Sorotan:
- File HTML digunakan dalam serangan phishing, meniru situs web yang terpercaya.
- HT-ML Guard dirancang untuk menganalisis file HTML dan secara akurat menentukan apakah itu berbahaya, meningkatkan pertahanan keamanan siber.
- Pelanggan Check Point Harmony Email and Collaboration tetap terlindungi dari jenis serangan ini.
File HTML sering digunakan dalam tahap awal serangan siber. Penjahat dunia maya membuat file-file ini agar tampak sah, menggoda pengguna yang tidak curiga untuk merasa aman. Tujuan utama dari file HTML berbahaya ini adalah untuk menipu pengguna agar mengungkapkan informasi sensitif, seperti kredensial login dan data pribadi, atau mengunduh dan mengeksekusi muatan berbahaya yang dapat merusak sistem mereka. Penelitian Check Point menemukan bahwa lebih dari setengah file berbahaya adalah lampiran HTML.
Untuk melawan taktik populer ini, ThreatCloud AI telah mengembangkan mesin baru: HT-ML Guard. Mesin berbasis pembelajaran mesin ini dirancang untuk menganalisis file HTML dan secara akurat menentukan apakah mereka berbahaya, meningkatkan pertahanan keamanan siber.
Serangan Phishing Menggunakan HTML Adalah Ancaman yang Semakin Meningkat
Terjadi peningkatan serangan berbasis email, terutama yang melibatkan lampiran HTML (lihat gambar 1 dan gambar 2). Selama 6 tahun terakhir, serangan berbasis email meningkat dari 33% menjadi 88%, dibandingkan dengan vektor serangan berbasis web. Penyerang siber lebih sering mengeksploitasi file HTML karena kemampuannya untuk menyematkan kode berbahaya dan tautan yang tampak sah bagi pengguna yang tidak curiga.
Gambar 1 – Vektor Serangan Email vs. Web 2018-2023
Gambar 2 – Jenis File Berbahaya Paling Utama di Email pada 2023
Dalam serangan phishing, file HTML ini sering meniru situs web terpercaya, menyajikan formulir login atau kolom input lainnya untuk menangkap kredensial pengguna. Pengguna percaya mereka berinteraksi dengan situs yang sah, tetapi informasi mereka justru dikirimkan ke penyerang.
Di bawah ini (lihat gambar 3) menunjukkan dua contoh penipuan HTML, satu meniru dokumen Word yang meminta unduhan, sementara yang lain meniru login untuk mencuri kredensial.
Gambar 3 – File HTML yang Meniru Situs Web Terpercaya
File HTML berbahaya lainnya mungkin menyertakan skrip yang secara otomatis mengunduh malware ke perangkat pengguna saat file dibuka. Skrip-skrip ini dapat mengeksploitasi kerentanannya di browser atau sistem operasi pengguna, yang mengarah pada instalasi ransomware, spyware, atau perangkat lunak berbahaya lainnya.
Cara Kerja HT-ML Guard
Dalam mengembangkan model pembelajaran mesin kami untuk mencegah file HTML berbahaya, kami menciptakan pendekatan yang terstruktur sambil memastikan perlindungan terhadap kekayaan intelektual kami. Berikut adalah tahapan utama dalam proses pengembangan model kami:
Gambar 4 – Jalur Prediksi HT-ML Guard
- Pengumpulan Data
Tim penelitian Check Point didedikasikan untuk melacak kampanye berbahaya terbaru, memastikan model kami selalu dilatih dengan ancaman yang paling relevan dan terkini. - Menganalisis HTML
Dengan memecah HTML menjadi bagian-bagian penyusunnya, kami dapat memeriksa setiap komponen secara sistematis, memastikan inspeksi yang menyeluruh dari seluruh file. - Menarik Fitur
Dari HTML yang dianalisis, kami menarik berbagai fitur yang penting untuk membedakan antara file yang sah dan berbahaya. Fitur-fitur ini berasal dari berbagai aspek HTML, termasuk JavaScript, metadata, tautan, dan lainnya. - Prediksi Model
Menggunakan fitur yang diekstraksi, model kami mengevaluasi kemungkinan apakah file HTML tersebut berbahaya atau sah.
Pendekatan ini memastikan analisis komprehensif terhadap file HTML sambil menjaga kerahasiaan metode dan algoritma kami yang bersifat proprietary.
Deteksi dan Hasil Model
Penerapan model pembelajaran mesin kami telah meningkatkan kemampuan ThreatCloud AI untuk mendeteksi file HTML berbahaya dan phishing. Berikut adalah beberapa sorotan kinerja dari model kami:
- Peningkatan Deteksi
Model ini secara signifikan meningkatkan deteksi file HTML berbahaya dan phishing, meningkatkan volume ancaman yang teridentifikasi. - Tingkat Akurasi Tinggi
Akurasi adalah faktor penting untuk setiap sistem deteksi, dan model kami unggul dalam hal ini. Model ini memiliki tingkat kesalahan positif yang sangat rendah, sekitar 1:1000 untuk file HTML sah. Tingkat presisi ini memastikan bahwa tim keamanan kami dapat fokus pada ancaman nyata tanpa terganggu oleh peringatan yang salah. - Kinerja Superior Dibandingkan Vendor Lain
Dalam evaluasi perbandingan, model kami secara konsisten mengungguli sistem deteksi vendor lain antara 40%-250%. Model ini berhasil mengidentifikasi ancaman yang diabaikan atau tidak terdeteksi oleh vendor lain. Kemampuan ini sangat penting dalam kasus kampanye berbahaya baru yang tidak terdeteksi di Virus Total, yang menunjukkan pengenalan ancaman yang lebih maju dan kemampuannya untuk tetap berada di depan ancaman siber yang berkembang.
Studi Kasus: Mendeteksi Kampanye Phishing yang Canggih
Untuk menggambarkan efektivitas HT-ML Guard, mari kita lihat sebuah studi kasus di mana model ini berhasil mengidentifikasi kampanye phishing canggih yang belum terdeteksi oleh solusi keamanan lainnya.
Ancaman: Penyerang membuat file HTML yang meniru halaman login perusahaan yang banyak digunakan, lengkap dengan logo perusahaan dan formulir yang tampak sah.
Berikut adalah rincian langkah demi langkah serangan ini:
Gambar 5 – Rantai Serangan Email Studi Kasus
- Email Phishing:
Pengguna menerima email dengan pemberitahuan pesanan palsu. Email tersebut tampak sah, sering kali berisi branding perusahaan dan bahasa profesional untuk memperoleh kepercayaan pengguna.
Gambar 6 – Konten Email Phishing
- Lampiran HTML Berbahaya:
Email tersebut mencakup lampiran – file HTML yang berisi daftar pesanan. Lampiran ini dirancang agar terlihat seperti dokumen yang tidak berbahaya. - Pesan Menipu:
Setelah membuka file HTML, pengguna disajikan dengan pesan yang menyatakan bahwa dokumen tidak dapat dibuka langsung. Pesan tersebut menginstruksikan pengguna untuk mengunduh dokumen untuk melihat daftar pesanan.
Gambar 7 – HTML dibuka di browser dan secara otomatis mengunduh file .tar
- Penyelundupan Konten dan Unduhan Otomatis:
File HTML menggunakan teknik yang dikenal sebagai penyelundupan konten untuk mengunduh file TAR yang dinamakan “daftar pesanan” tanpa sepengetahuan pengguna. Unduhan ini dipicu oleh skrip tersembunyi di dalam file HTML.
File HTML tersebut mengandung kode JavaScript dengan komentar yang terdokumentasi dengan baik yang digunakan untuk mengunduh file LNK. Namun, penyerang memodifikasi konten untuk mengunduh file TAR yang berisi skrip VBE. Modifikasi menipu ini bertujuan untuk melewati filter keamanan dan mengirimkan muatan berbahaya.
Gambar 8 – Skrip Penyusupan HTML
- File TAR
File TAR tersebut berisi file VBE (Visual Basic Script Encoded) yang bernama “daftar pesanan.” - Eksekusi File VBE:
Ketika pengguna mengklik file ini, yang mereka anggap sebagai daftar pesanan, file VBE dieksekusi.
Gambar 9 – Konten file VBE
File VBE tersebut mengandung file EXE yang dienkripsi. Setelah dieksekusi, file VBE akan mendekripsi file EXE, menyimpannya ke sistem pengguna, dan kemudian menjalankannya.
Gambar 10 – VBE membuat file EXE dan menjalankannya dengan WScript.Shell
- Penyebaran Malware:
File EXE tersebut adalah varian dari LokiBot, malware terkenal yang dirancang untuk mencuri informasi sensitif seperti kredensial login, informasi perbankan, dan data pribadi lainnya.
Gambar 11 – File EXE dibuat
Gambar 12 – Analisis EXE dengan Anyrun
Indikator Kunci:
- Pesan Phishing: Elemen formulir dalam file HTML dirancang untuk menangkap kredensial pengguna, indikator umum dari upaya phishing.
- Penyelundupan Konten: Muatan berbahaya disematkan dalam elemen yang tidak berbahaya, dengan tujuan untuk melewati filter keamanan tradisional. Model kami secara efektif mengidentifikasi blob data besar dan, menggunakan indikator kontekstual, menentukan bahwa itu adalah HTML berbahaya.
Hasil: Mesin kami berhasil mendeteksi file berbahaya, yang kemudian diblokir oleh perangkat lunak keamanan kami. Ini adalah serangan zero-day, dan ThreatCloud AI membuat deteksi pertama di dunia nyata. Tim penelitian kami mengonfirmasi bahwa beberapa hari kemudian, file berbahaya ini diidentifikasi secara publik di papan komunitas oleh korban yang diserang.
Dampak: Berkat deteksi tepat waktu oleh model kami, kampanye phishing zero-day ini dapat dicegah sebelum dapat menyebabkan kerusakan.
Studi kasus ini menunjukkan bagaimana model pembelajaran mesin kami tidak hanya meningkatkan kemampuan deteksi kami, tetapi juga memberikan lapisan pertahanan yang penting terhadap ancaman siber yang muncul dan canggih.