui kerentanan file pdf.

(20)

11

Gambar 13 Struktur File novirus.pdf

Gambar 13 merupakan informasi yang bisa di dapat ketika membuka file pdf dengan menggunakan PeePdf. PeePdf memberikan informasi dari nama file, type

malware yang digunakan dalam file pdf, size dari file pdf hingga object yang

digunakan dalam file dan stream yang terdapat dalam file pdf tersebut.

Masing-masing object tersebut saling berkaitan dalam mendeteksi javascript yang terdapat pada file template.pdf di bawah ini.

(21)

12

File pdf yang berbahaya ditunjukan pada bagian Suspicious Element.[12].

Suspicious Element teruraikan menjadi beberapa bagian dan bagian inilah yang sering disalahgunakan dalam menyisipkan malware dalam bentuk javascript. Adapun bagiannya, yaitu : /OpenAction, /Name, /JS, /AA, /Launch, /Javascript (intruksi program, menyediakan akses script yang di-embedded).

Seperti terlihat pada Gambar 14, analisa di mulai dari Object pertama adalah Catalog pada Object 13.

Gambar 15 Object Catalog

Seperti terlihat pada Gambar 15, terdapat object /OpenAction. /OpenAction adalah object yang memegang referensi untuk sebuah string atau stream yang mengandung kode javascript. Isi dari /OpenAction adalah 22 0 R, artinya javascript yang disisipkan mengarah ke object 22.

Gambar 16 Object 22 pada File PDF

Gambar 16 menunjukkan javascript yang terdapat pada object 22 dengan type data /Action. Object 22 merupakan bagian dari Suspicious Elements yang terdapat pada file tamplate.pdf. Javascript yang tersisipkan pada Object 22 dapat dilihat pada Gambar 16. Javascript pada Gambar 16 menggunakan fungsi this.exportDataObject(), fungsi ini termasuk masukan parameter untuk meluncurkan atau membuka sebuah file yang dilampirkan yang terpasang di program. cName : “form”, adalah parameter yang diperlukan untuk menentukan file lampiran (javascript yang disisipkan) yang akan diekspor atau dijalankan, yang dimaksud dijalankan di sini adalah file dengan nama tamplate.pdf. nLaunch : 0, artinya mengarahkan Adobe Reader untuk menyimpan file lampiran (javascript yang disisipkan) ke sementara file dan kemudian meminta sistem operasi untuk membuka template.pdf, nilai 0 menyebabkan file lampiran (javascript yang disisipkan) untuk bisa dijalankan. Kode ini akan bekerja di pdf reader, kode ini pada saat pertama kali dijalankan akan muncul pop-up yang meminta pengguna untuk menyetujui lampiran untuk dieksekusi.

Javascript yang di sisipkan dan dieksekusi merupakan javascript yang dapat

(22)

13

Gambar 17 PDFStreamDumper Scaning Malware

Seperti yang terlihat pada Gambar 17 PDFStreamDumper men-scan file template.pdf dan mendapatkan javascript di Object ke 23. Isi dari Object 23 ini dapat ditelusuri dengan alat bantu PDFStreamDumper seperti pada Gambar 17 di bawah ini.

Gambar 18 Object 23 pada PDFStreamDumper

Gambar 18 adalah javascript yang terdapat pada Object 23. Object 23 merupakan bagian dari Suspicious Elements, yang terdapat pada file tamplate.pdf. Gambar 18 menunjukkan javascript yang terdapat pada Object 23 dengan tipe data /Action dan dengan paramater /Launch. /Launch adalah parameter yang digunakan untuk mengarahkan Adobe Reader menyimpan dan menjalankan

javascript yang telah disisipkan.[12]. Javascript yang telah disisipkan tersebut

(23)

14

dan dapat mengendalikan cmd.exe yang terdapat di directory c:\windows\system32 komputer target ketika template.pdf di jalankan.

4.1.2 MAER (Malware Analysis Environment dan Requirement)

Pada penelitian ini ditentukan MAER sebagai penunjang penelitian. MAER merupakan komponen penting dalam malware analysis karena MAER merupakan sebuah media laboratorium untuk analisa malware. MAER dalam penelitian ini antara lain:

1. Malware Repository menggunakan virusshare.

2. Virtual Machine Environment menggunakan virtualbox.

3. Network Hub menggunakan konfigurasi host only adapter.

4.1.3 Malware Define

Pada penelitian ini menyisipkan malware backdoor ke dalam file berformat PDF. malware backdoor termasuk ke dalam tipe Trojan variant dengan MD5 c99d3b955c56f22cf23edbb383f11cc0.

Malware berfungsi sebagai pintu belakang yang membuka pintu komunikasi melalui networking dengan server control. Malware ini merupakan malware dengan sifat backdoor yang mempunyai kemampuan untuk berkomunikasi dengan penyusup melalui port yang terbuka.

4.1.4 Goal Malware Analysis

Dengan hipotesa yang telah dikemukakan dari malware define maka goal malware analisys dengan sample backdoor adalah sebagai berikut:

1. Perubahan pada sistem yang terinfeksi malware 2. Komunikasi malware didalam network

3. Pencarian informasi server control 4. Data yang dicuri

5. Simpulan

Dokumen yang berformat pdf masih dapat disisipkan malware. Pengemasan

backdoor dilakukan dengan menyisipkannya pada file berformat pdf,

menggunakan tool Social Engineering Toolkit yang terdapat pada Backtrack 5 R3. Setelah itu, file tersebut diuji didalam komputer windows target. Saat file pdf yang sudah disisipi malware dibuka oleh target, file tersebut sebagai perantara membuka pintu untuk attacker masuk kedalam sistem komputer target melalui

port 4444. Port 4444 merupakan port TCP/IP. TCP/IP memungkinkan 2 host

untuk saling terkoneksi dan bertukar data. Dampak yang yang dihasilkan adalah

attacker dapat memonitoring komputer target dan melakukan keylogger.

Keylogger adalah malware yang dibuat dengan tujuan untuk mencatat setiap

tekanan tombol pada keyboard. Dengan cara ini, attacker bisa mengetahui

username, password, dan berbagai informasi lain yang dimasukkan dengan cara

(24)

15

Saran pertahanan yang diberikan adalah upgrade Adobe Reader, karena Adobe Reader versi 9.1 mempunyai celah keamanan yang bisa di manfaatkan pihak-pihak tidak bertanggung jawab. Antivirus yang di mana dapat menangkal serangan data seperti Kapersky dan Avast.

Saran pengembangan yang dapat diberikan untuk penelitian lebih lanjut adalah malware adalah topik penelitian yang masih sangat terbuka luas. Selain Reverse Engineering, deteksi malware dapat dilakukan pula menggunakan teknik Signature Base Detection dan Behaviour Based.

6. Daftar Pustaka

[1] Mandiant Intelligence Center Report. 2011. APT1: Exposing One of China's Cyber Espionage Units. http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf.

[2] Nugroho, Heru Ari. Prayudi, Yudi. 2014. Penggunaan Teknik Reverse Engineering Pada Malware Analysis untuk Identifikasi Serangan Malware. Progam Studi Teknik Informatika Fakultas Teknlogi Informasi Universitas Islam Indonesia, Yogyakarta.

[3] Rahul Tyagi. 2011. Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0. Cyber Security & Anti-Hacking Organization, India.

[4] Simarmata, Chandra Irvan Diky. Saragih, Naikson Fandier. 2012. Analisis Forensik Teknologi Informasi dengan Barang Bukti Hardisk,

www.academia.edu/8043511/Digital_Forensic_Analysis_with_Hardisk_as_Digital_Evidence [5] Achmad, Faizal. 2013. Undetectable Backdoor : The Art of Malicious Software and Social

Engineering. Program Studi Teknik Elektro dan Informatika Institut Teknologi Bandung, Bandung.

[6] Ulucenk, Caglar. Varadharajan, Vijay. Balakrishnan, Venkat, Tupakula, Udaya. 2011. Techniques for Analysing PDF Malware. Faculty of Science, Macquarie University, Sydney, Australia.

[7] Teppalavalasa, Satyendra. 2010. Serangan Terhadap Portable Document Format (PDF). https://groups.yahoo.com/neo/groups/vaksin/conversations/messages/747.

[8] Eilam, Eldad, 2007, Reversing, Secreet of Reverse Engineering, Indianapolis, Whiley Publishing.

[9] Amin, Zaid. 2011. Metode Perancangan Jaringan dengan Model PPDIOO.

http://news.palcomtech.com/metode-perancangan-jaringan-dengan-model-ppdioo/ [10] Sikroski, Michael. Honig, Andrew. 2012. Practical Malware Analysis, San Fransisco. [11] Ligh, M. H.. Adair, S. Hartstein, B. Richard, M. 2011. Malware Analyst: Tools and Techniques for fighting Malicious.

[12] Robledo, H.G. 2012. Analyzing Characteristic of Malicious PDFs. IEEE Latin America Transactions, vol 10, No. 3.