PERIODE JULI - SEPTEMBER 2014 - ID-CERT 3 Laporan Kegiatan Pada bab ini kami laporkan hasil kegiatan...
Transcript of PERIODE JULI - SEPTEMBER 2014 - ID-CERT 3 Laporan Kegiatan Pada bab ini kami laporkan hasil kegiatan...
LAPORAN SURVEY MALWARE
PERIODE
JULI - SEPTEMBER 2014
Daftar Isi
1 Pendahuluan 1
2 Survey Malware ID-CERT 3
2.1 Anggota Tim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3 Laporan Kegiatan 5
3.1 Daftar Relawan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2 Daftar Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3 Teknis Pelaksanaan . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4 Evaluasi 13
4.1 Proses Pendaftaran . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Aplikasi Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.3 Proses Pelaporan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.4 Parsing Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.5 Partisipasi Relawan . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
i
Bab 1
Pendahuluan
Pada tahun 2013 Akamai melaporkan Indonesia menjadi negara nomor 1 sumber seran-gan Internet (malicious traffic) [?]. Trafik serangan dari IP Indonesia berkisar 38% dariseluruh serangan di Internet dibandingkan trafik dari sekitar 175 negara yang diteliti.Trafik serangan ini meningkat hampir dua kali lipat dibandingkan data sebelumnyayaitu sekitar 21%. Akamai dalam laporan tersebut menyatakan bahwa IP yang terde-teksi sebagai sumber serangan bisa jadi tidak mencerminkan lokasi penyerang. Kare-na bisa saja seorang penyerang dari Amerika Serikat melancarkan serangan dari IPIndonesia melalui jaringan botnet atau komputer yang terinfeksi malware. Grafik la-poran serangan dapat terlihat pada gambar 1.1.
Gambar 1.1: Trafik Serangan Akamai [?][?]
Selain itu ESET Indonesia pada bulan Mei 2013 melaporkan tingkat prevelansi mal-ware Indonesia di ASEAN cukup tinggi yaitu sebesar 16,88% [?]. dari laporan tersebutmalware yang banyak beredar di Indonesia diantaranya adalah Ramnit, Sality dll [?].Peta laporan prevalensi malware dapat dilihat pada gambar 1.2.
1
BAB 1. PENDAHULUAN
Gambar 1.2: Prevalensi Malware ASEAN[?]
Kedua laporan diatas mengindikasikan tingginya tingkat penyebaran malware di In-donesia. Sayangnya belum ada penelitian yang dapat memetakan bagaimana sesung-guhnya penyebaran malware di Indonesia. Data penyebaran malware ini dapat digu-nakan untuk mempelajari aktifitas malware di Indonesia serta langkah-langkah penan-ganan yang dapat diambil.
Untuk itulah ID-CERT (Indonesia Computer Emergency Response Team) menggagassurvey malware [?]. Diharapkan dari penelitian ini dapat diperoleh data-data real ten-tang penyebaran malware di Indonesia.
2
Bab 2
Survey Malware ID-CERT
Survey Malware ID-CERT bertujuan untuk mendapatkan data tentang penyebaran mal-ware di Indonesia. Survey dilakukan dengan menyebarkan Flash-Disk berisikan ap-likasi pemindai malware (antivirus) kepada para relawan. Relawan diharuskan mendaf-tar terlebih dahulu dengan mengirimkan email berisi identitas dan kota asal. Kemudi-an relawan diminta melakukan pendeteksian malware (scanning) pada komputer ataulaptop yang dimiliki dengan aplikasi tersebut. Setelah pendeteksian malware selesai,relawan diminta mengirimkan hasil scanning (report) ke email ID-CERT. ID-CERTkemudian mengumpulkan hasil report dan melakukan analisa. Hasil analisa yang di-dapatkan adalah data tentang penyebaran malware di Indonesia.
Aplikasi antivirus yang digunakan adalah Emsisoft [?]. Selain itu dikembangkan jugaaplikasi untuk melakukan parsing email report ke database. Database yang digunakanadalah MySQL [?]. Mail Server yang digunakan adalah Postfix [?].
3
2.1. ANGGOTA TIM BAB 2. SURVEY MALWARE ID-CERT
2.1 Anggota Tim
Berikut kami laporkan anggota tim Survey Malware ID-CERT.
Ketua : Budi Rahardjo - ID-CERTAnggota : Ahmad Alkazimy - ID-CERT
: Abdul Rahim - Pemkot Cirebon: Aries Syamsuddin - Pemda Blitar: Samuel Cahyawijaya - ITB: Arya Dhanang - ITB: Hadi Rasyid Sono - ITB: Setia Juli Irzal Ismail - Telkom University
4
Bab 3
Laporan Kegiatan
Pada bab ini kami laporkan hasil kegiatan survey malware ID-CERT sampai bulanSeptember 2014. Kegiatan survey malware telah dimulai sejak bulan Januari 2014.Pengembangan aplikasi dilakukan sejak Januari 2014. Pengujian telah dilakukan padabulan Februari 2014. Penyebaran USB dan aplikasi kepada para relawan telah dimulaisejak bulan Maret 2014.
3.1 Daftar Relawan
Daftar relawan yang telah mendaftar dapat dilihat pada tabel 3.1.
Tabel 3.1: Tabel Relawan
No Nama Kota Asal
1 Abdul Rahim Cirebon
2 Abdul Bandung
3 Akbar Dwi Prastyo Banjarbaru
4 Andhika Prasetian Bandar Lampung
5 Andri Trismanto Magelang
6 Andy Pramurjadi Cianjur
7 Aries Syamsuddin Bandung
8 Cendrayani Rekza Legawati Sidoarjo
9 Fais Al Huda Malang
5
3.1. DAFTAR RELAWAN BAB 3. LAPORAN KEGIATAN
Tabel 3.1: Tabel Relawan
No Nama Kota Asal
10 Galih Rizky Bogor
11 Gilang Fahreza Alfisyahrin Depok
12 Harits Andi Makassar
13 Andi Harits Bandung
14 Idan Misdani Bandung
15 Ika Sapto Hadi Bekasi
16 Indra Ramadhan Tangerang
17 Ismayana Teguh Pratama Sukabumi
18 Ketut Artayasa Bali
19 Laurensius Jeffrey Chandra Bandung
20 Lily Kuningan
21 Mukti Priagung Wicaksana Tulungagung
22 Musanni Fauziah Mandailing Natal
23 Nurul Anisah Jakarta
24 Nurwin Bandung
25 Oktavianus Dudung Bekasi
26 Onny Rafizan Jakarta
27 Rahmatika putri Medan
28 Rian Widi Ramdani Bandung
29 Risnandar Bandung
30 Seni Meilani Putri Bandung
31 Sofyan Hadi Jakarta
32 Syaifudin Amrozi Surabaya
33 Syarief Bandung
34 Wisnu Nurdiyanto Palu
35 Yuddy Mardyana Cikarang
36 Yusa Inderapermana Cirebon
37 Yusfa Anugrah Baihaki Surabaya
38 Ahmad Khalil Alkazimy Jakarta
39 David Setiadi Sumedang
40 Fatnan Ahmad Thawsan Bandung
41 Irfan Saepulloh Bandung
42 Yusfa Anugrah Baihaki Surabaya
6
3.2. DAFTAR MALWARE BAB 3. LAPORAN KEGIATAN
Tabel 3.1: Tabel Relawan
No Nama Kota Asal
43 Satriyo Adi Negara Bandung
44 Yudha Tri Putra Depok
Dari daftar relawan terlihat Survey malware ID-CERT diikuti 44 relawan yang be-rasal dari 24 kota dan 9 propinsi di Indonesia. Relawan paling banyak berasal darikota Bandung sebanyak 13 orang. Sebaran kota asal relawan adalah sebagaimana pa-da gambar 3.1. Dari daftar relawan terlihat jumlah relawan masih sedikit dan belumdapat merepresentasikan penyebaran malware di Indonesia. Hal ini dikarenakan sur-vey malware masih pada tahap awal. Pada tahap ini ID-CERT masih berkonsentrasimengembangkan sistem dan perangkat survey malware yang tepat. Diharapkan adapihak atau lembaga yang mau berperan serta untuk mensosialisasikan kegiatan ini danmembantu penyebaran Flash-disk survey malware.
Gambar 3.1: Kota Asal Relawan [?]
3.2 Daftar Malware
Sementara daftar malware yang berhasil dilaporkan adalah dapat dilihat pada tabel 3.2
7
3.2. DAFTAR MALWARE BAB 3. LAPORAN KEGIATAN
Tabel 3.2: Tabel Malware
No Nama Malware Kota Asal
1 MemScan:Trojan.Generic.3268307(B) Cirebon
2 Trojan.Generic.7320471(B) Cirebon
3 Generic.Malware.SPDVTk.2C83EFBE(B) Cirebon
4 Gen:Trojan.Heur.smGfrbXY@VoiC(B) Cirebon
5 Trojan.Generic.7320471(B) Cirebon
6 Generic.Malware.SPDVTk.2C83EFBE(B) Cirebon
7 Gen:Trojan.Heur.smGfrbXY@VoiC(B) Cirebon
8 Trojan.Generic.7890946(B) Cirebon
9 Gen:Variant.Application.MediaFinder.1(B) Cirebon
10 Gen:Variant.Application.MediaFinder.1(B) Cirebon
11 Gen:Variant.Application.MediaFinder.1(B) Cirebon
12 Gen:Variant.Application.MediaFinder.1(B) Cirebon
13 Gen:Variant.Application.MediaFinder.1(B) Cirebon
14 Trojan.Generic.6265065(B) Cirebon
15 MemScan:Trojan.Generic.3268307(B) Bandung
16 Trojan.Generic.7320471(B) Bandung
17 Generic.Malware.SPDVTk.2C83EFBE(B) Bandung
18 Gen:Trojan.Heur.smGfrbXY@VoiC(B) Bandung
19 Trojan.Generic.7320471(B) Bandung
20 Generic.Malware.SPDVTk.2C83EFBE(B) Bandung
21 Gen:Trojan.Heur.smGfrbXY@VoiC(B) Bandung
22 Trojan.Generic.7890946(B) Bandung
23 Gen:Variant.Application.MediaFinder.1(B) Bandung
24 Gen:Variant.Application.MediaFinder.1(B) Bandung
25 Gen:Variant.Application.MediaFinder.1(B) Bandung
26 Gen:Variant.Application.MediaFinder.1(B) Bandung
27 Trojan.Generic.6265065(B) Bandung
28 EICAR-ANTIVIRUS-TESTFILE!E2 Jakarta
29 EICAR-ANTIVIRUS-TESTFILE!E2 Jakarta
30 EICAR-ANTIVIRUS-TESTFILE!E5 Jakarta
31 EICAR-ANTIVIRUS-TESTFILE!E8 Jakarta
32 EICAR-ANTIVIRUS-TESTFILE!E9 Jakarta
33 Trace.File.Bejeweled2Deluxe1.0(A) Cirebon
8
3.2. DAFTAR MALWARE BAB 3. LAPORAN KEGIATAN
Tabel 3.2: Tabel Malware
No Nama Malware Kota Asal
34 Trace.File.FeedingFrenzy2(A) Cirebon
35 Trace.Registry.FeedingFrenzy2(A) Cirebon
36 Trace.Registry.BaiduBar(A) Makasar
37 Trace.Registry.PCTuneUp(A) Makasar
38 Trace.Registry.BaiduBar(A) Malang
39 Gen:Trojan.Heur.GM.000C040880(B) Malang
40 Backdoor.Perl.IRCBot.AM(B) Malang
41 Trojan.Hacktool.Linux.Prochider.A(B) Malang
42 Trojan.Exploit.Linux.Small.F(B) Malang
43 Gen:Trojan.Heur.GZ.OGZ@buhJ80ni(B) Malang
44 Trojan.Generic.8834573(B) Malang
45 Application.Win32.WebApp(A) Malang
46 Application.InstallExpress(A) Malang
47 Application.WebSearch(A) Malang
48 Application.AppInstall(A) Malang
49 Application.AdGenie(A) Malang
50 Application.AdReg(A) Malang
51 Application.AdStart(A) Malang
52 Application.AppInstall(A) Malang
53 Application.SearchPlug(A) Malang
54 Application.AdServ(A) Malang
55 Application.BHO(A) Malang
56 Application.InstallAd(A) Malang
57 Application.InstallTool(A) Malang
58 Application.WebExt(A) Malang
59 Application.AdTool(A) Malang
60 Trojan.Win32.Agent(A) Malang
61 Application.InstallDeal(A) Malang
62 Application.Win32.WSearch(A) Malang
63 Application.Win32.InstallExt(A) Malang
64 Application.Win32.WebToolbar(A) Malang
65 Adware.Win32.Agent(A) Malang
66 Application.Win32.InstallTool(A) Malang
9
3.2. DAFTAR MALWARE BAB 3. LAPORAN KEGIATAN
Tabel 3.2: Tabel Malware
No Nama Malware Kota Asal
67 Gen:Application.Bundler.DefaultTab.1(B) Malang
68 Worm.VBS.AO(B) Malang
69 Application.Bundler.Somoto.I(B) Malang
70 Gen:Variant.Zusy.76367(B) Malang
71 Trojan.LNK.Gen(B) Malang
72 Gen:Variant.Application.Bundler.DomaIQ.3(B) Malang
73 Win32.Ramnit.L(B) Malang
74 Trojan.AutorunINF.Gen(B) Malang
75 Trojan.Generic.5145126(B) Malang
76 Trojan.Generic.10494008(B) Malang
77 Application.BitCoinMiner.EG(B) Malang
78 Dropped:Trojan.GenericKD.1583276(B) Malang
79 Dropped:Trojan.AgentWDCR.BM(B) Malang
80 Win32.Madangel.I(B) Malang
81 Trojan.Generic.11106456(B) Malang
82 Gen:Variant.Kazy.339345(B) Malang
83 Trojan.AgentWDCR.BM(B) Malang
84 Gen:Variant.Kazy.197178(B) Malang
85 Trojan.GenericKD.1582891(B) Malang
86 Gen:Variant.Application.Bundler.DomaIQ.3(B) Malang
87 Gen:Variant.Kazy.325894(B) Malang
88 Application.Bundler.Somoto.C(B) Malang
89 Trojan.GenericKD.1474810(B) Malang
90 Application.Bundler.InstallBrain.A(B) Malang
91 Trojan.Generic.10229435(B) Malang
92 Gen:Trojan.Heur.AutoIT.6(B) Malang
93 Trojan.Generic.5145126(B) Malang
94 Gen:Variant.Graftor.126775(B) Malang
95 Adware.NewNextMe.A(B) Malang
96 Application.Malware.NOV(B) Malang
97 Gen:Variant.Graftor.119203(B) Malang
98 Gen:Variant.Symmi.37373(B) Malang
99 Win32.Worm.Downadup.Gen(B) Malang
10
3.3. TEKNIS PELAKSANAAN BAB 3. LAPORAN KEGIATAN
Tabel 3.2: Tabel Malware
No Nama Malware Kota Asal
100 Trojan.Generic.8834573(B) Malang
101 Gen:Adware.MPlug.1(B) Malang
102 Application.Win32.InstallAd(A) Malang
103 Application.Win32.InstallTool(A) Malang
104 Adware.Win32.Agent(A) Malang
105 Application.Bundler.Somoto.J(B) Malang
106 Trojan.Generic.11398511(B) Malang
107 Riskware.Win32.CrackTool(A) Malang
108 Application.Keygen.ET(B) Malang
109 Trojan.Generic.1938807(B) Malang
110 Riskware.Win32.HackTool.Patcher(A) Malang
111 DeepScan:Generic.Zlob.B80B8DE5(B) Magelang
112 Trace.Registry.AdvancedArchivePasswordRecovery4.1(A) Magelang
Sampai akhir bulan September telah didapatkan 112 jenis malware yang ditemukan.Total jumlah malware yang terdeteksi adalah 384 malware.
3.3 Teknis Pelaksanaan
Scanning malware dilakukan dengan memberikan Flash Disk yang berisi antivirus Em-sisoft. Selain itu relawan juga dapat mengunduh file dari link yang diberikan. Petun-juk pelaksanaan Survey Malware yang diberikan kepada para relawan adalah sebagaiberikut:
1. kirim email ke [email protected] dengan keterangan nama lengkap, kotatinggal dan email anda;
2. unduh aplikasi yang digunakan untuk scan malware, di http://is.gd/idcert ataudari tautan https://www.dropbox.com/sh/n8gwludssk95odx/TrkFpnf49f lalu pil-ih download as .zip (agar mudah dapat didownload dalam format .zip); setelahselesai didownload, lalu ekstrak file Emsisoft Emergency Kit.zip;
3. jalankan start.exe yang terdapat pada folder Emsisoft Emergency Kit;
11
3.3. TEKNIS PELAKSANAAN BAB 3. LAPORAN KEGIATAN
4. pilih Emergency Kit Scanner -> Scan PC;
5. pilih metode scan sesuai kebutuhan (Quick Scan, Smart Scan, Deep Scan, Cus-tom Scan);
6. tekan tombol ’Scan’; Tunggu sampai scan selesai;
7. tekan tombol ’View Report’ dan folder log akan terbuka;
8. kirimkan melalui email file log tersebut ke [email protected] (file reporttersimpan pada folder /Run/Report/.....).
Scanning dilakukan hanya pada komputer dengan OS Windows. Bila ada pertanyaanbisa hubungi email berikut [email protected] atau [email protected] via email.
12
Bab 4
Evaluasi
Pada bab ini kami laporkan hasil evaluasi tim terhadap jalannya survey malware sampaibulan September 2014.
4.1 Proses Pendaftaran
Relawan diharuskan untuk mendaftarkan diri terlebih dahulu dengan mengirimkanemail yang berisi, nama, kota asal dan alamat email. Pendaftaran dimaksudkan agardiketahui identitas dan kota asal dari para relawan. Proses pendaftaran dilakukandengan mengirimkan email ke [email protected]. Hasil evaluasi dari prosespendaftaran adalah disarankan agar proses pendaftaran dipermudah. Sehingga diusulkanproses pendaftaran dilakukan otomatis ketika user membuka antivirus. Untuk itu sedangdikembangkan aplikasi yang mengintegrasikan proses registrasi dengan antivirus.
4.2 Aplikasi Antivirus
Survey malware saat ini menggunakan aplikasi antivirus Emsisoft. Alasan penggunaanantivirus ini adalah antivirus tidak perlu proses instalasi terlebih dahulu. Hasil evaluasidari para relawan terhadap antivirus ini adalah sebagai berikut:
1. proses scanning lama;
2. antivirus ini dinilai memiliki kemampuan deteksi malware yang kurang baik.
13
4.3. PROSES PELAPORAN BAB 4. EVALUASI
Untuk mengatasi masalah ini sedang dikembangkan aplikasi baru yang menggunakanantivirus ClamAV [?].
4.3 Proses Pelaporan
Setelah relawan melakukan pemindaian malware (scanning), relawan diminta untukmengirimkan hasil scanning (report) ke email [email protected]. Hasil yangdikirimkan adalah file log yang terdapat pada folder /Run/Report. Hal ini dianggapmenyulitkan relawan. Untuk itu disarankan proses pelaporan diintegrasikan denganaplikasi, sehingga pelaporan dijalankan secara otomatis.
4.4 Parsing Email
Setelah relawan melaporkan hasil scanning dengan mengirimkan email ke alamat di-atas, maka sistem akan melakukan proses parsing email ke database. Proses parsing di-maksudkan untuk memindahkan hasil scanning ke database secara otomatis. Aplikasiparsing telah dikembangkan. Hanya saja dari hasil evaluasi, proses parsing ini belumberjalan dengan baik. Masih ada beberapa email yang belum berhasil dipindahkan kedatabase. Kemudian masih ada beberapa email yang masuk ke folder spam. Untuk itusedang dilakukan proses perbaikan dan debugging aplikasi parsing ini. Database yangdigunakan adalah MySQL. Email server yang digunakan adalah Postfix.
4.5 Partisipasi Relawan
Sampai bulan September 2014, relawan yang mengikuti kegiatan ini hanya berjumlah44 orang dari 24 kota dan 9 propinsi di Indonesia. Jumlah ini belum dapat merepre-sentasikan sebaran malware di Indonesia. Hal ini dikarenakan penelitian masih dalamtahap awal. Dimana ID-CERT masih fokus mengembangkan sistem yang stabil danhandal yang dapat digunakan untuk survey malware ini. ID-CERT mengharapkan adapihak maupun instansi yang mau berperan serta untuk mensosialisasikan kegiatan ini.
14
Daftar Pustaka
G. J. Alred, C. T. Brusaw, and W. E. Oliu. Handbook of Technical Writing. St. Martin’s,New York, 2003 (seventh edition).
Michel Goossens, Frank Mittelbach, and Sebastian Rahtz. The LaTeX Companion.Addison-Wesley, Reading, Mass., 1997.
S. F. Gull. Developments in maximum-entropy data analysis. In J. Skilling, editor,Maximum Entropy and Bayesian Methods, pages 53–71. Kluwer Academic, Dor-drecht, 1989.
K. M. Hanson. Introduction to Bayesian image analysis. In M.H̃. Loew, editor, Medical
Imaging: Image Processing, volume 1898 of Proc. SPIE, pages 716–731, 1993.
L. Lamport. LaTeX: A Document Preparation System. Addison-Wesley, Reading,Mass., 1994.
N. Metropolis, A. W. Rosenbluth, M. N. Rosenbluth, A. H. Teller, and E. Teller. Equa-tions of state calculations by fast computing machine. J. Chem. Phys., 21:1087–1091, 1953.
Frank Mittelbach, Michel Goossens, Johannes Braams, and David Carlisle. The LaTeX
Companion. Addison-Wesley, Reading, Mass., 2004 (second edition).
L. C. Perelman, J. Paradis, and E. Barrett. Mayfield Handbook of Technical and Scien-
tific Writing. Mountain View, Mayfield, 1997. http://mit.imoat.net/handbook/.
15