Malvertising

23 April 2015
Malvertising
Ancaman nuklir untuk pengunjung situs online
20150423I_malvertising04
Gambar 1, Serangan nuklir bagi pengunjung situs online
Iklan online secara de facto sudah menjadi bagian yang tidak terpisahkan dari kehidupan kita sehari-hari. Iklan internet berlari kencang mengejar iklan TV untuk menjadi iklan media dan hiburan terbesar. Menurut laporan PWC PricewaterhouseCoopers, keuntungan iklan interaktif di tahun 2013 di Amerika Serikat mencapai $ 42,8 milyar, mengalahkan iklan televisi broadcast sebesar $ 40,1 milyar. Iklan online pertama kali muncul pada tahun 1994. Pada tahun 1995, DoubleClick perusahaan pertama yang bergerak dalam bidang teknologi penayangan iklan di dirikan kemudian di akuisisi oleh Google dan sampai saat ini meraksasa bersama Google. Berbeda dengan iklan tradisional, iklan online bisa disesuaikan dengan sasaran iklannya sehingga efektivitas iklan bisa jauh lebih terukur dibandingkan iklan konvensional. Hal ini rupanya tidak luput dari pengamatan para pembuat malware yang berusaha mengeksploitasi untuk keuntungan mereka. Dan kabar buruknya, yang diserang adalah fasilitas iklan internet Google, Adsense.


Bagaimana serangan malvertising ini terjadi ?

Malvertising adalah singkatan dari Malware Advertising. Bagaimana serangan ini terjadi ?

Area iklan pada situs yang bekerjasama dengan Google direservasi oleh Google AdSense dan banner iklan yang akan dimuat ditentukan oleh server AdSense. Caranya adalah dengan menggunakan Java Script pada lokasi iklan. Java Script akan mengunduh konten iklan dari perusahaan koordinator pemasang iklan untuk ditampilkan. Dalam kasus ini adalah engagelab.com. Ini merupakan praktek yang sudah berjalan cukup lama dan sejauh ini tidak ada masalah berarti. Namun, dalam kasus malvertising ini, perusahaan koordinator pemasang iklan berhasil disusupi dan kode iklan yang digunakan mengandung Iframe yang mengarahkan akses ke server lain, yang mengandung konten berbahaya. Iframe berbahaya ini bisa muncul pada iklan yang ditampilkan pada situs manapun yang bekerjasama menyediakan iklan banner Google dan dalam kasus ini si pemilik situs tidak bisa mengontrol tampilan iklan ini karena diatur oleh server AdSense. Adapun Iframe jahat yang akan ditampilkan ini bertujuan untuk menjalankan exploit kit, program khusus yang dibuat dan bertujuan untuk mengeksploitasi celah keamanan yang terkandung pada piranti lunak di komputer tersebut guna menguasai komputer tersebut.

Bagaimana cara kerja exploit kit tersebut ?


Cara Kerja Exploit Kit

Piranti lunak seperti peramban, aplikasi dan sistem operasi adalah buatan manusia yang membawa sifat manusia, yaitu tidak sempurna. Karena itu selalu ditemukan celah keamanan pada semua piranti lunak. Sebenarnya ada solusi untuk terhindar dari eksploitasi, yaitu patch atau menambal celah keamanan atau menggunakan Patch Management jika anda mengadministrasi jaringan komputer dalam jumlah besar. Untuk pengguna biasa tanpa patch management, hal ini membutuhkan kedisiplinan dan konsistensi pemilik komputer untuk selalu mengupdate semua piranti lunak yang digunakannya supaya terhindar dari eksploitasi.

Jika piranti lunak yang mengandung celah keamanan tidak di tambal / patch, maka akan rentan terhadap ancaman eksploitasi. Eksploitasi akan mengincar peramban, sistem operasi dan piranti lunak populer seperti Firefox, Chrome, piranti lunak populer Microsoft dan Adobe. Sebagai catatan, meskipun sistem komputer sudah di proteksi dengan program antivirus yang terupdate dan dengan sistem operasi original dan terupdate, namun ada salah satu piranti lunak lain yang lupa di update seperti Adobe Flash Player, maka sistem tersebut tetap bisa diserang dan di infeksi oleh malware. Antivirus terupdate sekalipun dalam banyak kasus tidak berdaya mencegah eksploitasi ini, kecuali antivirus tersebut memiliki kemampuan perlindungan anti exploit. Jika korban mengunjungi situs yang mengandung exploit kit, maka exploit kit ini akan melakukan pengecekan atas konfigurasi komputer tersebut, apakah ada aplikasi yang bisa di serang, baik itu peramban, piranti lunak atau sistem operasi. Jika konfigurasi tersebut mengadung salah satu atau lebih celah keamanan, eksploitasi yang sesuai akan dikirimkan untuk menyerang sistem tersebut. Setelah itu, tambahan kode malware akan diunduhkan secara diam-diam pada komputer yang diserang (drive by infection). Tidak tertutup kemungkinan malware yang dikirimkan akan melakukan aksi jahat yang sedang marak seperti melakukan pencurian data, enkripsi data komputer korbannya guna meminta tebusan (ransomware) sampai dengan melakukan aksi mencuri uang dari akun internet banking korbannya yang sudah dilindungi dengan perlindungan T-FA (Two Factor Authentication) sekalipun.


Serangan Nuklir bagi pengguna internet

Salah satu exploit kit yang paling banyak digunakan adalah “nuclear” (nuklir) exploit kit. Exploit kit ini bisa dibeli di situs underground secara online sharga US $ 1500. Selain mengeksploitasi celah keamanan Adobe Flash, nuclear juga mengeksploitasi Microsoft Silverlight dan Oracle Java. Sejak pertengahan Maret 2015, nuclear terdeteksi mengeksploitasi celah keamanan Adobe Flash yang dikenal dengan nama CVE20150336. Analis G Data Security Labs mengamati bahwa tingkat keberhasilan eksploitasi meningkat seiring dengan penggunaan eksploit kit nuclear. Dan tingkat serangan mencapai puncaknya pada bulan April sejak memanfaatkan Google Ads untuk menyebarkan dirinya. (lihat gambar 2)
20150423I_malvertising02
Gambar 2, Serangan Nuclear Exploit Kit yang dihentikan oleh G Data Exploit Protection
Bagaimana mencegahnya ?

Jika anda ingin terhindar dari eksploitasi celah keamanan Adobe Flash CVE20150336 anda perlu mengecek versi Adobe Flash yang terinstal pada peramban anda. Adapun versi Adobe Flash Player yang rentan terhadap eksploitasi nuklir adalah :
  •     Windows dan Macintosh: Adobe Flash Player 16.0.0.305 dan sebelumnya.
  •     Adobe Player Extended Support: Adobe Flash Player 13.0.0.269 dan sebelumnya.
  •     Linux : Adobe Flash Player 11.2.202.442 dan sebelumnya.
  •     AIR Desktop runtime 17.0.0.124 dan sebelumnya.
  •     SDK 17.0.0.124, SDK & Compiler 17.0.0.124, AIR Android 17.0.0.124 dan versi sebelumnya.
Guna mengetahui versi Adobe Flash Player yang anda gunakan, arahkan peramban anda untuk mengunjungi situs http://www.adobe.com/software/flash/about/ dan anda akan mendapatkan informasi versi Adobe Flash Player yang anda gunakan (lihat gambar 3)
20150423I_malvertising03
Gambar 3, Situs yang telah dipersiapkan Adobe untuk menginformasikan versi Adobe Flash Player yang terinstal
Jika versi Adobe Flash Player yang anda gunakan termasuk dalam daftar yang rentan, anda perlu mengupdate Adobe Flash Player yang anda miliki dengan mengunjungi situs https://get.adobe.com/flashplayer/ dan ikuti petunjuk yang secara otomatis akan memandu anda menginstal versi Adobe Flash terbaru.


G Data Anti Exploit

Contoh di atas adalah salah satu eksploitasi yang dilakukan oleh exploit kit dan Adobe Flash hanya salah satu dari sekian banyak piranti lunak yang berpotensi mengandung celah keamanan. Tentunya akan memakan waktu dan tenaga yang banyak jika kita harus melindungi perangkat keras yang kita miliki dari semua eksploitasi celah keamanan. Kabar buruknya, program antivirus banyak yang tidak berdaya menghadapi eksploitasi celah keamanan dan dalam banyak kasus antivirus yang terupdate sekalipun tidak akan mampu mencegah eksploitasi celah keamanan yang dilakukan oleh exploit kit. Kecuali program antivirus tersebut memiliki perlindungan Active Exploit Protection.(lihat gambar 4)
20150423I_malvertising01
Gambar 4, Cara kerja Active Exploit Protection mencegah eksploitasi celah keamanan


Adapun cara kerja Active Exploit Protection adalah sebagai berikut :
  •     Exploit kit yang menemukan celah keamanan akan menyuntikkan kode jahat melalui celah keamanan piranti lunak.
  •     Kode jahat yang disuntikkan akan mencari sistem antarmuka seperti file sistem.
  •     G Data Exploit Protection, tanpa perlu update definisi akan mendeteksi aktivitas mencarian sistem antarmuka tersebut.
  •     Kode jahat akan langsung dihentikan dan akses ke dalam sistem yang mengandung celah keamanan akan dicegah.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: