Sorotan: File HTML digunakan dalam serangan phishing, meniru situs web yang terpercaya. HT-ML Guard dirancang untuk menganalisis file HTML dan secara akurat menentukan apakah itu berbahaya, meningkatkan pertahanan keamanan siber. Pelanggan Check Point Harmony Email and Collaboration tetap terlindungi dari jenis serangan ini. File HTML sering digunakan dalam tahap awal serangan siber. Penjahat dunia maya membuat file-file ini agar tampak sah, menggoda pengguna yang tidak curiga untuk merasa aman. Tujuan utama dari file HTML berbahaya ini adalah untuk menipu pengguna agar mengungkapkan informasi sensitif, seperti kredensial login dan data pribadi, atau mengunduh dan mengeksekusi muatan berbahaya yang dapat merusak sistem mereka. Penelitian Check Point menemukan bahwa lebih dari setengah file berbahaya adalah lampiran HTML. Untuk melawan taktik populer ini, ThreatCloud AI telah mengembangkan mesin baru: HT-ML Guard. Mesin berbasis pembelajaran mesin ini dirancang untuk menganalisis file HTML dan secara akurat menentukan apakah mereka berbahaya, meningkatkan pertahanan keamanan siber. Serangan Phishing Menggunakan HTML Adalah Ancaman yang Semakin Meningkat Terjadi peningkatan serangan berbasis email, terutama yang melibatkan lampiran HTML (lihat gambar 1 dan gambar 2). Selama 6 tahun terakhir, serangan berbasis email meningkat dari 33% menjadi 88%, dibandingkan dengan vektor serangan berbasis web. Penyerang siber lebih sering mengeksploitasi file HTML karena kemampuannya untuk menyematkan kode berbahaya dan tautan yang tampak sah bagi pengguna yang tidak curiga. Gambar 1 – Vektor Serangan Email vs. Web 2018-2023 Gambar 2 – Jenis File Berbahaya Paling Utama di Email pada 2023 Dalam serangan phishing, file HTML ini sering meniru situs web terpercaya, menyajikan formulir login atau kolom input lainnya untuk menangkap kredensial pengguna. Pengguna percaya mereka berinteraksi dengan situs yang sah, tetapi informasi mereka justru dikirimkan ke penyerang. Di bawah ini (lihat gambar 3) menunjukkan dua contoh penipuan HTML, satu meniru dokumen Word yang meminta unduhan, sementara yang lain meniru login untuk mencuri kredensial. Gambar 3 – File HTML yang Meniru Situs Web Terpercaya File HTML berbahaya lainnya mungkin menyertakan skrip yang secara otomatis mengunduh malware ke perangkat pengguna saat file dibuka. Skrip-skrip ini dapat mengeksploitasi kerentanannya di browser atau sistem operasi pengguna, yang mengarah pada instalasi ransomware, spyware, atau perangkat lunak berbahaya lainnya. Cara Kerja HT-ML Guard Dalam mengembangkan model pembelajaran mesin kami untuk mencegah file HTML berbahaya, kami menciptakan pendekatan yang terstruktur sambil memastikan perlindungan terhadap kekayaan intelektual kami. Berikut adalah tahapan utama dalam proses pengembangan model kami: Gambar 4 – Jalur Prediksi HT-ML Guard Pengumpulan Data Tim penelitian Check Point didedikasikan untuk melacak kampanye berbahaya terbaru, memastikan model kami selalu dilatih dengan ancaman yang paling relevan dan terkini. Menganalisis HTML Dengan memecah HTML menjadi bagian-bagian penyusunnya, kami dapat memeriksa setiap komponen secara sistematis, memastikan inspeksi yang menyeluruh dari seluruh file. Menarik Fitur Dari HTML yang dianalisis, kami menarik berbagai fitur yang penting untuk membedakan antara file yang sah dan berbahaya. Fitur-fitur ini berasal dari berbagai aspek HTML, termasuk JavaScript, metadata, tautan, dan lainnya. Prediksi Model Menggunakan fitur yang diekstraksi, model kami mengevaluasi kemungkinan apakah file HTML tersebut berbahaya atau sah. Pendekatan ini memastikan analisis komprehensif terhadap file HTML sambil menjaga kerahasiaan metode dan algoritma kami yang bersifat proprietary. Deteksi dan Hasil Model Penerapan model pembelajaran mesin kami telah meningkatkan kemampuan ThreatCloud AI untuk mendeteksi file HTML berbahaya dan phishing. Berikut adalah beberapa sorotan kinerja dari model kami: Peningkatan Deteksi Model ini secara signifikan meningkatkan deteksi file HTML berbahaya dan phishing, meningkatkan volume ancaman yang teridentifikasi. Tingkat Akurasi Tinggi Akurasi adalah faktor penting untuk setiap sistem deteksi, dan model kami unggul dalam hal ini. Model ini memiliki tingkat kesalahan positif yang sangat rendah, sekitar 1:1000 untuk file HTML sah. Tingkat presisi ini memastikan bahwa tim keamanan kami dapat fokus pada ancaman nyata tanpa terganggu oleh peringatan yang salah. Kinerja Superior Dibandingkan Vendor Lain Dalam evaluasi perbandingan, model kami secara konsisten mengungguli sistem deteksi vendor lain antara 40%-250%. Model ini berhasil mengidentifikasi ancaman yang diabaikan atau tidak terdeteksi oleh vendor lain. Kemampuan ini sangat penting dalam kasus kampanye berbahaya baru yang tidak terdeteksi di Virus Total, yang menunjukkan pengenalan ancaman yang lebih maju dan kemampuannya untuk tetap berada di depan ancaman siber yang berkembang. Studi Kasus: Mendeteksi Kampanye Phishing yang Canggih Untuk menggambarkan efektivitas HT-ML Guard, mari kita lihat sebuah studi kasus di mana model ini berhasil mengidentifikasi kampanye phishing canggih yang belum terdeteksi oleh solusi keamanan lainnya. Ancaman: Penyerang membuat file HTML yang meniru halaman login perusahaan yang banyak digunakan, lengkap dengan logo perusahaan dan formulir yang tampak sah. Berikut adalah rincian langkah demi langkah serangan ini: Gambar 5 – Rantai Serangan Email Studi Kasus Email Phishing: Pengguna menerima email dengan pemberitahuan pesanan palsu. Email tersebut tampak sah, sering kali berisi branding perusahaan dan bahasa profesional untuk memperoleh kepercayaan pengguna. Gambar 6 – Konten Email Phishing Lampiran HTML Berbahaya: Email tersebut mencakup lampiran – file HTML yang berisi daftar pesanan. Lampiran ini dirancang agar terlihat seperti dokumen yang tidak berbahaya. Pesan Menipu: Setelah membuka file HTML, pengguna disajikan dengan pesan yang menyatakan bahwa dokumen tidak dapat dibuka langsung. Pesan tersebut menginstruksikan pengguna untuk mengunduh dokumen untuk melihat daftar pesanan. Gambar 7 – HTML dibuka di browser dan secara otomatis mengunduh file .tar Penyelundupan Konten dan Unduhan Otomatis: File HTML menggunakan teknik yang dikenal sebagai penyelundupan konten untuk mengunduh file TAR yang dinamakan “daftar pesanan” tanpa sepengetahuan pengguna. Unduhan ini dipicu oleh skrip tersembunyi di dalam file HTML. File HTML tersebut mengandung kode JavaScript dengan komentar yang terdokumentasi dengan baik yang digunakan untuk mengunduh file LNK. Namun, penyerang memodifikasi konten untuk mengunduh file TAR yang berisi skrip VBE. Modifikasi menipu ini bertujuan untuk melewati filter keamanan dan mengirimkan muatan berbahaya. Gambar 8 – Skrip Penyusupan HTML File TAR File TAR tersebut berisi file VBE (Visual Basic Script Encoded) yang bernama “daftar pesanan.” Eksekusi File VBE: Ketika pengguna mengklik file ini, yang mereka anggap sebagai daftar pesanan, file VBE dieksekusi. Gambar 9 – Konten file VBE File VBE tersebut mengandung file EXE yang dienkripsi. Setelah dieksekusi, file VBE akan mendekripsi file EXE, menyimpannya ke sistem…
