Analisa Malicious Code pada PDF Attack
Menggunakan Teknik Reverse Engineering
Artikel Ilmiah
Peneliti:
Lidya Desy Natalia (672010031)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2015
i
Analisa Malicious Code pada PDF Attack
Menggunakan Teknik Reverse Engineering
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
Lidya Desy Natalia (672010031)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2015
ii
iii
iv
v
vi
vii
viii
Analisa Malicious Code pada PDF Attack
Menggunakan Teknik Reverse Engineering
1)Lidya Desy Natalia, 2)Irwan Sembiring, S.T., M.Kom
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jalan Diponegoro 52-60, Salatiga 50771, Jawa Tengah, Indonesia
Email: [email protected]
Abstract
Nowdays, pdf is one of the widely used applications for sharing documents. Pdf
contains combination content between text, vector graphics and graphics raster, pdf can
also be inserted a content audio and video. Pdf can contain interactive element as
explanation, the hypertext, link besides pdf files can also be imported into other
applications like web pages. However, its wider acceptance among the user community
has also attracted the attackers to develop and spread malware using PDF files. Most of
the existing security tools are not equipped to deal with the attacks related to PDF
reader. In this paper we present techniques that can be used by an attacker to generate
PDF attacks. Then we propose portable document scanner (PeePDF and
PDFStreamDumper) which can detect the attacks by analyzing the suspicious objects and
the scripts that are embedded in the documents, with dynamic and static analysis
techniques to deal with the malware.
Keyword: PDF Malware, Static Analysis, Dinamic Analysis.
Abstrak
Saat ini, pdf merupakan salah satu aplikasi yang banyak digunakan untuk berbagi
dokumen. Pdf berisi konten kombinasi antara text, grafis vector dan grafis raster, pdf juga
bisa disisipi sebuah konten audio maupun video. Pdf dapat memuat unsur interaktif
seperti penjelasan, link hypertext, selain itu file pdf juga dapat diimpor kedalam aplikasi
lain seperti halaman web. Karena penggunaan yang semakin luas di kalangan masyarakat
ini, membuat para penyusup tertarik untuk mengembangkan dan menyebarkan malware
yang menggunakan file pdf. Sebagian besar pdf reader, tidak dilengkapi untuk
menghadapi serangan terkait dengan kelemahan pdf. Dalam tulisan ini dibahas tentang
teknik yang digunakan oleh penyusup untuk menghasilkan serangan pdf, dan mengajukan
(PeePdf dan PDFStreamDumper) sebagai alat pemindai portabel yang dapat mendeteksi
serangan pdf dengan menganalisis script mencurigakan yang tertanam dalam file pdf,
dengan teknik Analisa Dinamis dan Statis.
Kata Kunci: PDF Malware, Analisa Statis, Analisa Dinamis.
1) Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen
Satya Wacana Salatiga. 2) Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.
1
1. Pendahuluan
Dalam beberapa Tahun terakhir ini telah terjadi serangan malware yang
cukup mengganggu komunitas dunia TIK. Salah satu serangan tersebut adalah
malware dengan nama operasi APT1 telah berhasil menyerang sistem di beberapa
negara. Kemudian setelah dilakukan analisa pada beberapa sample malware,
serangan tersebut disinyalir didalangi oleh pemerintahan China dengan bukti yang
telah berhasil diperoleh mengarah pada People’s liberation Army (PLA), General
Staff Department (GSD), 3rd Department (Military Cover Designator 61389).[1].
Menurut jurnal “Penggunaan Teknik Reverse Engineering Pada Malware
Analysis Untuk Identifikasi Serangan Malware”, malware sebuah aplikasi yang
dirancang khusus untuk dapat menyusup kedalam sistem tanpa diketahui pemilik
sistem melalui sebuah program yang sudah dibuat dalam bentuk executable,
compile ke : word, pdf, doc, dll. Lebih sederhananya malware merupakan sebuah
aplikasi yang dirancang untuk membuat celah pada keamanan sistem
komputer.[2].
Dalam kurun waktu yang cukup lama dokumen pdf sering digunakan oleh
pengguna komputer sebagai salah satu media pertukaran informasi. Dokumen pdf
merupakan sebuah format berkas untuk keperluan pertukaran dokumen digital.
Format pdf digunakan untuk merepresentasikan dokumen dua dimensi yang
meliputi teks dan grafik. Pentingnya pdf mengakibatkan hampir setiap pengguna
komputer menjadi semakin bergantung pada teknologi informasi untuk lebih
efisien dalam mencari referensi dan menyelesaikan tugas.
Karena pembaca dokumen pdf semakin meningkat, banyak penyusup
menjadikan dokumen pdf sebagai strategi distribusi malware. Dalam konteks ini,
dokumen pdf memiliki celah keamanan yang disalahgunakan oleh oknum tertentu
sebagai media eksploitasi terhadap komputer target. Dokumen pdf sering
dianggap dapat dipercaya atau aman oleh pengguna komputer, dan penyerang
sering menyamarkan dengan isi dokumen yang menarik. Sehingga para target
tidak mengetahui bahwa file pdf yang dibuka telah tersisipkan malware.
Pada penelitian ini diajukan suatu cara untuk melakukan analisis serangan
malware pada file pdf. Penelitian ini membutuhkan sebuah teknik untuk dapat
menganalisa malware tersebut. Aplikasi tersebut umumnya memuat sebuah
perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti
menyebarkan virus, trojan, worm, atau memasang backdoor ke dalam sistem.
Berdasarkan latar belakang masalah yang ada, maka dilakukan sebuah
penelitian yang bertujuan menganalisa serangan malware pada file pdf
menggunakan Backtrack 5 R3 dan Teknik Reverse Engineering.
2. Kajian Pustaka
Berdasarkan jurnal yang ditulis oleh Rahul Tyagi pada tahun 2011 mengenai
Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0, penelitian
terdahulu ini memiliki persamaan metode yang digunakan untuk bisa menyusup
ke sistem windows target yaitu dengan menggunakan Backtrack 5 R3. Pada
2
penelitian terdahulu penulis menyusup ke sistem operasi windows melalaui
Exploitasi Framework.[3].
Penelitian yang berjudul Analisis Forensik Teknologi Informasi dengan
Barang Bukti Hardisk yang dilakukan oleh Chandra Irvan dan Naikon Fandier
pada tahun 2012 membahas tentang penggunaan forensik Teknologi Informasi
(TI) dalam menemukan bukti kejahatan Komputer pada perangkat hardisk yang
didalamnya sudah disisipkan malware untuk penyusup dapat masuk kedalam
komputer korban dan menghapus file penting dalam komputer korban. Pada
penelitian ini menggunakan tools forensic Autopsy pada Backtrack Linux 5 R1
digunakan sebagai alat tahapan forensic ini. Persamaan pada penelitian ini adalah
penulis memanfaatkan tool yang terdapat pada Bactrack 5 untuk melakukan
exploitasi dengan media yang berbeda yaitu file pdf dan juga memanfaatkan tool
forensik yang terdapat pada Backtrack yaitu tool PeePdf.[4].
Penelitian berjudul Undetectable Backdoor : The Art of Malicious Software
and Social Engineering oleh Faizal Achmad tahun 2013 ini membahas tentang
penyisipan sebuah Backdoor yang diimplementasikan pada sebuah game dan
sebuah antivirus. Ketika target menginstall game dan antivirus tersebut
sebenarnya target juga sedang menjalankan sebuah backdoor tersebut. Persamaan
dari penelitian terdahulu ini adalah penyisipan sebuah backdoor namun yang di
implementasikan pada sebuah file pdf dengan tujuan yang sama pada penelitian
terdahulu yaitu menyusup ke dalam sistem operasi windows.[5].
Pada ummnya file pdf berisi konten kombinasi antara text, grafis vector dan
grafis raster, namun pdf juga bisa disisipi sebuah konten audio maupun video, file
pdf dapat memuat unsur interaktif seperti link hypertext, selain itu file pdf juga
dapat diimpor kedalam aplikasi lain seperti halaman web.
Pdf pada dasarnya terdiri dari komponen yang disebut objek, dan semua
objek diwakili sebagai urutan byte. Penampilan halaman digambarkan oleh objek-
objek yang ditampilkan pada halaman. Munculnya aliran konten digital, yang
biasa disebut aplikasi pdf reader. [6].
File pdf terdiri dari Header, Body, Cross Table Reference, Trailer, dan
beberapa komponen opsional. Header menentukan versi pdf, Body yang berisi
informasi tentang objek tidak langsung dan Trailer menentukan posisi Cross
Table Reference. File Header berada di bagian atas setiap file pdf untuk
menentukan versi pdf.[6].
Beberapa waktu terakhir diketahui bahwa tingkat kelemahan pdf semakin
meninggi.[7]. Berikut sejumlah kelemahan pdf dan teknik-teknik serangan
vulnerabilitas pada pdf reader: 1). Vulnerabilitas PDF URI, kelemahan ini
berhubungan dengan Adobe PDF’s mailto URI, dimana URI (Uniform Resource
Identifier) dipakai sebagai akses ke sistem file lokal pada komputer pengguna
untuk melancarkan serangan. Pada kasus ini, penyerang dapat menciptakan
request spesial URI. Sebagai contoh, request di bawah ini mampu mengakses
lapisan perintah lokal windows dan akan mengeksekusi sejumlah perintah.
<<URI(mailto:support@<site>.com../../../../../../../../../windows/system32/cmd".ex
e)>> Perintah tersebut memungkinkan penyerang menciptakan dokumen PDF
khusus yang mengandung URI buatan demi mengakses sumber-sumber lokal dan
mengeksekusi beberapa perintah dasar melalui sistem akses file, dan mengunduh
3
malware melalui internet sehingga menginfeksi komputer pengguna. 2).
Vulnerabilitas PDF J2BIG, adalah format kompresi gambar yang dapat dipakai
sebagai sistem embedded dalam men-display gambar. Ketika sebuah dokumen pdf
ter-display maka sistem itu akan terurai menjadi gambar. Vulnerabilitas ini dapat
di-eksploit melalui pdf khusus berisi stream JBIG2 dengan header yang sudah
dikorup. Ketika stream ini diinterprestasikan oleh Acrobat Reader maka akan
menghasilkan arus buffer atau penahan. Arus buffer ini dapat digunakan untuk
mengeksekusi kode arbitrasi salam konteks pengguna terkini melakukan
logged-in. Para pembuat malware telah mengeksplotasi kelemahan ini untuk
menyebarkan infeksi malware engan menggunakan file pdf yang mengandung
stream JBIG2 yang sudah termodifikasi. Hal ini akan menyebabkan crash pada
Adobe Acrobat Reader. 3). Vulnerabilitas yang berkaitan dengan fungsi PDF
Javascript, Di bagian ini membahas beberapa vulnerabilitas terkini yang
menggunakan obyek javascript dalam pdf. Sejumlah fungsi dalam javascript yang
lemah dan tidak aman, dieksploitasi menggunakan javascript yang diakali
bersama dengan pdf. 4). UXSS (Universal Cross Site Scripting) dalam PDF,
Vulnerabilitas ini berhubungan dengan bagaimana pdf yang ber-host di web dapat
digunakan untuk menjalankan serangan XSS. Di sini penyerang mengirim email
dengan menggunakan teknik social engineering untuk mengakali konten pesan
dan menyembunyikan link tersembunyi ke file pdf yang ada di server bersih.
Ketika pengguna mengeklik link itu, penyerang melampirkan script yang sudah
dieksekusi dalam meligitimasi sesi web. Kelemahan ini tergantung pada
keyakinan si pengguna, dimana malware dapat dieksekusi sepanjang pengguna
percaya bahwa mereka mengklik link yang benar.[7].
Malicous software yang biasa dikenal dengan sebutan malware merupakan
sebuah aplikasi yang dirancang khusus untuk dapat menyusup kedalam sistem
tanpa diketahui pemilik sistem. Aplikasi tersebut umumnya memuat sebuah
perintah yang telah dibuat dengan tujuan khusus. Perintah tersebut seperti
menyebarkan virus, trojan, worm, atau memasang backdoor didalam sistem.
Lebih sederhananya malware merupakan sebuah aplikasi yang dirancang untuk
membuat celah pada keamanan sistem komputer. Malware adalah sebuah program
yang sudah dibuat dalam bentuk executable, dalam bentuk compile ke: word, pdf,
doc, dll extension, dll.
Dengan hal tersebut kita membutuhkan sebuah teknik untuk dapat
menganalisa malware. Dalam penelitian ini menggunakan teknik Reverse
Engineering, ada 2 pendekatan dalam melakukan analisa malware menggunakan
teknik Reverse Engineering: Analisa statis dan analisa dinamis. Statis lebih
kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan
disassembly, decompile, debugging kepada malware tersebut.[8]. Sedangkan
dinamis lebih kepada pendekatan analisa yang secara kasat mata atau dengan kata
lain interaksi penuh dengan malware dengan menjalankan file malware
tersebut.[6].
4
3. Metode Penelitian
Metode penyelesaian yang digunakan pada penelitian ini yaitu metode
PPDIOO (Prepare, Plan, Desaign, Implement, Operate and Optimize). Pada
metode ini ada beberapa tahap dalam membangun sebuah backdoor dalam sebuah
file pdf. Dengan adanya tahapan-tahapan pada perancangan akan lebih mudah
dalam pengerjaan serta mempermudah dalam menganalisis malware backdoor.
Metode PPDIOO adalah sebuah metode penelitian yang dikembangkan oleh
Cisco System. Metode ini dipilih karena cocok dengan sistem dan pengujian yang
akan dilakukan.
Gambar 1 Skema Metodelogi PPDIOO (Cisco, 2005)
Gambar 1 merupakan skema metodelogi PPDIOO yang terdiri dari 6 fase [9]
antara lain Fase Prepare. Prepare adalah tahap dimana rencana kerja disusun agar
penelitian dapat terorganisir dengan baik. Pada tahapan ini akan dikumpulkan
data-data yang berkaitan dengan kebutuhan membangun sebuah malware
backdoor yang sesuai dengan tujuan dari penelitian ini. Pengumpulan data
kebutuhan tersebut antara lain spesifikasi akan kebutuhan perangkat keras atau
lunak yang akan dipakai dalam penelitian ini. Fase Plan. Plan adalah tahap
dimana akan dirancang mekanisme pembuatan backdoor pada file pdf dan tahapan
yang dijadikan sebagai parameter dan perlu mendapat perhatian sebelum
merancang sebuah jaringan komputer yaitu: Menganalisis kebutuhan alat yang
akan digunakan dalam perancangan backdoor file pdf dan implementasi terhadap
jaringan lokal berdasarkan hasil analisis kebutuhan. Tahapan tersebut akan
dijelaskan dalam tahap perencanaan dalam membangun malware backdoor. Ada
beberapa hal yang harus diperhatikan yaitu perangkat yang akan digunakan dalam
membangun dan pemberian IP Address merupakan hal yang cukup berpengaruh.
Fase Design. Design adalah tahapan dimana akan digambarkan desain secara logis
dari perancangan backdoor dalam file pdf menggunakan Backtrack 5 R3.
Topologi jaringan pada penelitian ini adalah sebagai berikut :
5
Gambar 2 Topologi Jaringan
Gambar 2 menunjukkan topologi jaringan yang akan digunakan dalam
implementasi pada penelitian ini dimana 1 Laptop bertindak sebagai attacker pada
VM Backtrack, dan sistem operasi Windows 7 sebagai laptop user terget. Fase
Implement. Implement adalah tahapan dimana perangkat yang telah terintegrasi
dalam desain sistem akan diterapkan pada perangkat fisik. Gambar 3 merupakan
proses implementasi malware backdoor ke dalam file berformat pdf.
Gambar 3.Implementasi Malware ke dalam File Pdf
Fase Operate. Operate adalah tahapan pengujian sistem yang dilakukan pada
waktu nyata serta melakukan proses monitoring. Pada tahap operate dapat
dilakukan proses perbaikan pada sistem yang sudah dibuat, hal ini akan
disesuaikan dengan analisis yang dilakukan pada sistem yang dibuat. Pada tahap
ini dapat dilakukan pemecahan masalah yang timbul selama proses yang
mengakibatkan tidak berjalannya proses komunikasi secara baik dalam jaringan.
Fase Optimize. Optimize adalah tahap terakhir dimana setelah melakukan
implementasi dan analisis, tahapan ini juga dilakukan penilaian terhadap sistem
yang dibangun apakah sudah sesuai dengan tujuan awal serta pencapaian yang
sudah dilakukan.
Konsep penelitian ini menggunakan teknik analisa Malware dengan Reverse
Engineering [10] yaitu, antara lain: Malware Defined. Tahap pertama dalam
analisa Malware adalah mengklasifikasikan type dan jenis sample Malware. Pada
tahapan pendefinisan ini merupakan sebuah tahapan peneliti Malware
memberikan hipotesa atau kesimpulan sementara dari type dan jenis Malware.
6
Define Goal Malware Analysis. Analisa Malware memiliki goal atau tujuan yang
harus tercapai untuk membuktikan keberhasilan dari pembongkaran Malware.
Secara umum tujuan itu menentukan apa yang terjadi, memastikan file, dan mesin
yang mempunyai kemungkinan terkena infeksi Malware. MAER (Malware
Analysis Environtment and Requirement). Malware analysis environment
merupakan pembahasan yang mengarah pada kebutuhan seorang peneliti Malware
dalam melakukan penelitian terhadap Malware. Pada Malware analisis
environment tidak dijelaskan mengenai teknik atau proses analisa Malware tetapi
pembahasan ini mengarah pada komponen, design, dan arsitektur yang diperlukan
dalam membangun laboratorium Malware analisis. Komponen yang ada didalam
MAER antara lain: Malware Source, Virtual machine environment, Network hub.
Malware Identification. Proses identifikasi Malware merupakan sebuah tahapan
seorang Malware analisis mendapatkan identitas dan data string dari sample
Malware. Monitoring Aktifitas Malware. Pada tahapan ini dilakukan monitoring
dari perilaku Malware untuk mengetahui bagaimana Malware berinteraksi dengan
sistem. Tahap ini dibutuhkan untuk memudahkan ketika dilakukannya proses
disassembly karena sudah mengetahui alur proses dari sample Malware.
Disassembly, Decompile, Debugging. Tahap ini merupakan tahapan yang paling
dominan dalam melakukan reverse engineering Malware. Pada tahap debugging,
assembly, dan disassembly dilakukan pembongkaran source dari Malware untuk
mencari informasi untuk membuktikan hipotesa awal setelah dilakukan tahapan
sebelumnya.
4. Hasil dan Pembahasan
Pada bagian ini dibahas tentang hasil dari implementasi sistem berdasarkan
perancangan yang telah dibuat dengan tahapan analisa menggunakan reverse
engineering. Dalam melakukan reverse engineering malware dapat dilakukan
menggunakan sebuah prosedur malware analysis. Pada penelitian ini prosedur
malware analysis menggunakan teknik Reverse Engineering mengacu pada jurnal
Malware Analyst oleh Ligh, M. H. tahun 2011.[11].
4.1 Menentukan SOP (Standard Of Procedure)
Untuk memudahakan dalam melakukan penelitian ini digunakan standard of
procedure untuk merincikan pembahasan yang akan dibahas pada pengujian
malware. Pada penentuan SOP ditentukan pembahasan dibagi menjadi 5 yaitu:
Gambar 4 SOP dari Reverse Engineering
7
4.1.1 Basic Analysis
Basic Analysis malware didalamnya melibatkan 2 teknik[8], yaitu Analisa
Dinamis dan Analisa Statis. Melakukan analisis statis dan dinamis secara
bersama-sama dapat membantu mengidentifikasi tujuan dan kemampuan dari
malware dan dapat memberikan serangkaian indikator teknis yang tidak hanya
dicapai oleh analisis statis.
a. Analisa Dinamis
Analisa Dinamis adalah analisa dengan memberikan respon yang cepat dan
yang terlihat dengan kasat mata.[6]. Berikut adalah tampilan file pdf yang sudah
disisipi Javascript saat pertama kali dijalanakan. Saat file template.pdf dibuka, file
tersebut meminta untuk save sebuah file form.pdf.
Gambar 5 Save Form.pdf
Gambar 5 merupakan file form.pdf bersifat seperti autorun.inf berfungsi
untuk menjalankan secara otomatis suatu program atau file yang terdapat pada
media penyimpanan. Sehingga, apabila user menyetujui untuk save file tersebut
maka dengan begitu backdoor sudah tertanam didalam sistem komputer user.
Setelah backdoor tertanam, Adobe Reader memberikan informasi bahwa apabila
file template.pdf dibuka, dengan begitu maka ada file lain juga yang ikut
dijalankan. Namun, biasanya user sering kali mengabaikan peringatan ini karna
beranggapan bahwa file tersebut adalah aman.
Gambar 6 Peringatan dari Adobe Reader
Gambar 6 menununjukan AcroRd32info.exe yang di miliki oleh Adobe
Reader. AcroRd32info.exe ini yang bertanggungjawab untuk memberikan
informasi atau pesan peringatan dari Adobe Reader[6], bahwa file yang dibuka
mengandung javascript yang bisa dieksekusi saat file tersebut dijalankan atau saat
user meng-klik “Open” dari jendela peringatan di atas.
8
Ketika user meng-klik “Open” pada file template.pdf dengan begitu user
memberikan attacker akses masuk ke dalam sistem komputer user sebagai target,
seperti terlihat pada Gambar 7. Meterpreter membuka koneksi dari komputer
attacker (ip address: 192.168.43.223) dengan komputer target (192.168.43.116)
dengan menggunakan port 4444 dan port 2868. Meterpreter adalah dari fitur
metasploit yang menggunakan DLL injection untuk berkomunikasi melalui
socket.[13].
Gambar 7 Meterpreter
b. Teknik Penyerangan
Sesaat sesudah user windows 7 mengaktifkan backdoor, maka terciptalah
saluran komunikasi antara komputer attacker dan komputer user windows 7
dalam bentuk sessions, seperti tampilan pada Gambar 8 dibawah ini.
Gambar 8 Tampilan Session pada Komputer Attacker
Attacker mengendalikan komputer user windows 7 melalui perantara
backdoor. Attacker berkomunikasi dengan backdoor menggunakan protokol TCP
di port 4444. Terlihat bahwa attacker dapat mengakses command prompt dari
user windows 7, terlihat pada gambar 9.
Gambar 9 Command prompt Backtrack dan Windows
Attacker dapat memonitoring komputer target melalui command prompt,
seperti terlihat pada Gambar 9 menunjukan command prompt pada komputer VM
atau komputer attacker sama dengan command prompt pada komputer windows
9
target. Attacker bisa memonitoring komputer target melalui perintah-perintah
yang ada dalam command prompt.
Kegiatan diatas dinamakan payload metasploit. Payload adalah bagian dari
perangkat lunak yang memungkinkan untuk memonitoring sistem komputer
setelah di eksploitasi.[13]. Payload metasploit yang paling populer disebut
meterpreter, yang memungkinkan untuk melakukan segala macam monitoring
pada sistem target. Misalnya, keylogger yang dijelaskan pada Gambar 10.
Gambar 10 Keylogger
Gambar 10 merupakan salah satu dampak dari penyerangan backdoor yang di
kemas dalam file pdf, yaitu keylogger. Keylogger adalah malware yang dibuat
dengan tujuan untuk mencatat setiap tekanan tombol pada keyboard.[13]. Catatan
yang disimpan dalam suatu file yang bisa dilihat kemudian itu lengkap. Di
dalamnya bisa terdapat informasi seperti aplikasi tempat penekanan tombol
dilakukan dan waktu penekanan.
Dengan cara ini, seseorang bisa mengetahui username, password, dan
berbagai informasi lain yang dimasukkan dengan cara pengetikan. Keylogger ini
cukup berbahaya karena secanggih apa pun enkripsi yang diterapkan oleh suatu
website, password itu tetap dapat diambil. Karena, password itu diambil sebelum
sempat dienkripsi oleh sistem.[13]. Keylogger merekam sesaat setelah password
diketikkan dan belum diproses oleh sistem.
c. Port
Port terbuka tetap menjadi kerentanan, hal ini mengizinkan koneksi untuk
aplikasi tetapi juga dapat berubah menjadi pintu terbuka untuk serangan. Berikut
merupakan perbedaan dari komputer yang belum terserang malware backdoor dan
komputer yang sudah terserang malware backdoor berdasarkan port yang terbuka,
dijelaskan pada Gambar 11 dan Gambar 12.
Gambar 11 Komputer Sebelum Terjadi Serangan
10
Gambar 11 merupakan gambar port dari komputer yang belum terjadi
serangan malware backdoor.
Gambar 12 Komputer Setelah Terserang Backdoor
Seperti terlihat pada Gambar 12 merupakan port yang terbuka setelah file pdf
dibuka, komputer membuka port 4444 dari Ip Address 192.168.43.223 yang
merupakan Ip Address attacker. Port 4444 menggunakan TCP/IP, TCP
memungkinkan 2 host untuk saling terkoneksi dan bertukar data. Trojan atau virus
biasanya menggunakan port ini untuk saling berkomunikasi, sehingga malware
backdoor ini juga menggunakan port 4444 untuk memberikan pintu akses kepada
attacker.
d. Analisa Statis Javascript
Analisis statis biasanya mengikuti analisa dinamis. Analisa statis relatif
menyita waktu dan lebih kompleks yang memerlukan pengetahuan teori. Statis
lebih kepada pendekatan struktur malware itu dibuat, dengan kata lain melakukan
Disassembly, Decompile, Debugging kepada malware tersebut.[6]. Tujuan dari
melakukan analisis code adalah untuk memahami cara kerja dari malware, dan
untuk memverifikasi hasil yang diperoleh dari analisa dinamika.
Pada bagian ini akan dibahas mengenai analisa struktur dari file pdf yang
sudah disisipi malicious code menggunakan alat bantu PeePdf Forensics yang
terdapat pada Backtrack 5 R3 dan PDFStreamDumper. Peepdf adalah tool Phyton
untuk mengeksplorasi file pdf dalam rangka mengetahui file pdf yang berbahaya
atau tidak, tujuan dari tool ini adalah untuk menyediakan semua komponen yang
dibutuhkan untuk menganalisis keamanan dalam file pdf. Pdf Stream Dumper
adalah perangkat gratis untuk analisis dokumen pdf berbahaya, juga memiliki
beberapa fitur yang dapat mengetahui kerentanan file pdf.
Berikut merupakan struktur file pdf yang di lihat menggunakan tool forensics
PeePdf.
11
Gambar 13 Struktur File novirus.pdf
Gambar 13 merupakan informasi yang bisa di dapat ketika membuka file pdf
dengan menggunakan PeePdf. PeePdf memberikan informasi dari nama file, type
malware yang digunakan dalam file pdf, size dari file pdf hingga object yang
digunakan dalam file dan stream yang terdapat dalam file pdf tersebut.
Masing-masing object tersebut saling berkaitan dalam mendeteksi javascript
yang terdapat pada file template.pdf di bawah ini.
Gambar 14 Struktur File template.pdf
12
File pdf yang berbahaya ditunjukan pada bagian Suspicious Element.[12].
Suspicious Element teruraikan menjadi beberapa bagian dan bagian inilah yang
sering disalahgunakan dalam menyisipkan malware dalam bentuk javascript.
Adapun bagiannya, yaitu : /OpenAction, /Name, /JS, /AA, /Launch, /Javascript
(intruksi program, menyediakan akses script yang di-embedded).
Seperti terlihat pada Gambar 14, analisa di mulai dari Object pertama adalah
Catalog pada Object 13.
Gambar 15 Object Catalog
Seperti terlihat pada Gambar 15, terdapat object /OpenAction. /OpenAction
adalah object yang memegang referensi untuk sebuah string atau stream yang
mengandung kode javascript. Isi dari /OpenAction adalah 22 0 R, artinya
javascript yang disisipkan mengarah ke object 22.
Gambar 16 Object 22 pada File PDF
Gambar 16 menunjukkan javascript yang terdapat pada object 22 dengan type
data /Action. Object 22 merupakan bagian dari Suspicious Elements yang terdapat
pada file tamplate.pdf. Javascript yang tersisipkan pada Object 22 dapat dilihat
pada Gambar 16. Javascript pada Gambar 16 menggunakan fungsi
this.exportDataObject(), fungsi ini termasuk masukan parameter untuk
meluncurkan atau membuka sebuah file yang dilampirkan yang terpasang di
program. cName : “form”, adalah parameter yang diperlukan untuk menentukan
file lampiran (javascript yang disisipkan) yang akan diekspor atau dijalankan,
yang dimaksud dijalankan di sini adalah file dengan nama tamplate.pdf. nLaunch :
0, artinya mengarahkan Adobe Reader untuk menyimpan file lampiran (javascript
yang disisipkan) ke sementara file dan kemudian meminta sistem operasi untuk
membuka template.pdf, nilai 0 menyebabkan file lampiran (javascript yang
disisipkan) untuk bisa dijalankan. Kode ini akan bekerja di pdf reader, kode ini
pada saat pertama kali dijalankan akan muncul pop-up yang meminta pengguna
untuk menyetujui lampiran untuk dieksekusi.
Javascript yang di sisipkan dan dieksekusi merupakan javascript yang dapat
mengendalikan komputer target oleh attacker melalui cmd.exe.
13
Gambar 17 PDFStreamDumper Scaning Malware
Seperti yang terlihat pada Gambar 17 PDFStreamDumper men-scan file
template.pdf dan mendapatkan javascript di Object ke 23. Isi dari Object 23 ini
dapat ditelusuri dengan alat bantu PDFStreamDumper seperti pada Gambar 17 di
bawah ini.
Gambar 18 Object 23 pada PDFStreamDumper
Gambar 18 adalah javascript yang terdapat pada Object 23. Object 23
merupakan bagian dari Suspicious Elements, yang terdapat pada file tamplate.pdf.
Gambar 18 menunjukkan javascript yang terdapat pada Object 23 dengan tipe
data /Action dan dengan paramater /Launch. /Launch adalah parameter yang
digunakan untuk mengarahkan Adobe Reader menyimpan dan menjalankan
javascript yang telah disisipkan.[12]. Javascript yang telah disisipkan tersebut
menjalankan perintah untuk masuk ke dalam system windows komputer target
14
dan dapat mengendalikan cmd.exe yang terdapat di directory
c:\windows\system32 komputer target ketika template.pdf di jalankan.
4.1.2 MAER (Malware Analysis Environment dan Requirement)
Pada penelitian ini ditentukan MAER sebagai penunjang penelitian. MAER
merupakan komponen penting dalam malware analysis karena MAER merupakan
sebuah media laboratorium untuk analisa malware. MAER dalam penelitian ini
antara lain:
1. Malware Repository menggunakan virusshare.
2. Virtual Machine Environment menggunakan virtualbox.
3. Network Hub menggunakan konfigurasi host only adapter.
4.1.3 Malware Define
Pada penelitian ini menyisipkan malware backdoor ke dalam file berformat
PDF. malware backdoor termasuk ke dalam tipe Trojan variant dengan MD5
c99d3b955c56f22cf23edbb383f11cc0.
Malware berfungsi sebagai pintu belakang yang membuka pintu komunikasi
melalui networking dengan server control. Malware ini merupakan malware
dengan sifat backdoor yang mempunyai kemampuan untuk berkomunikasi dengan
penyusup melalui port yang terbuka.
4.1.4 Goal Malware Analysis
Dengan hipotesa yang telah dikemukakan dari malware define maka goal
malware analisys dengan sample backdoor adalah sebagai berikut:
1. Perubahan pada sistem yang terinfeksi malware
2. Komunikasi malware didalam network
3. Pencarian informasi server control
4. Data yang dicuri
5. Simpulan
Dokumen yang berformat pdf masih dapat disisipkan malware. Pengemasan
backdoor dilakukan dengan menyisipkannya pada file berformat pdf,
menggunakan tool Social Engineering Toolkit yang terdapat pada Backtrack 5 R3.
Setelah itu, file tersebut diuji didalam komputer windows target. Saat file pdf yang
sudah disisipi malware dibuka oleh target, file tersebut sebagai perantara
membuka pintu untuk attacker masuk kedalam sistem komputer target melalui
port 4444. Port 4444 merupakan port TCP/IP. TCP/IP memungkinkan 2 host
untuk saling terkoneksi dan bertukar data. Dampak yang yang dihasilkan adalah
attacker dapat memonitoring komputer target dan melakukan keylogger.
Keylogger adalah malware yang dibuat dengan tujuan untuk mencatat setiap
tekanan tombol pada keyboard. Dengan cara ini, attacker bisa mengetahui
username, password, dan berbagai informasi lain yang dimasukkan dengan cara
pengetikan.
15
Saran pertahanan yang diberikan adalah upgrade Adobe Reader, karena
Adobe Reader versi 9.1 mempunyai celah keamanan yang bisa di manfaatkan
pihak-pihak tidak bertanggung jawab. Antivirus yang di mana dapat menangkal
serangan data seperti Kapersky dan Avast.
Saran pengembangan yang dapat diberikan untuk penelitian lebih lanjut
adalah malware adalah topik penelitian yang masih sangat terbuka luas. Selain
Reverse Engineering, deteksi malware dapat dilakukan pula menggunakan teknik
Signature Base Detection dan Behaviour Based.
6. Daftar Pustaka
[1] Mandiant Intelligence Center Report. 2011. APT1: Exposing One of China's Cyber
Espionage Units. http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf.
[2] Nugroho, Heru Ari. Prayudi, Yudi. 2014. Penggunaan Teknik Reverse Engineering Pada
Malware Analysis untuk Identifikasi Serangan Malware. Progam Studi Teknik Informatika
Fakultas Teknlogi Informasi Universitas Islam Indonesia, Yogyakarta.
[3] Rahul Tyagi. 2011. Busting Windows in Backtrack 5 R1 With Metasploit Framework 4.0.
Cyber Security & Anti-Hacking Organization, India.
[4] Simarmata, Chandra Irvan Diky. Saragih, Naikson Fandier. 2012. Analisis Forensik
Teknologi Informasi dengan Barang Bukti Hardisk,
www.academia.edu/8043511/Digital_Forensic_Analysis_with_Hardisk_as_Digital_Evidence
[5] Achmad, Faizal. 2013. Undetectable Backdoor : The Art of Malicious Software and Social
Engineering. Program Studi Teknik Elektro dan Informatika Institut Teknologi Bandung,
Bandung.
[6] Ulucenk, Caglar. Varadharajan, Vijay. Balakrishnan, Venkat, Tupakula, Udaya. 2011.
Techniques for Analysing PDF Malware. Faculty of Science, Macquarie University, Sydney,
Australia.
[7] Teppalavalasa, Satyendra. 2010. Serangan Terhadap Portable Document Format (PDF).
https://groups.yahoo.com/neo/groups/vaksin/conversations/messages/747.
[8] Eilam, Eldad, 2007, Reversing, Secreet of Reverse Engineering, Indianapolis, Whiley
Publishing.
[9] Amin, Zaid. 2011. Metode Perancangan Jaringan dengan Model PPDIOO.
http://news.palcomtech.com/metode-perancangan-jaringan-dengan-model-ppdioo/
[10] Sikroski, Michael. Honig, Andrew. 2012. Practical Malware Analysis, San Fransisco.
[11] Ligh, M. H.. Adair, S. Hartstein, B. Richard, M. 2011. Malware Analyst: Tools and
Techniques for fighting Malicious.
[12] Robledo, H.G. 2012. Analyzing Characteristic of Malicious PDFs. IEEE Latin America
Transactions, vol 10, No. 3.
[13] Schmitt, Florian. Gassen,Gerhards-Padilla, Elmar. 2012. PDF Scrutinizer: Detecting
JavaScript-Based Attacks in PDF Documents., Tenth Anual International Conference on
Privacy, Security and Trust.