Cyber Security+: Pengiriman Malware

Malware bukan makhluk hidup (… belum) dan tidak bisa muncul begitu saja; itu perlu dibawa dan dikirim ke komputer atau diinstal pada sistem komputer dalam beberapa cara. Hal ini dapat dilakukan dengan beberapa cara. Cara paling sederhana bagi penyerang adalah mendapatkan akses fisik ke komputer yang tidak terlindungi dan melakukan pekerjaan jahat mereka secara lokal. Tetapi karena sulit untuk mendapatkan akses fisik, ini dapat dilakukan dengan cara lain, seperti yang ditunjukkan pada bagian selanjutnya. Beberapa metode ini juga dapat digunakan oleh penyerang untuk mendapatkan akses ke komputer, membuat modifikasi, dan sebagainya, selain memberikan malware.

Metode yang digunakan ancaman untuk mengakses target dikenal sebagai vektor ancaman. Secara kolektif, cara penyer ang mendapatkan akses ke komputer untuk mengirimkan perangkat lunak berbahaya dikenal sebagai vektor serangan. Mungkin vektor serangan yang paling umum adalah melalui perangkat lunak.

Melalui Perangkat Lunak, Pengolahan Pesan, dan Media

Malware dapat dikirimkan melalui perangkat lunak dengan berbagai cara. Seseorang yang mengirim surel file zip mungkin bahkan tidak tahu bahwa malware juga ada dalam file itu. Penerima e-mail tidak akan tahu bahwa ada malware tambahan kecuali mereka memiliki perangkat lunak untuk memindai lampiran e-mail mereka. Malware juga dapat dikirimkan melalui FTP. Karena server FTP secara inheren tidak aman, lebih mudah daripada yang Anda pikirkan untuk mengunggah file berbahaya dan perangkat lunak lainnya. Malware sering ditemukan di antara jaringan peer-to-peer (P2P) dan bit torrents.

Perhatian besar harus diambil oleh pengguna yang menggunakan teknologi ini. Malware juga dapat disematkan di dalam, dan didistribusikan oleh, situs web melalui penggunaan kode yang rusak atau unduhan yang buruk. Malware bahkan dapat didistribusikan oleh iklan. Dan tentu saja, removable media dapat mengorbankan komputer juga. Disk optik, drive flash USB, kartu memori, dan perangkat yang terhubung seperti ponsel cerdas dapat dengan mudah dimanipulasi untuk secara otomatis menjalankan malware ketika dimasukkan ke dalam komputer. (Ini terjadi ketika AutoPlay / AutoRun bukan teman Anda!) removable media bisa mengandung virus atau worm tersembunyi dan kemungkinan bom logika (dibahas nanti) dikonfigurasikan untuk menonaktifkan malware itu pada waktu tertentu.

Penyerang potensial juga mengandalkan kesalahan pengguna. Misalnya, jika pengguna mencoba mengakses situs web tetapi mengetikkan nama domain yang salah secara tidak sengaja, pengguna dapat diarahkan ke situs web yang sama sekali tidak diinginkan, yang mungkin berbahaya. Jenis serangan ini dikenal sebagai kesalahan ketik atau pembajakan URL. URL adalah singkatan dari uniform resource locator, yang merupakan alamat web yang dimulai dengan http atau https. Penyerang potensial mengandalkan fakta bahwa jutaan kesalahan ketik dilakukan di browser web setiap hari. Penyerang ini “memantau” pada nama domain yang serupa (tapi tidak tepat).

Setelah pengguna berada di situs baru dan salah, sistem menjadi sasaran empuk spyware dan bentuk malware lainnya. Beberapa browser dilengkapi dengan keamanan bawaan seperti alat anti-phishing dan kemampuan untuk memeriksa situs web yang dimasukkan secara otomatis, tetapi cara terbaik untuk melindungi ini adalah dengan melatih pengguna untuk berhati-hati saat mengetik nama domain.

Cara lain untuk menyebarkan malware adalah menggunakan otomatisasi dan perangkat lunak “serangan” berbasis web, yang juga dikenal sebagai kit exploit. Kit eksploit dirancang untuk berjalan di server web dan biasanya ditemukan dalam bentuk skrip PHP. Mereka mentargetkan kerentanan perangkat lunak komputer klien yang sering ada dalam browser web. Salah satu contoh dari exploit kit adalah Blackhole exploit kit. Ini digunakan (dan dibeli) oleh penyerang potensial untuk mendistribusikan malware ke komputer yang memenuhi kriteria tertentu, sementara seluruh proses dicatat dan didokumentasikan.

Botnets dan Zombies

Malware dapat didistribusikan ke seluruh Internet oleh sekelompok komputer berbahaya, yang dikenal sebagai botnet, dan dikendalikan oleh komputer induk (tempat penyerang berada). Komputer yang berbahaya secara individu disebut Zombie. Ini karena mereka tidak mengetahui malware yang telah diinstal pada mereka. Ini dapat terjadi dalam beberapa cara, termasuk distribusi otomatis malware dari satu komputer zombie ke komputer zombie lainnya. Sekarang bayangkan jika semua komputer zombie memiliki virus tertentu atau jenis serangan lain yang dimuat, dan bom logika (akan dijelaskan nanti) juga diinstal, siap untuk memicu malware pada waktu tertentu.

Jika ini dilakukan pada ratusan atau ribuan komputer, serangan tersinkronisasi dengan proporsi besar dapat dilakukan pada hampir semua target. Seringkali, ini dikenal sebagai serangan distributed denial-of-service atau DDoS, didistribusikan, dan biasanya dikekalkan pada server yang sangat populer, yang melayani banyak permintaan. Jika komputer di jaringan Anda terus memindai sistem lain di jaringan, berkomunikasi dengan server yang tidak dikenal, dan / atau memiliki ratusan koneksi keluar ke berbagai situs web, kemungkinan komputer itu adalah bagian dari botnet.

Tetapi botnet dapat digunakan untuk lebih dari sekedar melumpuhkan satu target. Mereka juga dapat digunakan untuk secara curang mendapatkan kekayaan. Salah satu contoh botnet jenis ini adalah botnet ZeroAccess. Ini didasarkan pada malware Trojan yang mempengaruhi berbagai sistem operasi Microsoft, dan digunakan untuk menambang Bitcoin atau melakukan penipuan klik secara terus-menerus. Botnet tersembunyi dari banyak program antivirus melalui penggunaan rootkit (menginfeksi MBR). Pada 2012 diperkirakan bahwa botnet terdiri dari hingga 10 juta komputer. Anda bisa membayangkan kekuatan semata-mata botnet seperti ini, dan jumlah pendapatan yang bisa didapat per bulan. Setiap beberapa bulan, Anda dapat membaca tentang dalang botnet lain yang telah dibawa ke pengadilan.

Privilege Escalation

Privilege escalation adalah tindakan mengeksploitasi bug atau cacat desain dalam perangkat lunak atau firmware aplikasi untuk mendapatkan akses ke sumber daya yang biasanya terlindungi dari aplikasi atau pengguna. Ini menghasilkan pengguna memperoleh hak istimewa tambahan, lebih dari yang semula dimaksudkan oleh pengembang aplikasi; misalnya, jika pengguna biasa mendapatkan kontrol administratif, atau jika pengguna tertentu dapat membaca email pengguna lain tanpa izin.

Backdoors

Backdoors digunakan dalam program komputer untuk mem-bypass otentikasi normal dan mekanisme keamanan lainnya. Awalnya, backdoors digunakan oleh pengembang sebagai cara yang sah untuk mengakses aplikasi, tetapi setelah Backdoors diimplementasikan, penyerang menggunakan backdoors untuk membuat perubahan pada sistem operasi, situs web, dan perangkat jaringan. Atau penyerang akan membuat aplikasi yang sama sekali baru yang akan bertindak sebagai Backdoors, misalnya Back Orifice, yang memungkinkan pengguna untuk mengontrol komputer Windows dari lokasi yang jauh. Seringkali, Backdoors diinstal melalui Trojan Horse; yang khusus ini dikenal sebagai Remote Access Trojan, atau RAT, seperti yang disebutkan sebelumnya.

Beberapa Worms menginstal backdoors pada komputer sehingga spammer jarak jauh dapat mengirim junk email dari komputer yang terinfeksi, atau penyerang dapat melakukan eskalasi hak istimewa. Sayangnya, tidak banyak yang dapat dilakukan tentang backdoors selain dari memperbarui atau menambal sistem yang terinfeksi dan tetap menjaga pembaruan sistem. Namun, jika administrator jaringan mengetahui tentang backdoor baru, mereka harus memberi tahu pembuat perangkat atau aplikasi sesegera mungkin. Backdoors kurang umum saat ini, karena praktik mereka biasanya tidak disarankan oleh produsen perangkat lunak dan oleh pembuat perangkat jaringan.

Logic Bombs

Sebuah logic bomb adalah kode yang, dalam beberapa cara, telah dimasukkan ke dalam perangkat lunak; ini dimaksudkan untuk memulai salah satu dari banyak jenis fungsi berbahaya ketika kriteria tertentu terpenuhi. Logic bomb mengaburkan batas antara malware dan sistem pengiriman malware. Logic bombs memang perangkat lunak yang tidak diinginkan tetapi dimaksudkan untuk mengaktifkan virus, worm, atau Trojan pada waktu tertentu. Trojan yang aktif pada waktu tertentu juga disebut logic bomb.

Logic bomb terus berdetak hingga waktu, tanggal, dan parameter lain yang benar telah dipenuhi. Logic bomb dapat dimasukkan ke dalam virus atau dimuat secara terpisah. Bom logika lebih umum di film daripada di kehidupan nyata, tetapi itu memang terjadi, dan dengan konsekuensi besar; tetapi lebih sering daripada tidak, mereka terdeteksi sebelum mereka aktif.

Jika Anda, sebagai administrator sistem, mencurigai bahwa Anda telah menemukan logic bomb, atau sebagian dari kode logic bomb, Anda harus segera memberitahu atasan Anda dan memeriksa kebijakan organisasi Anda untuk melihat apakah Anda harus mengambil tindakan lain. Tindakan dapat mencakup menempatkan proses pemulihan bencana jaringan pada kondisi siaga; memberi tahu vendor perangkat lunak; dan mengelola penggunaan perangkat lunak dengan cermat, termasuk, mungkin, menariknya dari layanan hingga ancaman dikurangi.

Selanjutnya: Pencegahan dan Penanggulangan Virus

Sebelumnya: Rangkuman Ancaman Malware