Gawat, Hacker Kini Bisa Lakukan Aksi Tidak Sah dengan Cara yang Sah
JAKARTA - Penelitian mengatakan bahwa hacker saat ini telah berhasil mengembangkan cara baru untuk mendistribusikan malware jahat. Mereka dapat menyalahgunakan executable Microsoft Office untuk melancarkan aksinya.
File dengan format executable (.exe) untuk aplikasi Microsoft Publisher telah dikonfirmasi dapat mengunduh muatan dari server jarak jauh. Ini artinya hacker sudah bisa menggunakan alat yang sah untuk melakukan tindakan yang tidak sah.
Dengan begitu hacker bisa menjalankan muatan tanpa memicu mekanisme pertahanan perangkat. Menurut penelitian, bahkan executable yang tidak ditandatangani oleh Microsoft bisa berguna dalam serangan, seperti pengintaian.
Sebagaimana dihimpun dari Bleeping Compuer, Jumat (4/8/2023), cara baru hacker melancarkan serangannya ini diberi nama LOLBAS atau Living-off-the-Land Binaries and Scripts. Ini secara harfiah berarti “memberi makan dari alam”.
LOLBAS saat ini mencantumkan lebih dari 150 binari, pustaka, dan skrip terkait Windows yang dapat membantu penyerang mengeksekusi atau mengunduh file berbahaya atau melewati daftar program yang disetujui.
Nir Chako, seorang peneliti keamanan di Pentera, sebuah perusahaan yang menyediakan solusi validasi keamanan otomatis, baru-baru ini menemukan file LOLBAS baru dengan melihat executable di suite Microsoft Office.
Dia menguji semuanya secara manual dan menemukan MsoHtmEd.exe, MSPub.exe, dan ProtocolHandler.exe yang dapat digunakan sebagai pengunduh untuk file pihak ketiga, sehingga sesuai dengan kriteria LOLBAS.
Chako menemukan bahwa MsoHtmEd juga dapat digunakan untuk mengeksekusi file. Ia dan tim sekarang sudah mengembangkan skrip untuk mengotomatiskan proses verifikasi dan mencakup kumpulan executable yang lebih besar dengan lebih cepat.
“Dengan menggunakan metode otomatis ini, kami berhasil menemukan enam pengunduh lagi! Secara keseluruhan, kami menemukan sembilan pengunduh baru! Itu hampir 30% peningkatan dalam daftar pengunduh resmi LOLBAS," kata Chako.
Chako menjelaskan penyempurnaan yang ditambahkan ke skrip yang memungkinkan daftar binari di Windows dan mengujinya untuk kemampuan mengunduh di luar desain yang dimaksudkan. Secara total, ditemukan 11 file baru dengan fungsi unduh dan eksekusi yang memenuhi prinsip proyek LOLBAS.
Yang paling menonjol adalah MSPub.exe, Outlook.exe dan MSAccess.exe. Menurut Chako, ini karena mereka dapat digunakan oleh penyerang atau penguji penetrasi untuk mengunduh file pihak ketiga.
MSPub telah dikonfirmasi dapat mengunduh muatan sewenang-wenang dari server jarak jauh, dua lainnya belum ditambahkan ke daftar LOLBAS. Menurut Chako, mereka belum dimasukkan karena kesalahan teknis.
Selain binari Microsoft, Chako juga menemukan file dari pengembang lain yang memenuhi kriteria LOLBAS. Salah satu contohnya adalah suite PyCharm yang populer untuk pengembangan Python.
Folder instalasi PyCharm berisi elevator.exe (ditandatangani dan diverifikasi oleh JetBrains), yang dapat mengeksekusi file sewenang-wenang dengan hak istimewa yang lebih tinggi.
File lain di direktori PyCharm adalah WinProcessListHelper.exe, yang menurut Chako dapat melayani tujuan pengintaian dengan menghitung semua proses yang berjalan di sistem.
Untuk diketahui, mengetahui tentang ancaman LOLBAS dapat membantu menentukan metodologi dan mekanisme yang memadai untuk mencegah atau mengurangi serangan siber. Dengan begitu pengguna bisa meningkatkan keamanan perangkatnya.
(Muhammad Pratama Supriyadillah)
