Banking Trojan Dridex

06 Juli 2015
Banking Trojan Dridex
Mengeksploitasi MS Word Macro dan UAC Windows
Orang sukses tidak diukur dengan berapa banyak harta yang dimilikinya tetapi dari kontribusinya kepada masyarakat. Begitupula dengan malware sukses, tidak diukur dengan seberapa rumit  coding yang dimilikinya tetapi dari kemampuannya menginfeksi komputer korbannya. Yang namanya singa,  seberapa ganas atau besarnya singa, tidak akan terlalu ditakuti jika ditampilkan dalam TV atau di luar mobil anda di Taman Safari. Yang menjadi masalah adalah jika singa tersebut berhasil masuk rumah atau mobil anda. Begitupula dengan malware ganas, kunci terpenting dari kesuksesan malware adalah bagaimana caranya ia bisa menginfeksi komputer korbannya dan menjalankan aksi jahatnya. Hal ini terjadi pada Banking Trojan Dridex, yang menjalankan aksinya dengan mengirimkan dirinya menyaru sebagai file MS Word dan memiliki kemampuan eksploitasi celah keamanan Windows sehingga bisa mengakali perlindungan UAC User Account Control sehingga ia akan memiliki hak sebagai administrator dalam komputer yang di infeksinya sehingga bisa menginstalkan diri secara otomatis di komputer korbannya guna menjalankan aksi jahat lainnya.

Perkembangan trojan meningkat
Menurut data dari lab G Data, trojan merupakan kategori malware dengan perkembangan yang sangat tinggi, mengalahkan kategori malware lainnya. (lihat Gambar 1)
20150706I_bankingtrojandridex01
Gambar 1, perkembangan trojan di kuartal 2 tahun 2014 mengalahkan kategori malware lain

Meskipun terkadang dalam satu malware bisa merupakan gabungan dari beberapa kategori seperti Zeus yang masuk dalam kategori trojan dan downloader. Karena perlindungan dari program antivirus yang selalu mengupdate definisi untuk mengenali trojan terbaru di tambah dengan persaingan di antara malware sendiri sangat tinggi untuk mencari korbannya. Maka pembuat malware harus selalu memutar otak untuk menginfeksi komputer korbannya. Dan dua hal yang berada di luar jangkauan perlindungan antivirus adalah kelemahan pada pengguna yang mudah dikelabui untuk mengaktifkan kode jahat dan kelemahan dalam celah keamanan dimana eksploitasi celah keamanan bisa membypass perlindungan antivirus, jadi sekalipun suatu sistem sudah dilindungi dengan antivirus terupdate, namun jika sistem tersebut memiliki celah keamanan (vulnerability) maka sistem tersebut tetap bisa di infeksi dengan cara eksploitasi celah keamanan. Karena itu dua teknik yang menjadi favorit untuk menyebarkan malware adalah rekayasa sosial dan eksploitasi celah keamanan.

Eksploitasi MS Word
Teknik ini pula yang digunakan oleh Banking Trojan terbaru dengan nama Dridex, ia menginfeksi komputer korbannya melalui rekayasa sosial dan datang dalam email. Menyadari kalau lampiran email diawasi dengan ketat oleh administrator, khususnya lampiran yang bisa dijalankan (.exe, .scr, .com) dan  malahan banyak administrator yang juga memblok lampiran terkompres .zip. Namun lampiran file kerja seperti MS Office dianggap cukup aman dan diperbolehkan lewat. Email yang dikirimkan dalam bentuk tagihan dalam dokumen MS Word yang jika di buka akan meminta pengaktifan Macro.
Sebenarnya, dokumen yang dikirimkan aslinya adalah file .mht, file format arsip web page yang memang bisa dibuka dengan MS word. Namun dengan cerdik ekstensi .mht (.mhtml) tersebut dirubah menjadi .doc. Hal ini akan makin meyakinkan pengguna karena icon yang ditampilkan dalam lampiran adalah icon MS Word. (lihat Gambar 2)
20150706I_bankingtrojandridex02
Gambar 2, Email yang dikirimkan Dridex untuk mengelabui korbannya (image courtesy of proofpoint)

Ini hanya merupakan awal dari rekayasa sosial yang dijalankan oleh Dridex. Karena dengan tampilan yang meyakinkan, kemungkinan besar lampiran tersebut akan di buka oleh korbanya. Sekali dibuka, malware tidak akan berjalan karena dokumen .doc tentunya tidak memiliki kemampuan menjalankan malware. Namun fasilitas Macro dalam MS Office memiliki kemampuan dan akses yang lebih luas. Karena itu yang akan terbuka adalah dokumen pancingan untuk mengaktifkan Macro. (lihat Gambar 3)
20150706I_bankingtrojandridex03
Gambar 3, Dokumen MS Word yang meminta korban mengaktifkan Macro

Dokumen yang dibuka akan terlihat seakan-akan terenkripsi dan karena dekripsi yang bermasalah tidak dapat ditampilkan dengan baik. Dan ada pesan kalau ingin membenarkan hal itu harus mengkatifkan Macro. Jika korbannya percaya dan mengaktifkan Macro, maka aksi malware akan mulai berjalan. Mengaktifkan Macro akan memulai pengunduhan kode jahat yang telah dipersiapkan. Macro akan mengunduh VBS Visual Basic Script yang kemudian akan mengunduh program dengan perintah /get.php yang akan di iinstalkan di %APPDATA%.

Eksploitasi UAC
Sekalipun berhasil mengunduh file untuk di eksekusi, sebenarnya Windows sudah membentengi diri dengan baik dan aplikasi tidak akan bisa dieksekusi karena ada satpam yang menjaga. Nama satpamnya adalah UAC User Account Control. Jadi setiap kali menjalankan eksekusi file yang tidak dikenal, akan muncul jendela baru (pop up) dan harus ada persetujuan user / administrator untuk menjalankan file tersebut baru bisa dieksekusi. Hal inipun rupanya sudah diantisipasi oleh pembuat malware, ia berusaha membypass UAC dan mendapatkan hak administrator. Caranya adalah ia menyembunyikan popup UAC menggunakan file .sdb yang telah dibuat sedemikian rupa sehingga bisa mengeksploitasi celah keamanan UAC di Windows 8, Windows 7 SP1, Windows Server 2012, Windows Server 2008 R2 SP1 https://support.microsoft.com/en-us/kb/3045645. Hal ini akan langsung mengakibatkan Dridex terinstal di komputer korban dan menjalankan aksinya.

Dridex disebarkan untuk mendapatkan keuntungan finansial dari korbannya dan sasaran utamanya adalah pengguna bisnis khususnya UKM.

Kesimpulan
Pembuat malware selalu berusaha mencari cara baru untuk mengakali pengguna komputer dan produk sekuriti. Dalam kasus ini mereka menggunakan teknik klasik rekayasa sosial dan eksploitasi celah keamanan. Walaupun banyak program antivirus komersial berhasil dikelabui dengan teknik ini, G Data dapat menghadapi ancaman ini dengan baik. Terlebih teknologi BankGuard G Data bahkan mampu melindungi dari Banking Trojan, sekalipun yang tidak terdeteksi oleh definisi antivirus.
Namun kesadaran untuk menerapkan kebiasaan sekurit yang baik seperti ekstra hati-hati dalam membuka lampiran, apalagi yang berpotensi membahayakan komputer seperti aktivasi Macro harus dihindari. Hal ini juga harus di dukung oleh sistem Patch Management yang baik guna mencegah eksploitasi celah keamanan.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: