Liputan6.com, Jakarta - Konferensi internasional Security Analyst Summit (SAS) 2019 yang diadakan di Singapura pada 11 April lalu, tak cuma hanya membahas kemutakhiran serangan APT yang canggih, melainkan tentang aktivitas keseharian para peneliti anti-malware Kaspersky Lab.
Baca Juga
Advertisement
Pakar Kaspersky Lab Boris Larin, Vlad Stolyarov, dan Alexander Liskin melaporkan penelitian yang berjudul "Catching multilayered zero-day attacks on MS Office."
Fokus utama penelitian ini, selain instrumen yang membantu mereka dalam menganalisis malware, juga menekankan perhatian akan lanskap ancaman Microsoft Office.
Perubahan lanskap ancaman yang berubah hanya dalam kurun waktu dua tahun ini, mencuri perhatian. Kaspersky Lab membandingkan proses distribusi para pengguna yang diserang oleh platform bertarget dari akhir tahun lalu dengan yang hanya dua tahun lalu sebelumnya.
Kaspersky Lab menemukan para pelaku kejahatan siber sudah beralih, tak lagi menggunakan kerentanan berbasis web untuk mengeksploitasi Microsoft Office.
Dalam beberapa bulan terakhir, Microsoft Office, dengan lebih dari 70 persen serangan, menjadi platform yang paling sering menjadi target ancaman.
Saksikan Video Pilihan Berikut Ini:
Eksploitasi Zero Day
Mulai pada tahun lalu, sekelompok eksploitasi zero-day untuk Microsoft Office juga mulai bermunculan.
Ini biasanya dimulai dengan operasi bertarget, tetapi akhirnya menjadi terang-terangan dan kemudian diintegrasikan ke dalam pembuat dokumen berbahaya.
Namun, waktu penyelesaian telah dipersingkat secara substansial. Misalnya, dalam kasus CVE-2017-11882, kerentanan editor persamaan pertama yang dilihat pakar, operasi spam besar dimulai pada hari yang sama saat bukti konsep dipublikasikan.
Itu juga berlaku bagi kerentanan lainnya, setelah laporan teknis untuk kerentanan dipublikasikan, eksploitasi akan muncul di pasar gelap dalam beberapa hari.
Bug sendiri akhirnya menjadi jauh lebih kompleks, dan terkadang penulisan rinci menjadi hal yang paling diperlukan para pelaku kejahatan siber untuk membangun keberhasilan eksploitasi.
Pandangan terhadap kerentanan yang paling dieksploitasi pada 2018 mengonfirmasi bahwa pembuat malware lebih suka bug yang sederhana dan logis.
Itulah sebabnya kerentanan editor persamaan CVE-2017-11882 dan CVE-2018-0802 sekarang merupakan bug yang paling banyak dieksploitasi di Microsoft Office.
Sederhananya, mereka dapat diandalkan dan berfungsi di setiap versi Word yang dirilis dalam 17 tahun terakhir, dan paling penting adalah, membangun eksploitasi untuk salah satu dari mereka tidak memerlukan keterampilan yang mutakhir.
Hal tersebut dikarenakan persamaan binary editor tidak memiliki perlindungan dan mitigasi modern seperti yang diharapkan dari aplikasi seri 2018.
Advertisement
Mengapa Terus Terjadi?
Permukaan serangan Microsoft Office sangat besar, dengan banyak format file yang rumit untuk dipertimbangkan, serta integrasi dengan Windows dan interoperabilitasnya.
Satu hal yang paling penting dari sudut pandang keamanan, banyak keputusan yang diambil Microsoft ketika membuat Office terlihat buruk sekarang, tetapi mengubahnya juga hanya akan menghancurkan kompatibilitas ke belakang.
Pada 2018 saja, Kaspersky Lab menemukan beberapa kerentanan zero-day dieksploitasi secara liar, di antaranya seperti CVE-2018-8174 (Kerentanan Eksekusi Kode Remote Mesin Windows VBScript).
Kerentanan ini sangat menarik, karena exploit ditemukan dalam dokumen Word, tetapi kerentanan sebenarnya berada di Internet Explorer.
Produk keamanan Kaspersky security products for endpoints memiliki kemampuan heuristik sangat canggih untuk mendeteksi ancaman yang diantarkan melalui dokumen Microsoft Office.
Ini merupakan salah satu lapisan deteksi pertama. Mesin heuristik menyadari semua format file dan keanehan pada setiap dokumen, dan berfungsi sebagai garis pertahanan pertama.
Tetapi, ketika mereka menemukan objek berbahaya, mereka tidak berhenti hanya setelah menentukan bahwa itu berbahaya. Objek tersebut kemudian melewati lapisan keamanan tambahan. Salah satu teknologi yang sangat sukses, misalnya, adalah kotak pasir (sandbox).
Di bidang keamanan informasi, kotak pasir digunakan untuk mengisolasi lingkungan yang tidak aman dari yang aman atau sebaliknya, melindungi terhadap eksploitasi kerentanan, dan menganalisis kode berbahaya.
Kotak pasir Kaspersky Lab adalah sistem untuk deteksi malware yang menjalankan objek mencurigakan pada mesin virtual dengan OS berfitur lengkap dan mendeteksi aktivitas berbahaya objek tersebut dengan menganalisis perilakunya.
Fitur ini dikembangkan beberapa tahun yang lalu untuk digunakan dalam infrastruktur perusahaan kami, dan kemudian menjadi bagian dari Platform Kaspersky Anti-Targeted Attack Platform.
Microsoft Office adalah target yang paling diincar bagi para pelaku kejahatan siber dan akan tetap seperti itu.
Pelaku kejahatan siber membidik target yang paling mudah, kemudian fitur lawas akan disalahgunakan.
(Jek/Isk)